“用云的方式保护云”： 如何利用云原生SOC进行云端检测与响应

如果攻击发生在外网，那么就联动安全组封禁外网的攻击IP。如果是发生在内网，就及时隔离内网攻击资产的网络，同时检测攻击源资产是否安装了云镜专业版，因为内网主机发起横向爆破攻击，极有可能是在之前已经失陷。

2. 排查被攻击资产

如果被攻击资产爆破成功，那么首先要及时修改账户密码，同时要尽快隔离被攻击资产的网络，防止黑客借助此机器作为跳板发起进一步的内网渗透攻击。同时检测这个资产是否安装了云镜专业版进行主机侧的防御。

3. 基线检测

调用云镜接口对资产进行基线检测，及时发现风险并修复。

4. 木马检测

对资产进行木马查杀，防止黑客落地恶意文件。通过剧本的以上四个步骤，可以及时高效地处置SSH口令爆破事件，降低安全事件所带来的风险。

“云上打马”：如何利用云原生SOC实践CDR

最后借助一个挖矿木马的场景，看一下企业的安全运维人员，如何借助上文提到的安全运营中心的功能，来处理安全事件。

- 云安全配置管理

安全运维人员，可以在云安全配置管理页面检查CVM是否启用了密钥对，主机安全防护状态是否正常。通过CVM配置风险的自动化检查，降低云上资产的安全风险。

- 攻击面测绘

通过攻击面测绘识别主机的攻击面，及时收敛不必要的暴露面。

- 网络安全

网络安全中，通过告警的详情页，获取挖矿告警更详细的信息。下图展示的是挖矿告警的详情。

详情页可以获取到源端口，受影响资产等信息，这些信息可以用到日志调查中进行溯源查询。同时通过传输数据的内容可以看出木马正在进行门罗币的挖矿。

- 响应中心

当发现挖矿木马告警后，可以借助响应中心，完成响应处置。首先进行矿池连接的阻断，阻止失陷资产与矿池的数据流量传输。随后进行木马检测，借助云镜的主机安全能力，定位挖矿木马并进行木马隔离。在文件层面进行处置后，对正在运行的挖矿进程也要进行定位。剧本提供了四项处置方式，可以根据响应时详细的提示进行排查，确定挖矿进程并清除。最后进行基线的检测，对弱密码和漏洞进行检测，提高资产的安全基线，加固资产的安全，及时的将风险降到最低。

- 调查中心

借助网络安全提供的端口、资产等信息，可以在调查中心中对挖矿木马的落地进行溯源分析。1）调查中心的安全事件日志（event）中，查看挖矿主机是否有木马告警（SsaCvmInstanceId：受影响资产）

（编辑：91站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!