“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应( 四 )

下图则是受害者画像 , 流量威胁TOP5 , 展示的是受害资产近期遭受的攻击类型次数排名 , 可以帮助客户更有针对性的对资产进行合理的处置 。 流量威胁趋势 , 可以更直观的了解到资产近期的安全现状 。


“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应

----“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应//----


“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应

----“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应//----

● 泄漏检测

数据泄露指受保护或机密数据可能被未经授权的人查看、偷窃或使用 。 由于企业业务性质、开发制度等原因 , 互联网公司一般会涉及较多的版本变更 , 且大部分互联网企业内部崇尚开源文化 , 开放的同时 , 也为数据泄露事件埋下隐患 。 近几年从泄漏渠道上来看主要有以下几个分类:GitHub代码类 , 网站入侵类 , 网络黑市交易类 , 合作商接口调用类等 。

安全运营中心在GitHub和网络黑市这两个渠道进行了数据泄露的监控 。 通过安全运营中心的统一监控和处理 , 可以解放企业运维安全人员更多的时间 , 将更多精力集中在规则运营上 。 同时也能与云平台能够更好的整合开发、运维 , 将事件处理集中在一处 , 提高处理效率 。 在误报规则的运营处理方面 , SaaS 化的平台比开源系统运营更持久 , 基于云上用户的体验集中优化 , 目前由云鼎实验室团队进行后台策略维护支持 , 误报问题相对较少 , 告警的质量相对较高 。


“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应

----“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应//----

上图就是泄漏检测的页面 。 安全运维人员进行配置后 , 即可监控自己所关注的敏感信息是否在上面两个源中有泄漏 。 当腾讯云的SecretId由于各种原因 , 出现在GitHub上时 , 安全运维人员可以及时的发现 , 尽快进行处置 , 避免发生更大的安全事故 。

事后响应处置


“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应

----“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应//----

安全事件发生后 , 云安全运营中心借助调查中心和响应中心分别提供了溯源调查以及自动化响应的能力 。 下面分别介绍一下这两个部分 。

●调查中心


推荐阅读