“用云的方式保护云”：如何利用云原生SOC进行云端检测与响应( 七 ) 但随着云计算的到来

3. 基线检测

调用云镜接口对资产进行基线检测，及时发现风险并修复。

4. 木马检测

对资产进行木马查杀，防止黑客落地恶意文件。通过剧本的以上四个步骤，可以及时高效地处置SSH口令爆破事件，降低安全事件所带来的风险。

“云上打马”：如何利用云原生SOC实践CDR

最后借助一个挖矿木马的场景，看一下企业的安全运维人员，如何借助上文提到的安全运营中心的功能，来处理安全事件。

-云安全配置管理

安全运维人员，可以在云安全配置管理页面检查CVM是否启用了密钥对，主机安全防护状态是否正常。通过CVM配置风险的自动化检查，降低云上资产的安全风险。

-攻击面测绘

通过攻击面测绘识别主机的攻击面，及时收敛不必要的暴露面。

-网络安全

网络安全中，通过告警的详情页，获取挖矿告警更详细的信息。下图展示的是挖矿告警的详情。

----“用云的方式保护云”：如何利用云原生SOC进行云端检测与响应//----

详情页可以获取到源端口，受影响资产等信息，这些信息可以用到日志调查中进行溯源查询。同时通过传输数据的内容可以看出木马正在进行门罗币的挖矿。

-响应中心

当发现挖矿木马告警后，可以借助响应中心，完成响应处置。首先进行矿池连接的阻断，阻止失陷资产与矿池的数据流量传输。随后进行木马检测，借助云镜的主机安全能力，定位挖矿木马并进行木马隔离。在文件层面进行处置后，对正在运行的挖矿进程也要进行定位。剧本提供了四项处置方式，可以根据响应时详细的提示进行排查，确定挖矿进程并清除。最后进行基线的检测，对弱密码和漏洞进行检测，提高资产的安全基线，加固资产的安全，及时的将风险降到最低。

----“用云的方式保护云”：如何利用云原生SOC进行云端检测与响应//----