江苏龙网

  1. 首页 > 人文 > >

“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应( 八 )

----“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应//----

-调查中心

借助网络安全提供的端口、资产等信息 , 可以在调查中心中对挖矿木马的落地进行溯源分析 。 1)调查中心的安全事件日志(event)中 , 查看挖矿主机是否有木马告警(SsaCvmInstanceId:受影响资产)


“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应

----“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应//----

2)如果有木马告警 , 根据安全事件日志中记录的木马路径在资产指纹日志(assets_finger)中 , 寻找相关的木马进程(fullpath: 木马路径) , 进程的pid , 以及用户信息


“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应

----“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应//----

3)根据机器信息 , 在安全事件日志(event)中搜索是否有异地登录和密码暴力破解成功相关的告警 。 进行溯源查找


“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应

----“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应//----


“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应

----“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应//----

4)同时也可以查看网络安全中 , 是否存在相关机器的恶意文件上传以及漏洞攻击的告警 , 进一步排查木马落地的原因 。 面对云上安全的新挑战 , 腾讯安全极为重视企业安全的“云原生”思维价值 , 并结合自身安全运营经验及广泛的云上客户调研 , 总结出云原生的CDR体系(Cloud Detection and Response),包含事前安全预防体系、事中统一监测及威胁检测体系和事后响应处置体系 , 并建立全程的安全可视体系 , 以提升公有云上安全运营的灵敏度及效率 。 目前这套理念已依托腾讯云安全运营中心持续实践 , 帮助多个企业客户解决云上安全问题 。

作为腾讯云的能力支持 , 腾讯安全已经实现了为腾讯云客户提供云原生的安全能力 , 提升企业信息安全“免疫力” , 配合腾讯云及其认证的生态合作伙伴 , 打造内在的安全韧性 , 构建弹性扩展、操作性强的安全架构 , 满足动态的安全需求 。


推荐阅读


上一篇:央行“降息”来了 逆回购利率下调20基点

下一篇:怎么能让微信的聊天记录彻底删除?正确删除方法看这里