随着云计算技术的快速发展，越来越多的企业将自身业务迁移到云上，云上资源的安全及合规性成为企业必须面对的问题。而随着网络攻击技术的不断发展，网络威胁也变得越来越多样化和复杂化，传统的安全防护手段已经无法满足需要。随着企业安全意识的提高，安全防护已经成为了企业信息化建设的重要组成部分，对于安全风险的识别和防范也越来越重视。

基于上述背景，阿里云推出了云安全中心威胁分析服务，旨在帮助您提高产品安全性并快速发现和响应安全事件。

威胁分析是一种云原生安全信息和事件管理解决方案，通过采集不同阿里云账号和不同阿里云产品的安全日志及告警，并基于预定义和自定义的安全检测规则，对相关联的多来源告警及日志聚合分析，形成包含完整攻击链路的安全事件。

威胁分析同时提供事件处置响应编排能力，您可以创建自动化编排剧本，联动阿里云产品对指定资源进行处置、封禁、隔离等动作，方便您快速处置安全事件。

云厂商

产品名称

日志类型

阿里云

云安全中心（Security Center）

云安全中心告警日志、云安全中心配置检查日志、漏洞日志、基线日志

登录流水日志、网络连接日志、进程启动日志、文件读写日志、主机登录失败日志、Mysql/FTP登录失败日志

账号快照日志、网络快照日志、账号快照日志、进程快照日志、端口快照日志

互联网HTTP日志、互联网Session日志、互联网DNS日志、DNS解析日志

Web 应用防火墙 WAF（Web Application Firewall）

WAF告警日志、WAF流日志、WAF 3.0流日志

云防火墙（Cloud Firewall）

云防火墙告警日志、云防火墙流日志

DDoS 防护（Anti-DDoS）

DDoS新BGP高防流日志、DDoS高防流日志、DDoS原生防护日志

运维安全中心（堡垒机）（Bastionhost）

堡垒机日志

CDN

CDN流日志、CDN WAF流日志

API 网关（API Gateway）

API网关日志

容器服务 Kubernetes 版 ACK（Container Service for Kubernetes）

K8s审计日志

云原生数据库 PolarDB

PolarDB-X 1.0审计日志、PolarDB-X 2.0审计日志

云数据库 MongoDB 版

MongoDB运行日志、MongoDB审计日志

云数据库 RDS（Relational Database Service）

RDS审计日志

专有网络 VPC（Virtual Private Cloud）

VPC流日志

弹性公网 IP EIP（Elastic IP Address）

弹性网卡流日志

负载均衡 SLB（Server Load Balancer）

CLB 7层日志、ALB流日志

对象存储 OSS（Object Storage Service）

OSS批量删除日志、OSS计量日志、OSS流日志

文件存储 NAS（Apsara File Storage NAS）

NAS NFS运行日志

函数计算 FC（Function Compute）

函数计算运行日志

操作审计（ActionTrail）

操作审计日志

配置审计（CloudConfig）

配置审计日志

腾讯云

Web应用防火墙

Web应用防火墙告警日志

云防火墙

云防火墙告警日志

华为云

Web应用防火墙

Web应用防火墙告警日志

云防火墙

云防火墙告警日志

标准化数据采集

支持采集跨云平台（阿里云和第三方云厂商）、跨产品、跨账号的安全告警日志、网络日志、系统日志和应用日志等，对数据进行标准化、上下文增强。支持接入20+云产品、50+日志类型。

多维度威胁检测

基于多源数据关联分析、AI图计算推理、以及实时更新的威胁情报等威胁发现手段，补强南向安全设备的单点威胁检测能力。内置40+威胁检测场景，提供三大类事件分析模型。

高效的事件调查

聚合相关告警生成安全事件，自动还原攻击时间线和路径，安全事件对告警收敛率达万分之一，丰富事件调查上下文，加速告警、事件处置研判效率。

自动化响应编排

通过自动响应规则和编排剧本，联动多产品自动化处置恶意实体，如IP、文件、进程等，将应急响应经验流程化、常态化、自动化。

开通威胁分析功能后，云安全中心会自动为您聚合已接入管控的多个阿里云账号和阿里云产品下的安全日志进行检测分析，云安全中心管理控制台的部分页面会产生变化。

页面名称

变更类型

说明

检测响应（导航栏目录）

变更

导航栏目录名称变更为威胁分析。

安全告警处理

变更

页面名称变更为安全告警。您可以在安全告警页面，查看已接入的多账号和云产品下的安全告警。

在安全告警页面右上角，单击主机和容器安全告警或全局安全告警，可切换展示云安全中心的安全告警数据和威胁分析聚合后的安全告警数据。

事件处置

新增

您可以在事件处置页面，查看并处理由威胁分析聚合后的威胁事件。

规则管理

新增

您可以在规则管理页面，查看预定义的告警和事件规则，根据业务需求自定义告警和事件的产生规则。

响应编排

新增

您可以在响应编排页面，基于业务场景定义具体的事件处置动作，对接其他业务流程如通知、事件流转等功能，提升企业运维效率。

处置中心

新增

您可以在处置中心页面，通过处置策略和处置任务，实时监控事件的处置结果。

多账号安全管理

变更

新增威胁分析监控账号页签，支持在该页面配置威胁分析监控账号。

攻击分析

隐藏

开通威胁分析服务后，您可以在安全告警页面右上角，单击前往当前账号攻击分析，进入攻击分析页面。更多信息，请参见攻击分析。

事件调查

隐藏

开通威胁分析服务后，您可以在安全告警页面右上角，单击主机和容器安全告警，进入安全告警处理页面后，在告警名称列单击图标，进入事件调查页面。更多信息，请参见查看和处理安全告警。