云安全中心-威胁分析CloudSIEM产品.pdf

云安全中心

威胁分析（CloudSIEM）增值服务

产品介绍

2023/12

目录

01云上安全威胁及背景介绍

02产品架构与功能介绍

03典型应用场景及案例

04产品售卖及日志接入预估

01云上安全威胁及背景介绍

云上安全运营与管理面临的新挑战

IT资产的快速变化对威胁检测的被海量威胁告警所淹没，无法有安全运营需要对多云、混合云，

实效性有更高的要求效地响应安全事件云上的多账号进行整体覆盖

ECS容器服务函数计算防火墙堡垒机主机安全VPC阿里云AWS腾讯云IDC

l云上基础设施的弹性伸缩带来IT资产的l黑客攻击手段持续进化，攻击路径对网l云资源的多账号管理体系带来了整体的

持续变化；络流量、主机容器、应用系统等IT资产安全运营效率的新挑战；

l云原生的应用进一步加快了业务变化的无死角覆盖；l多云、混合云架构的IT基础设施的统一

速度：40%的容器生命周期在15分钟。l网络攻击隐匿云上纷繁的日志中。安全运营是当前用户的痛点问题。

云平台安全威胁类型和频次呈现差异化

图：近20年云上典型攻击事件及攻击数量

相对常见攻击新型攻击高频场景

社会工程凭据盗窃/滥用勒索软件

AK泄漏云产品配置错误

钓鱼攻击漏洞利用数据泄露

云上线下横向移动身份攻击及横向移动

地理位置伪造爬虫/DDoS

产品市场定义

Gartner：SIEM，SecurityInformaitonandEventManagement，安全信息与事件管理

SIEM聚合源自监控、评估、检测和响应解决方案的日志（event）数据，这些解决方案覆盖应用、网络、终端和云环境。能力包括：

•威胁检测（基于关联分析和用户与实体行为分析UEBA）

•响应集成管理（通常基于SOAR，SecurityOrchestration,AutomationandResponse集成）

•安全报表

•持续更新的威胁情报（TIP，ThreatIntelligencePlatform）

SIEM主要基于云部署提供服务（SaaS），也支持本地部署（on-premises）

Forrestor：SAP，SecurityAnalyticsPlatforms，安全分析平台

自2015年以来Forrestor认为SIEM不足以满足安全运营团队的需求，SAP包含以下能力以改善分析师体验：分析、调查、自动化、编排、仪表板和报告。

IDC：SIEMsolutions，SIEM解决方案

SIEM是以日志为中心的平台解决方案，用于满足政策和合规，以及启动安全调查。SIEM解决方案包含多个产品能力：

•聚合来自多个数据源的数据，以通过对日志（events）的模式识别，发现可能的攻击、入侵、滥用或者错误。

•日志关联分析简化并加速了网络日志的检测，通过将告警和错误日志整合到一个简洁、易懂的