文档首页> 威胁检测服务 MTD> 最佳实践> 快速掌控MTD潜在威胁
更新时间:2022-02-22 GMT+08:00

快速掌控MTD潜在威胁

MTD服务是检测您在目标区域所使用的华为云全局服务的IAM日志、DNS日志、CTS日志、OBS日志、VPC日志,如图1所示。MTD实时检测日志中访问者的IP或域名是否存在潜在的恶意活动和未经授权行为并进行告警,您可通过本实践操作步骤快速掌控MTD检测潜在威胁,对已发现的告警信息按照告警等级由高至低的优先级对告警信息进行核查、处理,保障您所使用服务的安全和运行能力。

图1 MTD检测原理

检测结果总览

  1. 登录管理控制台
  2. 在左侧导航树中,单击,选择安全与合规>威胁检测服务,进入威胁检测服务界面,如图2所示。

    图2 进入威胁检测服务

  3. 查看威胁检测结果总览。

    • 当未检测出威胁告警时。页面提示“已开始对您全部XX服务日志新产生的数据进行检测,截止目前相对健康,未发现风险。”,并展示告警类型示例,如图3所示。
      图3 未发现风险
    • 当已检测出威胁告警信息时。页面展示告警详情。
      • 单击“当前已支持XX种告警类型”,页面弹出“告警类型示例”窗口,可查看所有告警类型示例和各服务日志分别的告警类型示例,详情请参见查看告警类型详情
      • 由于AI检测模型的普遍特性,一般上线后需要基于您的真实数据学习训练大致3个月,学习阶段检测结果可能存在误差,您可以在告警列表的“操作”列单击“反馈可信度”反馈出现的问题。
      1. 告警详细信息按照最新发生时间靠前的排序方式进行排序,相关参数说明如表1所示。
        表1 告警信息

        参数名称

        参数说明

        日志类型

        产生该告警的服务日志。

        • 统一身份认证服务(IAM)
        • 虚拟私有云(VPC)
        • 云解析服务(DNS)
        • 云审计服务(CTS)
        • 对象存储服务(OBS)

        告警类型

        支持XX种告警,更多详细内容请参见查看告警类型详情

        标题

        告警类型的具体描述。

        严重等级

        告警的风险等级,分为:

        • 致命
        • 高危
        • 中危
        • 低危
        • 提示

        告警信息目前需要人工核查处理,建议您参照查看告警类型详情对应描述,按照告警等级由高到低的优先级进行处理。

        受影响资源

        受到威胁攻击的资源个数。

        发生次数

        该告警产生的次数,可单击切换排序。

        首次发生

        该告警首次发生的具体时间,可单击切换排序。

        最近发生

        该告警最近一次发生的具体时间,可单击切换排序。

      2. 单击“标题”列的值可查看“结果详情”,您可根据告警结果详情的资源名称、ID、类型、区域以及攻击这些主要信息,为处理潜在威胁提供方向。
      3. 反馈可信度。

        反馈可信度:指反馈告警结果是否准确。

        • 单条告警反馈。单击“操作”“反馈可信度”,在弹出窗口中确认反馈的告警信息的准确性,告警结果可信单击“准确”,告警结果与实际情况存在偏差单击“不准确”
        • 批量告警反馈。选中多条告警信息最左侧的复选框,单击复选框上方“反馈可信度”,在弹出窗口中确认反馈的告警信息的准确性,告警结果可信单击“准确”,告警结果与实际情况存在偏差单击“不准确”

告警类型详情

威胁检测服务目前支持3种检测方式,分别是威胁情报、规则基线、AI引擎,详情如表2所示。涵盖71种告警类型。

单条告警根据计算方式和风险系数结果存在单个告警等级或多个告警等级。

表2 检测方式详情

检测方式

检测描述

检测数据源及数量

AI引擎

利用机器学习挖掘陌生访问行为来发现陌生行为是否存在潜在威胁。

  • IAM日志:8种;
  • DNS日志:2种。

规则基线

遵循已有标准的、固定的规则对日志进行检测。

OBS日志:11种。

威胁情报

基于三方收集的历史有效情报对日志信息进行关联性分析检测,三方情报每天更新一次。

  • IAM日志: 22种;
  • CTS日志:5种;
  • VPC日志:12种;
  • DNS日志:11种。