什么是威胁检测服务
威胁检测服务(Managed Threat Detection,简称MTD),通过接入目标区域中您在华为云操作所涉及到的IAM日志、DNS日志、CTS日志、OBS日志、VPC日志,持续实时检测日志中访问者的IP或域名是否存在潜在的恶意活动和未经授权行为并进行告警。
此服务集成了AI智能引擎、威胁情报、规则基线三种检测方式,智能检测来自多个云服务(包含IAM服务、DNS服务、CTS服务、OBS服务、VPC服务)日志数据中的访问行为,去发现是否存在潜在威胁,对可能存在威胁的访问行为生成告警信息,输出告警结果。您可通过告警描述对告警信息进行核查、处理,在未造成信息泄露等重大损失之前,及时对潜在威胁进行处理,对服务安全进行升级加固,从而保护您的账户安全、保障服务稳定运行。
威胁检测服务即将下线,下线公告请参见华为云产品威胁检测服务MTD下线通知。
威胁检测服务的能力将由安全云脑 SecMaster服务提供。为了避免影响您的业务,建议您尽快提交工单协助您将业务切换至安全云脑,以更好地为您提供业务支持。
各Region支持的检测类型
各Region支持的检测类型如表1所示。
检测原理
威胁检测服务通过采集统一身份认证(IAM)、云解析服务(DNS)、云审计服务(CTS)、对象存储服务(OBS)、虚拟私有云(VPC)的日志,利用AI智能引擎、威胁情报、规则基线模型,持续监控暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为,识别云服务日志中的潜在威胁,并对检测出的威胁告警进行统计。威胁检测服务的检测原理如图1所示。