文档首页/ 威胁检测服务 MTD/ 产品介绍/ 与其他云服务的区别
更新时间:2024-06-11 GMT+08:00
查看PDF
分享

与其他云服务的区别

MTD与SA的区别

态势感知(Situation Awareness,简称SA)是华为云可视化威胁检测和分析的安全管理平台。着重呈现全局安全威胁攻击态势,统筹分析多服务威胁数据和云上安全威胁,帮助企业构建全局安全体系,呈现全局安全威胁攻击态势。

威胁检测服务(Managed Threat Detection,简称MTD)主要检测云服务日志侧的潜在威胁,利用服务自身的AI智能引擎、威胁情报和规则基线检测模型实现对各类云服务日志的威胁检测,满足对检测到的威胁进行告警,对告警结果进行统计和展示。

表1 MTD与SA主要区别

功能项

威胁检测服务(MTD)

态势感知(SA)

支持产品/服务
  • 统一身份认证服务(IAM)
  • 云解析服务(DNS)
  • 云审计服务(CTS)
  • 虚拟私有云服务(VPC)
  • 对象存储服务(OBS)
  • 主机安全服务(HSS)
  • Anti-DDoS流量清洗(Anti-DDOS)
  • Web应用防火墙(WAF)
  • 云堡垒机(CBH)
  • 容器安全服务(CGS)
  • 漏洞扫描服务(VSS)

检测/分析数据源
  • 统一身份认证服务(IAM)全量日志
  • 云解析服务(DNS)全量日志
  • 云审计服务(CTS)全量日志
  • 全局服务的虚拟私有云服务(VPC)全量日志
  • 对象存储服务(OBS)全量日志
  • 全网流量
  • 安全防护设备日志
  • DNS请求
  • 威胁情报
  • 安全资讯

威胁检测
  • 告警事件

    支持基于AI智能引擎、威胁情报和规则基线合计40+类的告警示例类型。
  • 告警事件

    支持检测和呈现8大类告警事件,共200+种子告警类型。支持上报告警通知。

  • 安全编排

    支持一键实施预置的安全编排策略,加固资产安全。

MTD暴力破解与HSS暴力破解的区别

主机安全服务(Host Security Service,简称HSS)是华为云提升主机整体安全性的服务。着重于全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,降低服务器面临的安全风险,保障主机整体安全。

威胁检测服务(Managed Threat Detection,简称MTD)在满足规则和情报检测基础之上,新增算法模型AI智能引擎,实现IAM异常检测、。针对IAM账号的爆破攻击,新增异常行为检测模型,实现账号分布式暴破攻击威胁的检测。

表2 MTD与HSS账号暴力破解的区别

功能项

威胁检测服务(MTD)

主机安全服务(HSS)

检测对象
  • 您所使用服务的全量账户
  • SSH账户
  • RDP账户
  • FTP账户
  • SQL Server账户
  • MySQL账户
  • 其他服务账户

账户暴力攻击
  • 支持导入威胁情报及白名单来自定义威胁检测的范围,威胁检测服务会忽略白名单中IP地址的活动,对发现与历史情报相似的IP或域名访问直接触发告警。
  • 在IAM锁定时间窗口登录失败,或跨多个region登录、调用token直接触发告警。
  • 如果30秒内,账户暴力破解次数达到5次及以上,HSS就会拦截该源IP,禁止其再次登录。
  • 根据账户暴力破解告警详情,如“攻击源IP”、“攻击类型”和“拦截次数”,您能够快速识别出该源IP是否为可信IP,如果为可信IP,您可以通过手动解除拦截的方式,解除拦截的可信IP。

账户异常登录
  • 登录或获取token的成功率突变或总次数突增,触发威胁告警。
  • IP首次尝试登录或获取token,触发威胁告警。
  • IP异地登录,触发威胁告警。
  • 检测主机异地登录行为并进行告警。

    异地登录检测信息包括“登录源IP”、“登录时间”,攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。

  • 若在非常用登录地登录,则触发安全事件告警。
  • 若账户暴力破解成功,登录到云主机,则触发安全事件告警。

异常行为
  • 识别分布式暴破攻击

    有效检测通过HTTP隧道使用随机公网IP对IAM账户进行连续攻击,每个攻击IP暴破次数在3次以内,化整为零的分布式攻击行为成功绕过传统监控。

  • 检测账号AK/SK疑似泄露被利用的行为。
  • 检测账号疑似被建立委托的行为。
  • 检测Token疑似被恶意利用的行为。
  • 检测账号疑似被口令破解的行为。
  • 监控进程CPU使用异常。
  • 检测进程对恶意IP的访问。
  • 检测进程并发连接数异常等。