背景

云資產(chǎn)安全形勢(shì)

信息時(shí)代越來(lái)越發(fā)達(dá)，網(wǎng)絡(luò)信息安全形勢(shì)愈加嚴(yán)峻，剛剛過(guò)去的2018年，安全事件頻發(fā)且非常嚴(yán)重。2018年1月爆出幽靈漏洞嚴(yán)重影響大面積的CPU、操作系統(tǒng)、路由器等基礎(chǔ)設(shè)施。3月份Facebook被暴出3000萬(wàn)客戶資料被泄露，同月黑客利用漏洞感染了歐洲歐洲40萬(wàn)臺(tái)機(jī)器；國(guó)內(nèi)5月份，某快遞公司被暴出上億條客戶信息被黑客盜取，8月某酒店集團(tuán)的1.3億條用戶以及2.4億條開(kāi)房記錄泄露。

根據(jù)RedLock2018年5月的云安全報(bào)告，使用云資產(chǎn)的企業(yè)中51%的存在配置錯(cuò)誤、27%存在賬戶被竊取、24%的云主機(jī)存在重要安全漏洞未打補(bǔ)丁、還有25%的企業(yè)有云資產(chǎn)被黑客用來(lái)挖礦。

阿里云安騎士

阿里云安騎士（服務(wù)器安全護(hù)衛(wèi)）是一款經(jīng)受百萬(wàn)級(jí)服務(wù)器穩(wěn)定性考驗(yàn)的安全加固產(chǎn)品，擁有自動(dòng)化實(shí)時(shí)入侵威脅檢測(cè)、病毒查殺、漏洞智能修復(fù)、基線一鍵核查、網(wǎng)頁(yè)防篡改等功能，是構(gòu)建服務(wù)器安全防線的統(tǒng)一管理平臺(tái)。

阿里云日志服務(wù)

阿里云的日志服務(wù)（log service）是針對(duì)日志類數(shù)據(jù)的一站式服務(wù)，無(wú)需開(kāi)發(fā)就能快捷完成海量日志數(shù)據(jù)的采集、消費(fèi)、投遞以及查詢分析等功能，提升運(yùn)維、運(yùn)營(yíng)效率。日志服務(wù)主要包括 實(shí)時(shí)采集與消費(fèi)、數(shù)據(jù)投遞、查詢與實(shí)時(shí)分析 等功能，適用于從實(shí)時(shí)監(jiān)控到數(shù)據(jù)倉(cāng)庫(kù)的各種開(kāi)發(fā)、運(yùn)維、運(yùn)營(yíng)與安全場(chǎng)景：

安騎士實(shí)時(shí)日志分析介紹

目前，安騎士與日志服務(wù)打通，對(duì)外開(kāi)放平臺(tái)依賴或者產(chǎn)生的日志，包括主機(jī)、安全共11種子類日志。提供近實(shí)時(shí)的日志自動(dòng)采集存儲(chǔ)、并提供基于日志服務(wù)的查詢分析、報(bào)表報(bào)警、下游計(jì)算對(duì)接與投遞的能力。

發(fā)布地域

• 國(guó)內(nèi)

適用客戶

• 對(duì)云上資產(chǎn)的主機(jī)、及安全日志有存儲(chǔ)合規(guī)需求的大型企業(yè)與機(jī)構(gòu)，如金融公司、政府類機(jī)構(gòu)等。

• 擁有自己的安全運(yùn)營(yíng)中心（SOC)，需要收集安全告警等日志進(jìn)行中央運(yùn)營(yíng)管理的企業(yè)，如大型地產(chǎn)、電商、金融公司、政府類機(jī)構(gòu)等。

• 擁有較強(qiáng)技術(shù)能力，需要基于云上資產(chǎn)的日志進(jìn)行深度分析、對(duì)告警進(jìn)行自動(dòng)化處理的企業(yè)，如IT、游戲、金融公司等。

功能優(yōu)勢(shì)

• 快速：安全與主機(jī)日志分析從十幾分鐘級(jí)提升為秒級(jí)

• 全面：覆蓋主機(jī)、安全類共11種子類日志

• 靈活：所見(jiàn)即所得分析能力，內(nèi)置6張報(bào)表，用戶可以自定義構(gòu)建業(yè)務(wù)視圖、告警等

• 開(kāi)放：與阿里云、開(kāi)源生態(tài)下流計(jì)算、大數(shù)據(jù)系統(tǒng)融合，對(duì)合作伙伴開(kāi)放

• 合規(guī)：免費(fèi)提供180天日志存儲(chǔ)，提供相應(yīng)數(shù)據(jù)檢索能力以及數(shù)據(jù)對(duì)接能力

限制說(shuō)明

安騎士所存儲(chǔ)的日志庫(kù)屬于專屬的日志庫(kù)，有如下限制：

1. 用戶無(wú)法通過(guò)API/SDK等方式寫入數(shù)據(jù)，或者修改日志庫(kù)的屬性（例如存儲(chǔ)周期等）

2. 其他日志庫(kù)的功能，例如查詢、統(tǒng)計(jì)、報(bào)警、流式消費(fèi)等均支持與一般日志庫(kù)無(wú)差別

3. 日志服務(wù)對(duì)專屬日志庫(kù)不進(jìn)行任何收費(fèi)，但日志服務(wù)本身需處于可用狀態(tài)（不超期欠費(fèi)）

4. 內(nèi)置的報(bào)表可能會(huì)在以后更新并升級(jí)

使用場(chǎng)景

1.追蹤主機(jī)登錄、進(jìn)程啟動(dòng)、網(wǎng)絡(luò)鏈接，溯源安全威脅：

可以在日志服務(wù)的日志庫(kù)中進(jìn)行交互式查詢：

也支持標(biāo)準(zhǔn)SQL92語(yǔ)法，并融合多種擴(kuò)展分析函數(shù)，參考查詢分析日志。

2. 實(shí)時(shí)查看主機(jī)活動(dòng)，洞察狀態(tài)與趨勢(shì)：

可以使用內(nèi)置報(bào)表，洞察主機(jī)、安全狀況，具體參考內(nèi)置報(bào)表，用戶甚至可以免費(fèi)構(gòu)建自己的報(bào)表大盤。

3. 快速了解安全運(yùn)營(yíng)效率，即時(shí)反饋處理：

可以查看內(nèi)置運(yùn)營(yíng)活動(dòng)報(bào)表，了解運(yùn)營(yíng)效率：

也可以在日志查詢分析的結(jié)果上，基于特定條件建立個(gè)性化的告警通知，以便第一時(shí)間處理，日志服務(wù)支持多種告警模式（例如釘釘、短信等），并支持自定義告警內(nèi)容模板：

4. 輸出安全網(wǎng)絡(luò)日志到自建數(shù)據(jù)與計(jì)算中心

使用日志服務(wù)，支持多種形式將日志導(dǎo)出到您的SOC、OSS或者流式計(jì)算引擎當(dāng)中，具體可以參考日志服務(wù)與Splunk集成實(shí)戰(zhàn)、日志服務(wù)與SIEM集成實(shí)戰(zhàn)（syslog）。

進(jìn)一步參考

進(jìn)一步參考相關(guān)用戶手冊(cè)與最佳實(shí)踐：

• 阿里云安騎士 - 簡(jiǎn)介

• 阿里云安騎士 - 配置實(shí)時(shí)日志

• 阿里云安騎士 - 日志類別

• 阿里云安騎士 - 內(nèi)置報(bào)表

• 阿里云安騎士 - 高級(jí)管理

• 日志服務(wù)與Splunk集成實(shí)戰(zhàn)

• 日志服務(wù)與SIEM集成實(shí)戰(zhàn)（syslog）