文档中心

云安全中心SOC用户指南

最近更新时间：

4 最佳实践

4.1 DDoS攻击告警

4.1.1 场景描述

云安全中心内置 DDoS 检测模型，可检测 DDoS 流量攻击等行为，生成告警日志，为用户提供处理建议和处理接口；同时支持 DDoS 攻击防御功能，当网络流量超过清洗阈值时，系统会开始对攻击流量进行清洗，对流量成分进行正常/异常判断，丢弃异常流量，减轻攻击对服务器造成的损害，尽可能保障您的业务可用。

4.1.2 前提条件

云安全中心支持 DDoS 防护告警。DDoS 防护告警功能需先在平台侧（即 CECSTACK 统一管理平台）的多源日志接入中接入抗 D 设备，平台侧将接收到的 DDoS 日志根据租户信息同步到租户侧。

4.1.3 查看 DDoS 攻击告警

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(3) 在下拉菜单选择告警类型“拒绝服务攻击 > 遭受 DDoS 攻击”；选择时间范围后，便可查询目标告警。

(4) 在“告警详情”模块，单击“详情与建议”可查看告警详细信息和处理建议；单击“告警处理”可对告警信息进行处理。

DDoS 攻击开始

DDoS 攻击进行中

DDoS 攻击结束

4.1.4 DDoS 告警处理

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(3) 在“告警详情”模块，单击目标告警操作列的“告警处理”，弹出告警处理对话框。

(4) 根据实际情况选择处理方式即可。处理完成后，告警状态修改为已处理的状态。

4.1.5 DDoS 防御设置

云安全中心支持 DDoS 攻击防御功能。当网络流量超过清洗阈值时，系统会开始对攻击流量进行清洗，对流量成分进行正常/异常判断，丢弃异常流量，减轻攻击对服务器造成的损害，尽可能保障您的业务可用。

您可以根据业务需求设置 DDoS 的清洗阈值。

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的 BTS6~%59}1(32@~6MS4HFJ9.png 上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(3) 单击右上角的“全局设置”，弹出“全局设置”对话框。

(4) 设置 DDoS 阈值参数，单击“保存”，设置成功。

DDoS 阈值设置完成后，当网络流量满足其中一个触发值时，系统开始对攻击流量进行清洗。

4.2 DGA域名检测

4.2.1 场景描述

云安全中心支持 DGA 域名检测、DGA 告警。

在云工作负载安全 CWP 中开启“网络异常行为-域名规则”的全局策略状态开关，CWP 采集服务器上的 DNS 数据并将数据同步到 SOC，SOC 便可根据 DGA 域名检测的 AI 算法识别数据中的DGA 域名，并生成相应的 DGA 告警。

4.2.2 前提条件

请在云工作负载安全 CWP 中开启“网络异常行为-域名规则”的全局策略状态开关。

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的 BTS6~%59}1(32@~6MS4HFJ9.png 上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全控制台页面。

(2) 开通 CWP 服务。

(3) 确认全局策略状态为开启状态。

4.2.3 查看 DGA 告警

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的 BTS6~%59}1(32@~6MS4HFJ9.png 上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(3) 在下拉菜单选择告警类型“网络异常行为 > DGA”；选择时间范围后，便可查询目标告警。

(4) 查看告警列表、Top10 风险负载、Top10 告警类型。

(5) 在“告警详情”模块，单击“详情与建议”可查看告警详细信息和处理建议；单击“告警处理”可对告警信息进行处理。

4.2.4 DGA 告警处理

DGA 告警处理

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的 BTS6~%59}1(32@~6MS4HFJ9.png 上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(3) 参见查看 DGA 告警，筛选出 DGA 域名检测的告警。

(4) 在“告警详情”模块，单击目标告警操作列的“告警处理”，弹出告警处理对话框。

(5) 根据实际情况选择处理方式即可。处理完成后，告警状态修改为已处理的状态。

4.2.5 创建 DGA 告警白名单

您可以通过以下两种方式添加 DGA 告警白名单：

• 在告警处理页面选择“加白”操作。

操作参见 DGA 告警处理，在告警处理时选择“加白”；加白成功的 DGA 告警白名单将显示在“策略中心 > 策略白名单”列表中。

• 在“策略中心 > 策略白名单”页面新建 DGA 策略白名单。

具体操作参见新建策略白名单。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服

中国电子云

售前专家免费咨询

根据您填写的需求，将有售前专家为您提供免费服务！

咨询我们

7*24小时服务

1V1专家服务

全栈安全

咨询热线

400-080-1100

联系邮箱

cecloud-support@cestc.cn

在线客服

热门推荐: 专属云; 存储; 安全; PaaS; 超融合

热门解决方案: 政务云解决方案; 金融灾备云解决方案; 乡村振兴解决方案; K12智能云解决方案; 人社大数据建设方案

精选客户案例: 西咸新区智慧城市共性平台; 泸州白酒产业大数据平台; 新疆银行同城灾备云; 盐南城市驾驶舱项目; 中国南方电网云南调度云平台

关于中国电子云: 中国电子云简介; 资质与荣誉; 新闻中心

快速入口: 合作伙伴; 客户支持; 增值服务; 适配认证; 培训认证

关注或联系我们

友情链接：桑达股份中国系统

中电云计算技术有限公司 2022 保留一切权利鄂B2-20220088-1 鄂公网安备 42011402000611号法律声明及隐私权政策

联系我们

回到顶部

为您提供专业的咨询服务，快速解决您的问题

cecloud-support@cestc.cn