背景

云資產(chǎn)安全形勢

信息時代越來越發(fā)達(dá)，網(wǎng)絡(luò)信息安全形勢愈加嚴(yán)峻，剛剛過去的2018年，安全事件頻發(fā)且非常嚴(yán)重。2018年1月爆出幽靈漏洞嚴(yán)重影響大面積的CPU、操作系統(tǒng)、路由器等基礎(chǔ)設(shè)施。3月份Facebook被暴出3000萬客戶資料被泄露，同月黑客利用漏洞感染了歐洲歐洲40萬臺機(jī)器；國內(nèi)5月份，某快遞公司被暴出上億條客戶信息被黑客盜取，8月某酒店集團(tuán)的1.3億條用戶以及2.4億條開房記錄泄露。

根據(jù)RedLock2018年5月的云安全報告，使用云資產(chǎn)的企業(yè)中51%的存在配置錯誤、27%存在賬戶被竊取、24%的云主機(jī)存在重要安全漏洞未打補(bǔ)丁、還有25%的企業(yè)有云資產(chǎn)被黑客用來挖礦。

阿里云安騎士

阿里云安騎士（服務(wù)器安全護(hù)衛(wèi)）是一款經(jīng)受百萬級服務(wù)器穩(wěn)定性考驗的安全加固產(chǎn)品，擁有自動化實(shí)時入侵威脅檢測、病毒查殺、漏洞智能修復(fù)、基線一鍵核查、網(wǎng)頁防篡改等功能，是構(gòu)建服務(wù)器安全防線的統(tǒng)一管理平臺。

阿里云日志服務(wù)

阿里云的日志服務(wù)（log service）是針對日志類數(shù)據(jù)的一站式服務(wù)，無需開發(fā)就能快捷完成海量日志數(shù)據(jù)的采集、消費(fèi)、投遞以及查詢分析等功能，提升運(yùn)維、運(yùn)營效率。日志服務(wù)主要包括 實(shí)時采集與消費(fèi)、數(shù)據(jù)投遞、查詢與實(shí)時分析 等功能，適用于從實(shí)時監(jiān)控到數(shù)據(jù)倉庫的各種開發(fā)、運(yùn)維、運(yùn)營與安全場景：

安騎士實(shí)時日志分析介紹

目前，安騎士與日志服務(wù)打通，對外開放平臺依賴或者產(chǎn)生的日志，包括主機(jī)、安全共11種子類日志。提供近實(shí)時的日志自動采集存儲、并提供基于日志服務(wù)的查詢分析、報表報警、下游計算對接與投遞的能力。

發(fā)布地域

• 國內(nèi)

適用客戶

• 對云上資產(chǎn)的主機(jī)、及安全日志有存儲合規(guī)需求的大型企業(yè)與機(jī)構(gòu)，如金融公司、政府類機(jī)構(gòu)等。

• 擁有自己的安全運(yùn)營中心（SOC)，需要收集安全告警等日志進(jìn)行中央運(yùn)營管理的企業(yè)，如大型地產(chǎn)、電商、金融公司、政府類機(jī)構(gòu)等。

• 擁有較強(qiáng)技術(shù)能力，需要基于云上資產(chǎn)的日志進(jìn)行深度分析、對告警進(jìn)行自動化處理的企業(yè)，如IT、游戲、金融公司等。

功能優(yōu)勢

• 快速：安全與主機(jī)日志分析從十幾分鐘級提升為秒級

• 全面：覆蓋主機(jī)、安全類共11種子類日志

• 靈活：所見即所得分析能力，內(nèi)置6張報表，用戶可以自定義構(gòu)建業(yè)務(wù)視圖、告警等

• 開放：與阿里云、開源生態(tài)下流計算、大數(shù)據(jù)系統(tǒng)融合，對合作伙伴開放

• 合規(guī)：免費(fèi)提供180天日志存儲，提供相應(yīng)數(shù)據(jù)檢索能力以及數(shù)據(jù)對接能力

限制說明

安騎士所存儲的日志庫屬于專屬的日志庫，有如下限制：

1. 用戶無法通過API/SDK等方式寫入數(shù)據(jù)，或者修改日志庫的屬性（例如存儲周期等）

2. 其他日志庫的功能，例如查詢、統(tǒng)計、報警、流式消費(fèi)等均支持與一般日志庫無差別

3. 日志服務(wù)對專屬日志庫不進(jìn)行任何收費(fèi)，但日志服務(wù)本身需處于可用狀態(tài)（不超期欠費(fèi)）

4. 內(nèi)置的報表可能會在以后更新并升級

使用場景

1.追蹤主機(jī)登錄、進(jìn)程啟動、網(wǎng)絡(luò)鏈接，溯源安全威脅：

可以在日志服務(wù)的日志庫中進(jìn)行交互式查詢：

也支持標(biāo)準(zhǔn)SQL92語法，并融合多種擴(kuò)展分析函數(shù)，參考查詢分析日志。

2. 實(shí)時查看主機(jī)活動，洞察狀態(tài)與趨勢：

可以使用內(nèi)置報表，洞察主機(jī)、安全狀況，具體參考內(nèi)置報表，用戶甚至可以免費(fèi)構(gòu)建自己的報表大盤。

3. 快速了解安全運(yùn)營效率，即時反饋處理：

可以查看內(nèi)置運(yùn)營活動報表，了解運(yùn)營效率：

也可以在日志查詢分析的結(jié)果上，基于特定條件建立個性化的告警通知，以便第一時間處理，日志服務(wù)支持多種告警模式（例如釘釘、短信等），并支持自定義告警內(nèi)容模板：

4. 輸出安全網(wǎng)絡(luò)日志到自建數(shù)據(jù)與計算中心

使用日志服務(wù)，支持多種形式將日志導(dǎo)出到您的SOC、OSS或者流式計算引擎當(dāng)中，具體可以參考日志服務(wù)與Splunk集成實(shí)戰(zhàn)、日志服務(wù)與SIEM集成實(shí)戰(zhàn)（syslog）。

進(jìn)一步參考

進(jìn)一步參考相關(guān)用戶手冊與最佳實(shí)踐：

• 阿里云安騎士 - 簡介

• 阿里云安騎士 - 配置實(shí)時日志

• 阿里云安騎士 - 日志類別

• 阿里云安騎士 - 內(nèi)置報表

• 阿里云安騎士 - 高級管理

• 日志服務(wù)與Splunk集成實(shí)戰(zhàn)

• 日志服務(wù)與SIEM集成實(shí)戰(zhàn)（syslog）