背景

云資產(chǎn)安全形勢

信息時代越來越發(fā)達，網(wǎng)絡信息安全形勢愈加嚴峻，剛剛過去的2018年，安全事件頻發(fā)且非常嚴重。2018年1月爆出幽靈漏洞嚴重影響大面積的CPU、操作系統(tǒng)、路由器等基礎設施。3月份Facebook被暴出3000萬客戶資料被泄露，同月黑客利用漏洞感染了歐洲歐洲40萬臺機器；國內5月份，某快遞公司被暴出上億條客戶信息被黑客盜取，8月某酒店集團的1.3億條用戶以及2.4億條開房記錄泄露。

根據(jù)RedLock2018年5月的云安全報告，使用云資產(chǎn)的企業(yè)中51%的存在配置錯誤、27%存在賬戶被竊取、24%的云主機存在重要安全漏洞未打補丁、還有25%的企業(yè)有云資產(chǎn)被黑客用來挖礦。

阿里云安騎士

阿里云安騎士（服務器安全護衛(wèi)）是一款經(jīng)受百萬級服務器穩(wěn)定性考驗的安全加固產(chǎn)品，擁有自動化實時入侵威脅檢測、病毒查殺、漏洞智能修復、基線一鍵核查、網(wǎng)頁防篡改等功能，是構建服務器安全防線的統(tǒng)一管理平臺。

阿里云日志服務

阿里云的日志服務（log service）是針對日志類數(shù)據(jù)的一站式服務，無需開發(fā)就能快捷完成海量日志數(shù)據(jù)的采集、消費、投遞以及查詢分析等功能，提升運維、運營效率。日志服務主要包括 實時采集與消費、數(shù)據(jù)投遞、查詢與實時分析 等功能，適用于從實時監(jiān)控到數(shù)據(jù)倉庫的各種開發(fā)、運維、運營與安全場景：

安騎士實時日志分析介紹

目前，安騎士與日志服務打通，對外開放平臺依賴或者產(chǎn)生的日志，包括主機、安全共11種子類日志。提供近實時的日志自動采集存儲、并提供基于日志服務的查詢分析、報表報警、下游計算對接與投遞的能力。

發(fā)布地域

• 國內

適用客戶

• 對云上資產(chǎn)的主機、及安全日志有存儲合規(guī)需求的大型企業(yè)與機構，如金融公司、政府類機構等。

• 擁有自己的安全運營中心（SOC)，需要收集安全告警等日志進行中央運營管理的企業(yè)，如大型地產(chǎn)、電商、金融公司、政府類機構等。

• 擁有較強技術能力，需要基于云上資產(chǎn)的日志進行深度分析、對告警進行自動化處理的企業(yè)，如IT、游戲、金融公司等。

功能優(yōu)勢

• 快速：安全與主機日志分析從十幾分鐘級提升為秒級

• 全面：覆蓋主機、安全類共11種子類日志

• 靈活：所見即所得分析能力，內置6張報表，用戶可以自定義構建業(yè)務視圖、告警等

• 開放：與阿里云、開源生態(tài)下流計算、大數(shù)據(jù)系統(tǒng)融合，對合作伙伴開放

• 合規(guī)：免費提供180天日志存儲，提供相應數(shù)據(jù)檢索能力以及數(shù)據(jù)對接能力

限制說明

安騎士所存儲的日志庫屬于專屬的日志庫，有如下限制：

1. 用戶無法通過API/SDK等方式寫入數(shù)據(jù)，或者修改日志庫的屬性（例如存儲周期等）

2. 其他日志庫的功能，例如查詢、統(tǒng)計、報警、流式消費等均支持與一般日志庫無差別

3. 日志服務對專屬日志庫不進行任何收費，但日志服務本身需處于可用狀態(tài)（不超期欠費）

4. 內置的報表可能會在以后更新并升級

使用場景

1.追蹤主機登錄、進程啟動、網(wǎng)絡鏈接，溯源安全威脅：

可以在日志服務的日志庫中進行交互式查詢：

也支持標準SQL92語法，并融合多種擴展分析函數(shù)，參考查詢分析日志。

2. 實時查看主機活動，洞察狀態(tài)與趨勢：

可以使用內置報表，洞察主機、安全狀況，具體參考內置報表，用戶甚至可以免費構建自己的報表大盤。

3. 快速了解安全運營效率，即時反饋處理：

可以查看內置運營活動報表，了解運營效率：

也可以在日志查詢分析的結果上，基于特定條件建立個性化的告警通知，以便第一時間處理，日志服務支持多種告警模式（例如釘釘、短信等），并支持自定義告警內容模板：

4. 輸出安全網(wǎng)絡日志到自建數(shù)據(jù)與計算中心

使用日志服務，支持多種形式將日志導出到您的SOC、OSS或者流式計算引擎當中，具體可以參考日志服務與Splunk集成實戰(zhàn)、日志服務與SIEM集成實戰(zhàn)（syslog）。

進一步參考

進一步參考相關用戶手冊與最佳實踐：

• 阿里云安騎士 - 簡介

• 阿里云安騎士 - 配置實時日志

• 阿里云安騎士 - 日志類別

• 阿里云安騎士 - 內置報表

• 阿里云安騎士 - 高級管理

• 日志服務與Splunk集成實戰(zhàn)

• 日志服務與SIEM集成實戰(zhàn)（syslog）