华为云用户手册

威胁运营 威胁运营提供丰富的 威胁检测 模型，帮助您从海量的安全日志中，发现威胁、生成告警；同时，提供丰富的安全响应剧本，帮助您对告警进行自动研判、处置，并对安全防线和安全配置自动加固。 表6 威胁运营功能介绍 功能模块 功能详情 事件管理 集中呈现事件详情，支持人工转事件、自动化转事件。 告警管理 提供统一的数据类管理（安全运营对象），内置华为云告警标准。通过集成各云服务告警，包含HSS、WAF、DDoS等，集中呈现告警信息。 情报管理 提供统一的数据类管理（安全运营对象），内置华为云威胁情报指标库标准。支持接入各云服务情报，同时也可以基于告警和事件自定义规则提取指标。 智能建模 支持构建告警模型。 安全分析 查询与分析 检索分析：支持数据的快捷检索分析，支持安全调查场景安全数据的快速筛留、筛除等操作，快速定位关键数据。 筛选统计：支持数据字段快速分析统计，并基于分析结果进行数据的快速筛选；时序数据支持默认时间分区统计，快速识别数据量的变化趋势，支持基于时间分区的快速筛选；支持分析、统计、排序等丰富统计分析函数，支撑快速构建安全分析模型。 可视化：支持 数据可视化 分析，直观反映业务结构性和趋势性特征，并基于此构建自定义分析报告和分析指标。 数据监控 支持数据流量端到端的监控管理。 数据消费 提供数据消费和生产的流式通信接口，提供数据管道集成SDK，支持租户利用SDK进行系统集成，支持客户自定义数据的生产和消费。 提供Logstash开源采集软件插件，支持利用开源生态进行数据消费和生产。 安全舆情 舆情监测可以持续挖掘和感知互联网安全态势变化，及时发现和挖掘与您有关的安全事件、安全漏洞、社会影响、品牌舆情、热搜分析等，还可以将监测形成分析报告，协助您掌握舆情动态，并对潜在的各类舆情风险点进行监测和综合研判。

安全治理 安全治理为您提供安全治理模板与合规策略扫描服务，将安全遵从包内的法规标准条款转化成检查项。 表3 安全治理功能说明 功能模块 功能详情 安全治理 提供安全遵从包 华为开放的安全治理模板，包含法规标准条款原文、扫描策略、自评估检查项以及华为专家的改进建议，覆盖PCI DSS、ISO27701、ISO27001、隐私等法规标准。用户可以订阅、取消订阅安全遵从包，查看合规评估与治理结果。 合规策略扫描 Policy as Code，将安全遵从包内的法规标准条款代码化，周期性、自动化扫描云上资产的合规情况，可视化看板呈现风险，提供华为专家改进建议。 自评估检查项 将安全遵从包内的法规标准条款转化成检查项，租户可根据检查项完成自身业务的合规评估，查看历史评估结果，进行证据上传和下载，根据华为专家改进建议进行治理。 合规结果可视 可视化呈现合规评估结果与安全治理情况，包括租户订阅的法规、标准条款遵从概况，各安全遵从包状态，各策略扫描概况。 说明： 安全治理当前为白名单功能，如需使用，请联系华为云技术支持添加白名单权限。

总览 总览呈现云上整体安全评估状况，并联动其他 云安全 服务，集中展示云上安全。 表1 安全概览功能介绍 功能模块 功能详情 安全评分 根据不同版本的威胁检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况。 评估得分越低，即风险值越大，则整体资产安全隐患越大。 安全监控 集中呈现未处理的威胁告警、漏洞和合规检查的风险数目，支持快速查看威胁告警、漏洞和合规风险详情。 安全趋势 呈现最近7天整体资产安全健康得分的趋势图。

工作空间管理 工作空间属于 安全云脑 顶层工作台，单个工作空间可绑定普通项目、企业项目和Region，可支撑不同场景下的工作空间运营模式。 表2 工作空间功能说明 功能模块 功能详情 工作空间 空间管理： 单个工作空间可绑定普通项目、Region，可支撑不同场景下的工作空间运营模式。 空间托管： 工作空间数据委托：单租所有工作空间按照租户实际运营汇聚到某一个工作空间做集中安全运营，跨租汇聚安全运营。 工作空间委托：跨账号安全运营，可实现工作空间委托集中安全运营查看统一资产风险、告警和事件等。

安全态势 支持通过安全态势即时查看大屏、定期订阅安全运营报告，了解安全运营核心关注指标。 表4 安全态势功能介绍 功能模块 功能详情 态势总览 安全评分 根据不同版本的威胁检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况。 评估得分越低，即风险值越大，则整体资产安全隐患越大。 安全监控 集中呈现未处理的威胁告警、漏洞和合规检查的风险数目，支持快速查看威胁告警、漏洞和合规风险详情。 安全趋势 呈现最近7天整体资产安全健康得分的趋势图。 安全大屏 利用AI技术将海量云安全数据的分析并分类，通过安全大屏将数据可视化展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 安全报告 通过创建分析报告，及时掌握资产的安全状况数据。 任务中心 集中呈现当前需要进行处理的任务。

服务韧性 华为云SecMaster当前主要部署在国内，已部署数据中心都处于正常运营状态，无一闲置。数据中心互为灾备中心，如一地出现故障，系统在满足合规政策前提下自动将客户应用和数据转离受影响区域，保证业务的连续性。为了减小由硬件故障、自然灾害或其他灾难带来的服务中断，华为云SecMaster提供灾难恢复计划。 当发生故障时，SecMaster的五级可靠性架构支持不同层级的可靠性，因此具有更高的可用性、容错性和可扩展性。 华为云SecMaster当前主要部署在国内，并在多个分区部署，同时SecMaster的所有管理面、引擎等组件均采用主备或集群方式部署。 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

为什么选择安全云脑 一键安全合规：一键生成遵从报告，华为积累的全球安全合规经验服务化，帮助用户快速实现云上业务安全/隐私保护遵从。 一屏全面感知：采集各类安全服务的告警事件，并进行大数据关联、检索、排序，全面评估安全运营态势，支持大屏展示安全运营动态。 一云全局分析：结合华为云积累的每日数亿威胁情报定位威胁，多维关联分析，消除无效告警、识别潜在高级威胁。 一体全程处置：服务内置多种处理剧本，实现99%以上的安全事件分钟级自动化响应。 更多安全云脑产品优势请参见产品优势。

版本功能差异 安全云脑各个版本的功能差异如下表所示，请您根据业务需求选择对应的服务版本： 表2 不同版本功能差异 服务功能 功能模块 功能概述 基础版 标准版 专业版 总览 呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。 √ √ √ 工作空间 空间管理：安全云脑顶层工作台，单个工作空间可绑定普通项目、企业项目和Region，可支撑不同场景下的工作空间运营模式。 空间托管： 工作空间数据委托：单租所有工作空间按照租户实际运营汇聚到某一个工作空间做集中安全运营，跨租汇聚安全运营。 工作空间委托：跨账号安全运营，可实现工作空间委托集中安全运营查看统一资产风险、告警和事件等。 √ √ √ 安全治理① 提供安全治理模板与合规策略扫描服务，将安全遵从包内的法规标准条款转化成检查项。 × × √ 安全态势 态势总览 安全评分：集中呈现资产安全风险评分和风险等级分布，同时展示当前风险防御能力。 安全监控：实时展示安全监控统计数据。 安全趋势：展示近7天内您的整体资产安全健康得分的趋势。 √ √ √ 安全大屏② 集中展示云上资产综合安全态势，动态呈现资产风险状况。 × √ √ 安全报告 通过创建分析报告，及时掌握资产的安全状况数据。 × × √ 任务中心 集中呈现当前需要进行处理的任务。 × √ √ 资产管理 同步资源信息，集中呈现资源整体安全状况。 × √ √ 风险预防 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 × √(仅支持基线检查，不支持查看检查结果详情) √ 漏洞管理 通过自动同步HSS 漏洞扫描 数据，分类呈现漏洞扫描详情，支持查看漏洞详情，并提供相应漏洞修复建议。 × × √ 应急漏洞公告 集中呈现业界披露的热点安全漏洞，全面掌握资产漏洞风险。 √ √ √ 策略管理 支持统一管理防线策略和应急策略。 × √ √ 威胁运营 事件管理 集中呈现安全威胁事件。 × √ √ 告警管理 提供统一的安全告警管理，内置华为云告警标准。通过集成各云服务告警，集中呈现告警信息。 × √ √ 情报管理 提供统一的安全威胁情报指标管理，内置华为云威胁情报指标库标准。支持接入各云服务情报，同时也可以基于告警和事件自定义规则提取指标。 × × √ 智能建模 支持构建告警模型。 × √ √ 安全分析② 支持对数据进行查询分析、消费、监控、投递。 × √ √ 安全舆情③ 用于发现和挖掘互联网安全态势变化。可以及时发现和挖掘与您有关的舆情，并将监测形成分析报告，协助您掌握舆情动态，并对潜在的各类舆情风险点进行监测和综合研判。 √ √ √ 安全编排 运营对象 集中对数据类、数据类类型、分类映射等进行管理。 × √ √ 剧本编排② 支持对剧本、流程、资产连接、实例的全生命周期管理。 × √ √ 页面布局 提供安全可视化 低代码开发平台 ，基于此平台可自定义安全分析报告、告警管理、事件管理、漏洞管理、基线管理、威胁情报指标库管理等页面布局。 × √ √ 插件管理 支持将安全编排流程中使用的插件进行统一管理。 × × √ 数据采集 使用Logstash通过多种方式采集各类日志数据。采集后，可以快速实现历史数据分析比对、数据关联分析、以及未知威胁发现等相关分析。 × √ √ 数据集成 通过集成生态安全产品，进行联动操作或数据对接。集成后，可以检索并分析所有收集到的日志。 × √（仅支持集成云服务告警） √ 目录定制 支持查看已有目录及更换布局等操作。 × √ √ 说明： 不同版本支持功能差别，标识符号说明如下： ×：代表不支持该功能。 √：代表支持该功能。 ①：使用安全治理功能前，需先提交工单申请开通使用权限。 ②：代表标准版、专业版支持该功能，但需额外购买增值包功能，如安全大屏、安全分析、剧本编排功能。 ③：仅部分region支持使用安全舆情监测功能，具体开放region请参见功能总览。其他region如需使用该功能，需先提交工单申请开通使用权限。

约束与限制 安全云脑约束与限制如下所示： 表1 约束与限制 模块 约束与限制 计费 基础版不支持购买增值包，如需使用增值包功能，请升级为标准版或专业版。 增值包不支持单独使用。 如果需要购买增值包，请先购买标准版或专业版。 如果退订了按需计费的专业版，系统将自动一并退订增值包。 如果退订了包周期计费的标准版或专业版，需手动一并退订增值包。 工作空间 付费版本安全云脑：单账号单Region内最多创建5个工作空间。 免费版本安全云脑：单账号单Region内最多创建1个工作空间。 工作空间永久删除：永久删除的workspace立即删除，不能进行恢复。 空间托管： 单账号单Region内最多创建1个空间托管视图。 单/跨账号单Region空间托管视图（包含的纳管工作空间数）中的工作空间数 ≤ 100个。 跨账号跨Region空间托管视图（包含的纳管工作空间数）中的工作空间数 ≤ 10个。 单账号创建账号委托 ≤ 10个。 暂不支持在同一个浏览器的多个窗口进入不同的工作空间进行操作。 数据空间/管道 单账号单Region单Workspace最多创建5个数据空间。 单账号单Region单数据空间最多创建20个数据管道。 安全报告 单账号单workspace内，最多可创建10个安全报告（包含日报、周报和月报）。 告警模型 单账号单Region单workspace最多创建100个告警模型。 一个告警模型的运行时间间隔须 ≥ 5分钟，查询数据的时间范围 ≤ 14天。 查询分析 单次查询分析最多支持返回500条结果。 一个数据管道内最多创建50个快速查询，即最多可以将50个查询分析条件保存为快速查询。 单次查询结果大于50000条时，准确率可能会下降。请通过缩短查询的时间范围、添加查询限制条件等方法减少查询结果的数量。 使用聚合查询（例如group by语句）聚合多个字段时，第二个字段默认分桶数量为10，如果超出会有数据丢失的情况，将导致查询结果不准确。 事件/告警/情报/漏洞 单账号单Workspace内，每天最多新增告警/事件/情报/漏洞100个。 单账号单Workspace内，每天最多可以告警转事件100个。 剧本 单账号单workspace内，单剧本调度频率时间 ≥ 5分钟。 剧本和流程实例 单账号单workspace内一天内的重试次数限制如下： 手动重试：流程实例最大重试次数100次。重试之后，等剧本执行完毕之后才允许再次重试。 API接口重试：流程实例最大重试次数100次。重试之后，等剧本执行完毕之后才允许再次重试。 分类&映射 单账号单workspace内，分类&映射模板 ≤ 50个。 单账号单workspace内，分类和映射的映射关系规格为1:100。 单账号单workspace内，最多可新增分类&映射100个。

审计与日志 审计 云审计 服务（Cloud Trace Service， CTS ），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录SecMaster的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 日志 查询 出于分析或审计等目的，用户开启了云审计服务后，系统开始记录SecMaster资源的操作。云审计服务管理控制台保存最近7天的操作记录。 关于SecMaster云审计日志的查看，如图1所示。 图1 查询日志 父主题： 安全

步骤一：购买E CS 购买用于采集数据的弹性云服务器，详细操作请参见购买ECS。 数据采集的Agent目前仅支持运行在Linux系统x86_64架构的ECS主机上。ECS主机支持以下操作系统类型：Huawei Cloud EulerOS 2.5、Huawei Cloud EulerOS 2.9、EulerOS 2.5、EulerOS 2.9、CentOS 7.9。 购买时，需注意操作系统和版本的选择。 图1 选择操作系统版本 ECS购买后，系统将根据使用情况进行收费，具体收费情况请参见ECS计费说明。 后续如果不再使用数据采集功能，需要手动释放用于采集数据的ECS资源，详细操作请参见如何释放ECS和 VPC终端节点 资源？。

剧本说明 安全云脑提供的高危漏洞自动通知剧本，当新增主机漏洞，且等级为高危时，自动通知运营人员。 “高危漏洞自动通知”剧本已匹配“高危漏洞自动通知”流程，该流程需要使用 消息通知 服务（Simple Message Notification， SMN ）来创建安全云脑告警通知主题，并完成订阅即可接收到告警通知。 当新增HSS的高危漏洞时，会通过SMN服务对运营人员发送漏洞通知。 图1 高危漏洞自动通知流程

事件类型：勒索软件攻击 勒索软件（Ransomware）又称勒索病毒，是一种特殊的恶意软件，属于“阻断访问式攻击”（denial-of-access attack）的一种。它通过技术手段限制受害者访问自己的系统或系统内的数据，如文档、邮件、数据库、源代码等，以此达到勒索钱财的目的。 一旦勒索软件对系统攻击成功后，再对系统实行中断攻击并减轻损害的措施是有限，并且极具挑战性的。因此，关注预防措施以减少此类攻击显得至关重要。 本文档介绍了一系列旨在有效管理和应对勒索软件攻击的步骤和策略。

事件响应流程 获取、保存、记录证据。 根据您的华为云环境的配置情况，您可能通过各种来源了解到潜在的勒索软件事件： 某IT员工反馈，通过SSH及其他类似方式无法访问ECS实例。 ECS实例创建正常，华为云的 云监控 （Cloud Eye）或其他监控工具也没有上报告警，但依然无法访问ECS实例。 由ECS实例的异常指标或异常日志触发生成一个工单在您的工单系统中。 ECS实例在华为云控制台或云监控的告警中上报网络异常问题。 攻击者通过其他通信渠道（如电子邮件）收到勒索软件的请求。 通过华为云安全服务或其他安全工具发现ECS实例遭受到攻击。 您的华为云或者其他第三方监控系统发出告警或显示指标异常。 当确认某个事件为安全事件后，评估其影响范围至关重要，包括受影响资源的数量和所涉及数据的敏感性。 排查是否有任何已知事件可能导致服务中断或影响实例指标，例如，由于正在进行的事件导致云监控中的网络指标增加。 使用云监控或其他应用程序性能监控工具将记录的应用程序的性能基线指标与当前异常指标进行对比，判断是否存在异常行为。 确定存储在ECS实例、OBS桶或其他存储中的数据的分类级别。 请确保已为该事件创建工单。如果未创建，请手动创建一个。 如果为已有工单，请确定当前指示问题的告警或指标是什么。 如果工单是由告警或指标触发自动生成的工单，可明确其自动生成工单的什么的原因；如果工单非自动生成，则记录导致识别问题的告警或通知。确认服务中断是由已知事件还是其他原因造成的，如果不能判断，则记录攻击的实际媒介。 使用日志搜索来确定勒索攻击发生的时间。 可以使用华为云的云审计服务（Cloud Trace Service）服务，它提供对各种云资源操作记录的收集、存储和查询功能。 确定并记录对最终用户的影响及其体验。 如果用户受到影响，请在工单中记录导致攻击事件的详细步骤，以帮助识别攻击媒介并制定适当的缓解策略。 根据您企业/组织的事件响应计划确定事件涉及的角色。通知相关角色，包括法务人员、技术团队和开发人员，并确保他们被添加到工单和WarRoom中持续响应该事件。 确保您的组织的法律顾问了解并参与到事件的内部响应和外部沟通中，并将负责公共或外部沟通的同事添加到工单中，以便他们能够及时履行其沟通职责。如果地方或联邦法规要求报告此类事件，请通知有关当局，并向其法律顾问或执法部门寻求关于收集证据和保存监管链的指导。如果法规没有要求，向开放数据库、政府机构或非政府组织报告此类事件也可能有助于推进响应此事件。 控制事件。 尽早检测异常用户行为或网络活动是减少勒索软件事件影响的关键。可以参考以下步骤来帮助您控制事件。如果以下步骤适用，请与您的企业/组织的法律和合规团队合作，采取任何必要的响应措施，并继续进行事件响应流程。 确定攻击事件中涉及的勒索软件的类型。常见的勒索软件类型如下： 加密勒索软件：加密文件和对象。 锁定勒索软件：锁定对设备的访问。 其他类型：新类型或以前未记载的类型。 受攻击影响的工作负载，对于已识别出的与其相关联的华为云资源，可以通过修改安全组、OBS桶策略或相关身份和访问管理策略来隔离网络或互联网连接，以最大限度地减少感染传播的机会，或最大限度地减少攻击者访问这些资源的机会。 请注意，由于连接跟踪，有时修改安全组可能不会达到预期效果。 评估ECS实例是否需要恢复。如果该实例属于弹性伸缩组，则请从组中移除该实例。此外，如果事件与主机操作系统中的漏洞有关，请更新系统并确保已修补漏洞。 通过云审计服务查看操作日志，查看是否存在未经授权的活动，例如，创建未经授权的 IAM 用户、策略、角色或临时安全凭证。如果有，请删除任何未经授权的IAM用户、角色和策略，并撤销所有临时凭据。 如果攻击媒介是由未修补的软件、操作系统更新、过期的恶意软件或防病毒工具造成的，请确保所有ECS实例都更新到最新版本的操作系统，所有软件包和补丁程序都是最新的，并且所有ECS实例上的病毒特征码和定义文件都是最新的。您可以通过如下方式进行处理：针对可变架构，请立即进行修补；针对不可变架构，请进行重新部署。 根据5中的更新，删除被识别为有感染风险的所有剩余资源（可能访问了下载勒索软件的同一媒介，无论是通过电子邮件、访问受感染的网站，还是其他方式）。对于通过弹性伸缩管理的资源，重点识别攻击媒介，并采取措施防止其他资源通过同一媒介受到感染。 消除事件。 评估事件的影响是否仅限于环境的特定部分。如果能从备份或快照中恢复被勒索的数据，请参考备份或快照进行恢复。 请注意，在隔离的环境下调查事件以进行根本原因分析，对于实施控制措施以防止将来发生类似事件具有极大价值。 考虑使用最新的防病毒或防恶意软件来消除勒索软件。 请谨慎此操作，因为此操作可能会向攻击者发出警报。建议在隔离的取证环境中查看被锁定或加密的对象，例如，从受感染的ECS实例中删除网络访问权限。 删除在取证分析过程中识别到的所有恶意软件，并识别入侵指标。 如果已确定勒索软件毒种，请检查是否有可用的第三方解密工具或其他可能有助于解密数据的在线资源。 从事故中恢复。 确定从备份执行的所有还原操作的还原点。 查看备份策略，以确定是否可以恢复所有对象和文件，这取决于在资源上应用的生命周期策略。 使用取证方法确认数据在恢复之前是安全的，然后从备份中恢复数据，或者恢复到ECS实例的早期快照。 如果您已成功使用任何开源解密工具恢复数据，请从实例中删除该数据，并执行必要的分析以确认数据是安全的。然后，恢复实例，终止或隔离实例并创建新的实例，并将数据还原至新实例中。 如果从备份恢复或解密数据都不可行，请评估在新环境中重新开始的可能性。 事故后活动。 将在模拟和现场事件中吸取的经验教训记录并应用到后续的流程和程序中，可以使受害方更好地了解事件是如何在系统配置和流程中发生的（例如，哪里存在弱点、哪里的自动化可能出现故障、哪里缺乏可见性），以及如何加强其整体安全态势。 如果您已经确定了最初的攻击媒介或进入点，请如何降低风险再次发生的最佳方法。 例如，如果恶意软件最初通过一个未修补的面向公众的ECS实例进入，并且您已将缺失的补丁程序应用于所有当前实例，请考虑如何改进补丁程序管理流程，旨在更快速和一致地测试和应用补丁程序，以防止将来出现类似问题。 如果您已经制定了解决特定威胁的技术步骤，请评估当检测到相关威胁时自动执行这些步骤的几率。使用自动化处理，可以帮助更快地减轻威胁，从而最大限度地减少影响的范围和严重性。 向响应过程中的所有角色收集其获得的经验教训，并根据需要更新您的事件响应计划、灾难恢复计划和本响应方案。同时，酌情考虑和资助新的技术能力和人员技能，以弥补已发现的差距。

剧本说明 安全云脑提供的自动更改告警名称剧本，支持用户按照不同维度自定义告警名称。 “自动更改告警名称”剧本已匹配“自动更改告警名称”流程，配置该剧本，需要对流程及流程中的插件进行适配。 “自动更改告警名称”流程共四个插件节点：获取告警类型id、获取告警详情、SecMasterBiz、告警名称更新。本流程只需配置SecMasterBiz插件节点，该节点用来定制告警名称的。 图1 自动更改告警名称流程

事件响应方案 针对以上问题，华为云推出了安全云脑（SecMaster）服务，它是华为云原生的新一代安全运营中心，集华为云多年安全经验，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，可以鸟瞰整个云上安全，精简云安全配置、云防护策略的设置与维护，提前预防风险，同时，可以让威胁检测和响应更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。

事件响应流程 识别身份凭证是否受损或泄露。 如果您收到如下提示信息，您需要排查并识别您的身份凭证是否受损或泄露： 来自华为云服务（例如，华为 云证书管理服务 CCM、安全云脑 SecMaster、云审计服务 CTS等）、外部监控系统的告警或指标； 来自承包商或第三方服务提供商的提示信息； 通过内部或外部安全研究人员排查信息； 内部系统信息； 匿名举报信息； 其他途径的信息。例如，攻击者通过被泄露的凭证，窃取您的数据，并修改您面向公众的资源时。 确认已针对该事件提交工单或案例。如果没有，请手动提交。 确定并记录问题对最终用户的影响或体验。 无论从用户角度来看，此类场景可能没有直接的用户影响，请将调查结果记录在与此事件相关的工单或案例中。 对于自动创建的工单或案例，确定哪些告警或指标是存在问题的。 例如触发告警或指标可能是CTS服务指标指示您的IAM配置的某些方面不合规，或者IAM服务警报，表明可能存在凭据泄露。也可能是一个计费警报，当您的计费成本已超过预定阈值，触发告警和通知。 确定已泄露的凭据集。 如果以创建工单或案例，请检查该工单或案例中是否记录了用户/角色名称、用户或角色ID或访问密钥ID。 如果告警来自安全云脑基线检查，您可以在控制台查看基线检查结果，找到受影响凭证的访问密钥ID。具体操作请参见查看基线检查结果。 如果告警来自CTS服务，您可以在控制台事件列表，查看跟踪结果。“资源名称”为访问密钥，Credential字段则包含“access_key_id”、“account_id”、“user_name”和其他信息。 确定凭证可能被破坏或泄露的时间。在该时间后进行的任何API操作应被视为恶意操作，在该时间后创建的任何资源应被视为被泄露。 如果您的应用程序发生服务中断，需确定造成中断的可能事件。如果中断事件与凭据泄漏无关，需检查部署管道以确定在事件发生之前是否进行了任何更改。您可以通过CTS服务，协助查看所有账户活动的日志。 事件沟通： 根据组织的事件响应计划确定利益相关方的角色。 通知相关干系人，包括法务人员、技术团队和开发人员，并确保他们被添加到工单和作战室中，以进行持续更新。 外部沟通： 确保您的法律顾问了解情况，并将其纳入内部利益相关者更新的，特别是外部沟通的状态更新。 将负责公共或外部沟通的同事添加到工单中，以便他们可以接收定期收到有关事件的状态更新，并履行其沟通职责。 如果您所在辖区有法规要求报告此类事件，请确保贵组织中负责通知当地或联邦执法机构的人员也收到有关该事件的通知/被添加到工单中。请咨询您的法律顾问、执法部门，以获取有关收集和保存证据和监管局的指导。即使法规没有要求，向开放数据库、政府机构或非政府组织报告，您的报告也可能有助于跟踪类似的活动或帮助其他人。 控制事件。 您可以通过禁用受损凭证或撤销与这些凭证相关的权限，从而阻止使用受损凭据调用API。 禁用1识别到的受损凭证。 如果是永久IAM用户凭证，请在IAM控制台，删除用户凭证，具体操作请参见删除IAM用户。 如果是通过IAM获取的临时安全凭证，则会关联到IAM角色。您可以通过如下方法禁用这些功能： 撤销所有当前角色会话。如果攻击者获取新的临时安全凭证，并继续攻击，跳转到2.a.ii.2。 删除添加到该角色的所有IAM策略，修改已有策略以阻止所有访问，或者修改角色的策略以防止攻击者承担该角色。 由于凭证在颁发后的指定时间段内仍然有效，因此请务必注意，修改信任策略后，凭证在有效期内将被允许继续使用。2.a.ii.1和2.a.ii.2将阻止所有用户使用通过承担角色获得的凭证，包括任何合法用户或应用程序。 您可以在30分钟左右的时间内通过CTS服务控制台查看持续使用的凭证，无论是访问密钥、IAM用户还是角色，确认受损凭证已被禁用。 消除事件。 您需要排查凭证在受损后执行了哪些API操作，创建、删除或修改了哪些资源，并采取响应措施，消除影响。 使用您的首选监控工具，访问CTS服务，并采集受损凭证执行的所有API操作，日志采集时间为受损时间到当前时间。 如果您使用的是第三方工具（如Splunk或其他工具）采集云审计服务日志，请按照从该工具获取日志信息的正常过程进行操作。 如果您不使用第三方工具，而是将日志发送到华为云 对象存储服务 （OBS），您可以使用华为 云日志服务LTS 采集、查询和存储日志。 在日志服务LTS控制台，查询凭证在受损或泄露后的日期/时间采取的所有API操作。 从结果列表中，确定哪些API调用： 访问敏感数据，例如，OBS Object。 创建新的华为云资源，例如数据库、云服务器等。 创建资源的服务，包括ECS弹性伸缩组等。 创建或修改权限，同时，还应排查包括（但不限于）以下API方法：CreateUser、CreateRole、AssumeRole*、Get*Token、Attach*Policy、*Image*、*Provider、Tag*、Create*、Delete*、Update*等。 删除现有华为云资源。 修改现有华为云资源。 根据上一步的结果，确定是否有任何应用程序可能受到影响。如果有，获取受影响的每个资源的ID或标记信息，并通知资源的所有者。 基于以上结果，如果创建了额外的凭证获取资源（IAM用户、角色等），根据2.a，禁用和删除这些资源的所有凭证。 重复3.a到3.e，排查是否仍存在额外发现的凭证，直到全部处置完成。 从事故中恢复。 恢复被修改的资源： 如果资源可以被销毁和替换，则添加新的资源。 如果资源无法被替换，请执行以下任一操作： 从备份还原资源。 准备新资源并将其配置到应用程序的基础架构中，同时隔离受损资源并将其从应用程序的基础架构中移除。 销毁受损资源，或继续将其隔离以备取证。 恢复删除的资源： 通过排查确定资源所属的应用程序。如果资源标签未在CTS服务条目中列出，且华为云配置支持该资源，则检查华为云的配置。 如果删除的资源可以从备份中恢复，请直接恢复；如果删除的资源无法从备份中恢复，请查阅CMDB以获取资源的配置，重新创建资源并将其配置到应用程序的基础结构中。 事故后活动。 针对某些受损资源进行调查取证，分析攻击者对受损资源使用了哪些攻击手段，并确定是否需要针对相关资源或应用程序采取额外的风险和风险缓解措施。 对于任何已隔离以供进一步分析的受损资源，对这些资源执行取证活动，并将调查结果纳入事后报告。 确保正确更新CMDB以反映受影响的所有资源和应用程序的当前状态。 审查事件本身和对它的响应，确定哪些措施起作用，哪些措施不起作用，根据这些信息更新改进流程，并记录调查结果。

资产来源及对应的防护产品 表1 资产来源及对应的防护产品 参数名称 来源 对应的安全防护产品 主机资产 弹性云服务器（Elastic Cloud Server，ECS） 主机安全服务（Host Security Service，HSS） 网站 Web应用防火墙 （Web Application Firewall，WAF） Web应用防火墙（Web Application Firewall，WAF） 数据库 云数据库（Relational Database Service，RDS） 数据库安全服务（Database Security Service，DBSS） VPC 虚拟私有云（Virtual Private Cloud，VPC） 云防火墙 （Cloud Firewall，CFW） EIP 弹性公网IP（Elastic IP，EIP） DDoS原生基础防护服务（Anti-DDoS流量清洗，Anti-DDoS） 设备 用户线下设备资产 -- 说明： 资产信息同步至安全云脑后，在安全云脑控制台将展示资产的防护状态。防护状态说明如下： 如果资产的“防护状态”显示“已防护”，表示已购买对应安全防护产品，且已开启防护。 如果资产的“防护状态”显示“未防护”，表示未购买对应安全防护产品，且未开启防护。如果需要防护目标资产，请购买对应安全防护产品并开启防护，例如，需要防护ECS，则请购买HSS，并在HSS中开启防护。 安全防护产品具体操作请参见HSS操作指引、WAF操作指引、DBSS操作指引、CFW操作指引、Anti-DDoS操作指引。 如果资产的“防护状态”显示为“--”，表示对应的安全防护产品在该region不支持使用。

SOC团队的最佳做法 要负责的事情太多，SOC必须有效地企业/组织和管理才能取得结果。拥有强大SOC的企业/组织会实施以下安全做法： 策略与业务看齐 即使资金最充裕的SOC也必须决定将时间和金钱集中在哪些方面。企业/组织通常会先进行风险评估，来识别最容易出现风险的方面和最大的业务机会。这有助于确定需要保护哪些内容。SOC还需要了解资产所在的环境。很多企业的环境很复杂，一些数据和应用程序在本地，一些跨多个云分布。策略有助于确定安全专业人员是否需要每天任何时间都可联系，以及是在内部配置SOC还是使用专业服务更好。 员工具备能力、经过良好培训 有效SOC的关键在于高技能且不断进步的员工。首先是要找到最优秀的人才，但由于安全人员市场竞争非常激烈，因此这可能很棘手。为了避免技能差距，许多企业/组织试着寻找拥有各种专业知识的人员，这些知识包括系统和情报监视、警报管理、事件检测和分析、威胁搜寻、道德黑客、网络取证和逆向工程。他们还会部署可自动执行任务的技术，让较小型的团队更加高效，并提高初级分析员的产出。在定期培训方面投入有助于企业/组织留住关键员工、弥补技能差距和发展员工的职业生涯。 端到端可见性 攻击可能从单个客户端开始，因此SOC了解企业/组织的整个环境至关重要，这包括由第三方管理的任何内容。 适当的工具 安全事件是如此的多，团队很容易不知所措。有效SOC会在卓越安全工具上投入，这些工具可很好地协同工作，并使用 AI 和自动化来上报重大风险。互操作性是避免覆盖范围出现缺口的关键。

SOC的优势 通过将用于保护企业/组织免受威胁影响的人员、工具和流程进行统一，SOC可帮助企业/组织更有效、更高效地防御攻击和泄露。 强大的安全状况 提高企业/组织的安全性是一项永无止境的工作。它需要持续监视、分析和规划，以发现漏洞并掌握不断变化的技术。当有待处理事项的优先级不相上下时，很容易会忽视安全性，而关注感觉更紧迫的任务。 集中式SOC有助于确保持续改进流程和技术，从而减低成功攻击带来的风险。 遵守隐私法规 行业、国家和地区在治理数据收集、存储和使用方面的法规各有不同。许多法规要求企业/组织在使用者请求时报告数据泄露并检测个人数据。制定适当的流程和程序与拥有适当的技术同样重要。SOC的成员帮助企业/组织承担保持技术和数据流程最新的责任来遵守这些法规。 快速响应事件 发现和阻止网络攻击的速度有多快至关重要。借助适当的工具、人员和情报，可以在漏洞造成任何损害之前遏止这些漏洞。但是，恶意操作者也很聪明，他们会隐藏起来、窃取大量数据，并在任何人注意到之前提升他们的权限。安全事件也是一个让人非常有压力的事情，尤其是对于在事件响应方面缺乏经验的人来说。 借助统一的威胁情报和记录良好的程序，SOC团队能够快速检测、响应攻击，并在遭到攻击后快速恢复。 降低入侵成本 对于企业/组织来说，一次成功的入侵可能会付出非常昂贵的代价。恢复通常需要停机很长时间，很多企业在事件发生后不久会失去客户或难以赢得新客户。通过先于攻击者行动并快速响应，SOC可帮助企业/组织在重回正常运营时节省时间和金钱。

常见问题 安全运营中心团队要做什么？ SOC团队监视服务器、设备、数据库、网络应用程序、网站和其他系统，以实时发现潜在威胁。他们还及时了解最新威胁并在攻击者利用系统或进程漏洞之前发现和解决这些漏洞，以执行主动安全工作。如果企业/组织已然遭受到攻击，SOC 团队负责根据需要去除威胁以及还原系统和备份。 安全运营中心的关键组件是什么？ SOC由有助于保护组织免受网络攻击的人员、工具和流程组成。为了实现其目标，它执行以下功能：清点所有资产和技术、日常维护和准备、持续监视、威胁检测、威胁情报、日志管理、事件响应、恢复和修正、根本原因调查、安全优化和合规性管理。 为什么企业/组织需要强大的SOC？ 强大的SOC通过统一防御、威胁检测工具和安全流程来帮助企业/组织更高效和有效地管理安全性。与没有SOC的公司相比，具有SOC的企业/组织能够改进其安全流程、更快地应对威胁以及更好地管理合规性。 SIEM和SOC有什么区别？ SOC是负责保护企业/组织免受网络攻击的人员、流程和工具。SIEM是SOC用于保持可见性和响应攻击的众多工具之一。SIEM汇总日志文件，并使用分析和自动化向决定响应方式的SOC成员揭示可信威胁。

SOC中的关键角色 根据企业/组织的规模，典型的SOC包括以下角色： 事件响应总监 此角色通常只出现在非常大型的企业/组织中，负责协调安全事件期间的检测、分析、遏制和恢复。他们还管理与相应利益干系人的沟通。 SOC管理者 SOC监督员是管理者，通常向首席信息安全官（CISO）报告。职责包括监督人员、运行业务、培训新员工和管理财务。 安全工程师 安全工程师负责企业/组织安全系统的启动和运行。这包括设计安全体系结构以及研究、实施和维护安全解决方案。 安全分析师 安全分析师是安全事件中的第一响应人，负责识别威胁、确定威胁的优先级，然后采取行动来遏制损害。在遭到网络攻击期间，他们可能需要隔离已遭到感染的主机、客户端或用户。在一些企业/组织中，会根据安全分析师负责解决的威胁的安全程度来对这些分析师进行分级。 威胁搜寻者 在一些企业/组织中，经验最丰富的安全分析师被称为威胁搜寻者。他们识别和响应自动工具未检测到的高级威胁。该角色主动行动，旨在加深企业/组织对已知威胁的了解，并在攻击发生之前揭示未知的威胁。 取证分析师 大型企业/组织可能还会聘用取证分析师，他们负责在出现违规后收集情报来确定其根本原因。他们会搜寻系统漏洞、违反安全策略的行为和网络攻击模式，这些有可能帮助防止将来发生类似的入侵。

SOC团队的重要性 强大的SOC可帮助企业、政府和其他组织领先于不断变化的网络威胁环境。这不是一件容易的事。攻击者和防御社区都经常开发新的技术和战略，而管理所有的变化需要时间和精力。SOC利用其对更广泛的网络安全环境的了解以及对内部薄弱点和业务优先级的理解，帮助企业/组织制定符合业务长期需求的安全路线图。SOC还可限制发生攻击时对业务的影响。他们会持续监视网络并分析警报数据，因此与分散在其他几个优先事项的团队相比，他们更有可能更早地发现威胁。通过定期培训和记录良好的流程，SOC可以快速处理当前事件，即使在压力极大的情况下也能做到。对于没有全天候关注安全运营的团队来说，这可能很困难。

SOC工具与技术 安全信息和事件管理（SIEM） SOC中最重要的工具之一是基于云的SIEM解决方案，它将来自多个安全解决方案和日志文件的数据聚合在一起。借助威胁情报和AI，这些工具帮助SOC检测不断演化的威胁、加快事件响应速度并先于攻击者行动。 安全编排、自动化和响应（Security Orchestration, Automation and Response，SOAR） SOAR可自动执行定期和可预测的扩充、响应和修正任务，从而空出时间和资源来进行更深入的调查和搜寻。 扩展检测和响应（Extended Detection and Response，XDR） XDR是一种服务型软件工具，它通过将安全产品和数据集成到简化的解决方案中来提供全面、更优的安全性。企业/组织使用这些解决方案在多云混合环境中主动有效地应对不断演化的威胁环境和复杂的安全挑战。与终结点检测和响应 (EDR) 等系统相比，XDR扩大了安全范围，从而跨更广泛的产品集成了保护，包括企业/组织的终结点、服务器、云应用程序和电子邮件等。在此基础中，XDR将预防、检测、调查和响应相结合，提供可见性、分析、相关事件警报和自动化响应来增强数据安全并对抗威胁。 防火墙 防火墙会监视进出网络的流量，根据SOC定义的安全规则允许或阻止流量。 日志管理 日志管理解决方案通常是SIEM的一部分，它会记录来自企业/组织中运行的每个软件、硬件和客户端的所有警报。这些日志提供了网络活动的相关信息。 漏洞管理 漏洞管理工具会扫描网络来帮助识别攻击者可能利用的任何薄弱点。 用户和实体行为分析（User and Entity Behavior Analytics，UEBA） 用户和实体行为分析构建在许多新式安全工具之中，它使用AI来分析从各种设备收集的数据，来为每个用户和实体建立正常活动的基线。当事件偏离基线时，会标记该事件供进一步分析。

SOC的功能 SOC团队承担以下职能来帮助防止、响应攻击并在遭到攻击后恢复。 资产和工具清单 为了消除覆盖范围中的盲点和缺口，SOC需要了解它保护的资产，并深入了解它用于保护企业/组织的工具。这意味着考虑到本地和多个云中的所有数据库、云服务、标识、应用程序和客户端。该团队还跟踪企业/组织中使用的所有安全解决方案，例如防火墙、反恶意软件、反勒索软件和监视软件。 减少攻击面 SOC的主要责任是减少企业/组织的攻击面。为此，SOC会维护包含所有工作负载和资产的清单、将安全修补程序应用于软件和防火墙、识别错误配置，并新资产联机时添加这些资产。团队成员还负责研究新出现的威胁并分析风险，这有助于他们领先于最新威胁。 持续监视 SOC团队使用安全分析解决方案全天候监视整个环境 - 本地、云、应用程序、网络和设备，来发现异常或可疑行为；其中这些解决方案包括安全信息企业管理（SIEM）解决方案、安全编排、自动化和响应（SOAR）解决方案和扩展检测和响应（XDR）解决方案。这些工具会收集遥测数据、聚合数据，并在某些情况下自动进行事件响应。 威胁情报 SOC还使用数据分析、外部源和产品威胁报告来深入了解攻击者行为、基础结构和动机。这种情报提供了有关Internet上正在发生的情况的全局视图，并帮助团队了解威胁组是如何运作的。借助此信息，SOC可快速发现威胁，并加强企业/组织对新出现的风险的应对。 威胁检测 SOC团队使用SIEM和XDR解决方案生成的数据来识别威胁。这首先会从实际问题中筛选掉误报。然后，他们按严重性和对业务的潜在影响确定威胁的优先级。 日志管理 SOC还负责收集、维护和分析每个客户端、操作系统、虚拟机、本地应用和网络事件生成的日志数据。分析有助于建立正常活动的基线，并揭示可能指示恶意软件、勒索软件或病毒的异常。 事件响应 识别到网络攻击后，SOC会快速采取措施，在尽可能减少业务中断的情况下限制对企业/组织的损害。措施可能包括关闭或隔离受影响的客户端和应用程序、暂停被入侵的账户、移除遭到感染的文件，以及运行防病毒和反恶意软件。 发现和修正 在攻击之后，SOC负责将公司恢复到其原始状态。团队将擦除并重新连接磁盘、标识、电子邮件和客户端，重启应用程序，直接转换到备份系统，并恢复数据。 根本原因调查 为了防止类似的攻击再次发生，SOC进行了彻底的调查，来确定漏洞、效果不佳的安全流程和其他导致事件的教训。 安全性优化 SOC使用事件期间收集的任何情报来解决漏洞、改进流程和策略，并更新安全路线图。 合规性管理 SOC职责的一个关键部分是确保应用程序、安全工具和流程符合隐私法规，例如，《PCI DSS安全遵从包》、《ISO 27701安全遵从包》和《ISO 27001安全遵从包》等。团队定期审核系统来确保合规性，并确保在数据泄露后通知监管机构、执法人员和客户。

SOC的类型 企业/组织有几种不同的方式来设置其SOC。一些企业/组织选择构建具有全职员工的专用SOC。这种类型的SOC可以是内部的，具有物理的本地位置，也可以是虚拟的，员工使用数字工具远程协调工作。许多虚拟SOC既有合同工，也有全职员工。外包SOC也可称为“托管SOC”或“安全运营中心即服务”，它由托管安全服务提供商运行，该提供商负责防止、检测、调查和响应威胁。此外，它可以既有内部员工，也有托管安全服务提供商。这种版本被称为托管或混合SOC。企业/组织使用这种方法来增加自身员工的影响力。例如，如果他们没有威胁调查员，那么聘用第三方可能与在内部配备这些人员更加容易。

响应方案 针对以上背景，安全云脑提供的HSS文件隔离查杀剧本，自动隔离查杀恶意软件。 “HSS文件隔离查杀”剧本已匹配“HSS文件隔离查杀”流程，当有恶意软件和勒索软件告警生成时，通过判断受攻击资产HSS防护版本，版本为专业版或者高于专业版但未开启自动隔离查杀的就满足隔离查杀条件，人工审批进行隔离查杀，就会通过HSS文件隔离查杀进行告警处置，隔离软件成功，关闭告警。隔离失败，添加手动处理的评论，提示需要进行手动操作。 图1 HSS文件隔离查杀

事件响应 获取、保护、记录证据。 根据您华为云环境的配置，通过主机安全服务配置可通过AV检测和HIPS检测帮助您发现资产中的安全威胁，检测到恶意软件和勒索软件。 可通过SSH等方法访问云服务器，查看实例状态和监控等信息，查看是否有异常。或者通过其他方式收到攻击信息或勒索信息请求发现潜在威胁。 一旦确认攻击是事件，需要评估受影响范围、受攻击机器和受影响业务及数据信息。 通过安全云脑“转事件”能力，持续跟踪对应事件，记录所有涉及事件信息。详细操作请参见告警转事件。 同时可通过日志信息溯源，通过“安全分析”能力审核所有相关日志信息，在“事件管理”中记录存档，便于后续跟踪运营。 控制事件。 通过告警和日志信息，确定攻击类型、影响主机和业务进程信息。 通过HSS文件隔离查杀脚本对涉及进程软件进行进程查杀、软件隔离操作。降低后续影响。 排查感染范围，有感染风险都需要进行排查，一旦有沦陷及时处理控制。 同时也可使用其他剧本流程进行风险控制，比如“主机隔离”，通过安全组策略，从访问控制方面隔离受感染机器，隔离网络传播风险。 消除事件。 评估受影响机器是否需要加固恢复。如果已经沦陷，需要通过溯源结果加固恢复机器。如安全凭证泄露造成的攻击，则删除任何未经授权的IAM用户、角色和策略，并吊销凭据等操作进行主机加固。 对受感染机器可以进行风险排查，排查是否有漏洞、过时的软件、未修补的漏洞等，这些都可能会造成后续机器的持续沦陷，可以通过“漏洞管理”排查和修复处理对应机器漏洞；排查是否有风险配置，可以通过“基线检查”排查机器配置，针对有风险配置进行及时处理修复。 评估影响范围，如果已经有其他机器沦陷，需要同步处理所有影响主机。 从事故中恢复。 确定从备份执行的所有还原操作的还原点。 查看备份策略，以确定是否可以恢复所有对象和文件，这取决于在资源上应用的生命周期策略。 使用取证方法确认数据在恢复之前是安全的，然后从备份中恢复数据，或者恢复到ECS实例的早期快照。 如果您已成功使用任何开源解密工具恢复数据，请从实例中删除该数据，并执行必要的分析以确认数据是安全的。然后，恢复实例，终止或隔离实例并创建新的实例，并将数据还原至新实例中。 如果从备份恢复或解密数据都不可行，请评估在新环境中重新开始的可能性。 事故后活动。 通过整个告警处理流程中分析告警发生详细信息，持续运营优化模型，提升模型告警准确率。如判断是业务相关的，无风险的告警可以直接通过模型进行筛选。 通过溯源告警发生，更好的了解事件的整个流程，持续优化资产防护策略，降低资源风险，收缩攻击面。 通过告警事件处理，结合自己业务实际场景，优化自动化处理剧本流程，例如，通过分析之后告警准确率提升可替换人工审核策略，以全自动化替代，提升处理效率，更快速的对风险进行处理。 风险分析可结合所有同类恶意软件和勒索软件攻击点，进行风险前置，在未发生事件之前进行风险控制处理。

背景说明 恶意软件攻击是指通过电子邮件、远程下载、恶意广告等多种手段，向用户传播恶意软件（如病毒、蠕虫、木马、勒索软件等），并在目标主机上执行恶意程序，从而实现对远程主机的控制、攻击网络系统、窃取敏感信息或进行其他恶意行为。这类攻击对计算机系统、网络和个人设备的安全构成了严重威胁，可能导致数据泄露、系统崩溃、个人隐私泄露、金融损失以及其他安全风险。 针对以上问题，通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，能有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，检测出主机中未知的恶意程序和病毒变种，也可检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。因此，当有此类攻击发生的时候如何预防降低风险就至关重要。 本文档就恶意软件和勒索软件隔离查杀进行详细介绍。