腾讯云T-Sec云原生安全运营中心_云安全_云上监测

腾讯云T-Sec云原生安全运营中心

腾讯云安全运营中心（Security Operation Center，SOC）是腾讯云原生的统一云安全运营平台，可提供互联网攻击面测绘、云安全配置风险检查、流量入侵检测、泄露监测，日志审计等云上基础安全能力，为客户提供上云后的基本安全保障。同时SOC也可结合腾讯云主机安全、云防火墙等产品组成XDR威胁运营方案，为客户提供威胁告警集中分析、自动事件调查、威胁集中处置、自动化编排与响应，用户行为分析等能力，提升威胁检出率和威胁响应效率。

立即咨询

首页 > 产品中心 > 云安全 > 腾讯云T-Sec云原生安全运营中心

什么是腾讯云安全运营中心 icon

为什么选择腾讯安全运营中心 icon

一站式安全运营管理

帮助云上用户实现事前安全预防，事中事件监测与威胁检测，事后响应处置的一站式、自动化的云上安全运营管理。

安全看得见

通过安全仪表盘、安全大屏及安全报表中心实现云上安全的全局可视化，帮助客户实现安全态势的实时监测及安全建设成果的直观可视化呈现。

全面采集

通过构建企业网络边界、终端、服务器、数据、公有云业务和移动办公等场景的安全，结合专业的安全服务和全网统一的安全监测分析及可视化平台，可以为企业实现真正地安全赋能，风险可知可视可控。

更智能的安全管理

落地多项机器学习算法，助力未知威胁发现，流量采集加上多种机器学习算法，学习流量基线识别异常，有效覆盖安全知识体系盲点，发现未知威胁。

云SOC产品特性

互联网流量威胁感知

针对互联网流量进行威胁感知，帮助客户实现

互联网对内攻击及内部资产向互联网异常外

联行为的检测，包括漏洞利用攻击、命令注入

攻击、暴力破解攻击、僵尸网络主机、主机

挖矿行为、代理隧道行为等多种威胁的感知。

资产安全中心

帮助客户实现云上资产的自动化动态盘点，

包括云服务器、对象存储、云数据库、云负载

均衡等多种资产。同时通过云配置风险、漏洞及

安全事件等多种安全维度对资产安全风险进行统一

管理，降低云上“影子IT”风险。

应急漏洞预警

依托腾讯安全情报能力，为客户推送当前

爆发的最新漏洞并提供详细的漏洞介绍报告，

包括漏洞影响面及处置建议等，帮助客户实现

对高危漏洞的及时感知和快速处置。

云安全配置管理

提供云产品配置风险的自动化检查评估功能，

覆盖云服务器、对象存储、云数据库及负载均衡

等多种云产品，帮助客户降低因云产品使用中的

错误安全配置带来的安全风险，

提升整体云上安全水平。

互联网攻击面测绘

针对云上向互联网暴露的资产，提供

互联网攻击面测绘功能，帮助用户快速识别

云上资产的暴露端口、暴露服务及暴露组件

等潜在攻击面，防患于未然。

合规管理

针对等级保护2.0中的部分合规要求，

安全运营中心提供了自动化的动态合规评估

功能并提供相应的加固建议，客户

可按需对云上资产的合规风险进行持续监测与评估。

快速了解等级保护>>

安全编排与自动化响应

提供安全编排及自动化响应功能，

通过内置的安全编排剧本，可针对多种安全

事件实现自动化的响应处置，提升云上

安全事件响应处置效率。

安全事件统一运营

将云上各个安全产品检测出的安全事件进行

统一采集与存储，帮助客户实现云上安全事件的

便捷统一运营管理。

Cloud UBA

提供云用户操作行为及云 API 调用的可视化

审计与监测，并针对敏感操作和风险操作进行

检测告警，识别因用户异常行为及风险 API

调用等造成的安全风险。

日志审计与检索调查

统一采集云安全产品告警数据、云资产

配置变更数据、云上用户操作行为数据及部分

云产品日志数据等各类云上安全相关数据，并

提供统一检索调查平台，帮助用户实现全面的

云上日志审计与检索调查。

安全可视

通过安全仪表盘、安全大屏及安全报表中心

实现云上安全的全局可视，帮助客户实现

安全态势的实时监测及安全建设成果的直观

可视化呈现。

云产品的配置安全检查 icon

密钥或数据泄漏监测

云上数据泄漏的最主要两种形式

开发过程中泄漏：人为将内部敏感信息代码有意或无意地上传至Github网站，导致攻击者获取利用造成数据泄漏。业务上线后泄漏至网络黑市：黑客以盈利为目的通过各种攻击手段获取内部敏感数据，利用网络黑市渠道进行发布和售卖。

安全运营中心数据泄漏监测

最佳实践监测建议：SecretKey泄漏监测及账号泄漏监测等

日志审计与调查溯源

在满足合规审计要求的基础上构建事后调查溯源能力

基于云上资产的调查

以资产为主体进行调查溯源，包括资产配置记录、资产漏洞、资产被攻击事件的调查等。

基于用户行为的调查

以云上用户操作行为为主体进行调查溯源，例如特定用户操作行为记录、特定操作记录等。

基于云上安全产品日志的调查

以云上安全产品的日志为主体进行调查溯源，例如特定攻击手段、攻击者、攻击趋势调查等。

基于云上配置的调查

以云上配置为主体进行调查溯源。例如配置风险调查、合规风险调查及配置变更风险等。

日志投递

用户可选择将日志投递至第三方平台，实现集中运营

网络入侵检测

应对等保要求，安全问题回溯，重保/护网监控

侦查跟踪
漏洞扫描行为

认证暴力破解

Webshell探测

武器投递
SQL注入攻击

命令注入攻击

恶意文件上传

漏洞利用
Elasticsearch漏洞利

Struts漏洞利用

WebLogic漏洞利用

通信控制
僵尸网络

Webshell通信

代理隧道行为

达成目标
挖矿行为

网站篡改

敏感信息被爬取

威胁运营理念-基于incident（事件）的威胁运营 icon

那些困扰腾讯安全运营人员的问题缺乏统一威胁运营： “主机安全、WEB应用防火墙、防火墙都部署了，本来应该更安全。但实际上运营的人员就1个，不可能同时监控多个系统，护网怎么办？” 无法对威胁发展过程进行跟踪与分析： “我们发现了一个挖矿木马，但如果我们想知道恶意程序都执行过什么动作，恶意程序如何进入主机的，就需要横跨多个产品自己去寻找这些联系，这很麻烦。”有效的安全运营应该围绕事件和高价值告警，好的运营系统应该能自动帮助运营人员从一堆告警中挑选出高价值告警并拼凑出完整事件过程。让运营工作足够聚焦。

威胁研判-SOC如何自动寻找高价值告警 icon

采集云安全关键告警

主机安全、云防火墙、WEB应用防火墙。

基于日志的更广泛检测

在主机安全基础上扩展了行为的检测能力，以扩大对可能的异常行为的监控面。

告警的可运营性

已被防御的告警分析价值相对较低，需要关注攻击阶段无法被有效进行二次确认和分析的告警都是低价值DDoS这种可独立完成运营的告警也无需再次运营。

告警攻击阶段与手法

通过攻击链、ATT&CK明确告警的阶段和是否可能已经造成失陷。

企业告警的威胁等级/危害级数据安全

告警本身是否可能造成较坏的影响和损失。

告警的事件调查结论

告警是否能够通过其他相关线索来证明其已经攻击成功，或已经造成失陷？通过情报等信息是否能对告警进行进一步的判断和定性？

事件分析-完整的事件时间线让威胁分析更轻松 icon

我们增加了太多检测点，但也因此失去了对攻击事件的完整视角，所以我们需要事件分析。

集中处置

完善的防护体系也意味着分散的处置，安全运营中心能够让处置集中化，提升运营效率

自动化响应

用户行为异常分析

互联网攻击面测绘

漏洞运营

整合多种漏洞来源，基于漏洞被利用的风险情况推动漏洞排序

安全仪表盘与安全大屏 icon

通过安全仪表盘实现云上安全监控，通过安全评分及最新待处理问题看板等快速了解安全风险

通过安全大屏实现云上安全态势的直观可视化呈现

安全报表中心

安全运营中心提供报表中心功能，可按需自动生成安全报表，形成常态化的云上安全报表机制

腾讯专家安全服务

产品咨询服务
创建专属微信服务群

日常问题咨询

安全工程师问题解答

定期服务质量回访

产品巡检服务（收费）
二线安全专家开发巡检工具

一线工程师进行巡检

输出巡检报告并对客户问题解答

定期服务质量调研

产品安全运维托管服务（收费）
托管前对接梳理

日常安全运维与事件分析

重大安全事件协助处置

定期服务质量调研

MDR服务简介

MDR服务：利用云原生安全优势，以云安全事件监测、处置、溯源为核心，快速降低安全事件MTTD和MTTR，帮助客户低人力投入下构建可靠的安全运营体系。日常监测：托管安全产品，监测日常事件，定期评估安全态势和风险点；应急响应：分类攻击事件，高危失陷事件应急分析、处置、响应、加固，溯源攻击者和定性攻击目的；威胁狩猎：依托腾讯云管端全量威胁情报，定期回溯历史数据，排查是否出现过APT、黑产等定向攻击。

01 网络攻击事件
安全扫描攻击

暴力破解攻击

系统漏洞攻击

应用漏洞攻击

02 恶意程序事件
挖矿程序

勒索、蠕虫

远程木马

僵尸网络

03 web恶意代码
webshell后门

网页挂马篡改

DNS劫持

04 业务安全事件
数据遍历

SQL注入

数据爬虫

登录安全

各大应用场景

统一安全管理

适用场景
云上业务众多，使用了多种安全产品，需要构建云上的统一安全运营管理中心，提升整体云上安全管理效率。
解决方案
安全运营中心以云上资产中心为基础，打通云上各类安全相关数据，为客户构建覆盖事前、事中及事后各个环节的统一安全运营管理平台。

统一威胁检测与相应
业务上云后，除了传统的主机安全威胁、网络安全威胁及应用安全威胁等，客户也需要面对云上特有的新的威胁类型，例如云上用户操作行为风险及异常API调用等。同时，各类安全威胁的检测与响应处置分散在各个安全产品造成了安全事件处置效率的低下，大大增加了云上安全风险。

等保合规建设
等级保护2.0标准正式实施后，以“一个中心三重防护”为核心框架针对云上合规的要求进行了进一步细化，对云上资产对外发起的攻击检测、日志审计及集中管理等要求都需要客户采取相应技术措施进行满足。同时针对安全管理方面提出的各项管理要求，也需要有相应的工具和产品帮助客户更容易更有效地落地。

资产安全管理中心
安全运营中心可为客户提供云上资产全流程的安全管理平台。从资产的自动化盘点，到资产各类安全风险的检测识别，再到资产安全风险的自动化响应处置，客户可建立以资产为中心的统一安全管理平台，提升云上整体安全水平。