安全监测¶

观测云通过集成 CSPM 与 SIEM 两大核心能力，为您构建"资产 ➛ 配置 ➛ 行为"一体化的安全监测体系，实现从静态配置风险到动态威胁的全覆盖。

核心能力¶

SIEM¶

专注于运行时环境中的“活动行为”安全。

解决的核心问题：环境中是否正在发生恶意或异常活动？

✅ 实时采集与分析各类日志数据（如操作系统日志、网络流量、云平台操作审计日志），利用规则与威胁检测模型，旨在检测和响应已经发生或正在进行的“动态”安全威胁。

其核心价值在于威胁发现与事件响应，适用于安全监控、入侵检测、事故调查等场景。

CSPM¶

专注于云基础设施的“配置状态”安全。

解决的核心问题：云资源是否从一开始就配置得当？

✅ 通过自动化策略，持续扫描云平台自身及其服务的配置（如存储桶的公开性、安全组规则、IAM 策略），旨在预防和发现因配置错误导致的“静态”安全漏洞与合规偏离。

其核心价值在于风险预防与治理，适用于安全加固、合规审计等场景。

应用场景¶

• 云存储桶泄露监控
• 内部数据违规访问
• 恶意文件上传检测
• 基础设施错误配置
• 未经授权的访问
• 不安全的接口/API
• 合规性与法规问题
• ......

开始使用¶

1. 创建检测规则

在控制台创建安全检测规则，自定义检测频率、检测区间、生成的事件标题与描述，同时关联告警策略。

2. 执行检测与生成事件

规则创建成功后，系统将依据设定的规则执行检测。当检测结果符合规则逻辑时，系统生成相应的事件。

3. 事件处理与通知

系统会判断该事件是否满足关联告警策略的触发条件：

• 满足条件：对外发送告警通知
• 不满足条件：仅记录事件，不发送通知

4. 信号查看与分析

基于这类从各种数据源中产生的、可能表明潜在安全威胁的原始指示或事件，可通过信号进行统一可视化查看与分析。

在信号查看器，借助快捷筛选、搜索等小而精的组件功能高效处理这些海量信号，将它们从“需要人工筛选的杂乱信息”转化为“可供优先处理的明确警报”。