当确认发现入侵行为后,安全工程师首要的工作便是要解决:
火山引擎 CWPP 的告警溯源能力是解决以上问题的高效工具,火山引擎 CWPP 通过自研存储层实现了对原始数据存储的低成本存储和高效查询,该方案可以支持PB级原始数据的秒级查询,当产生安全告警后,CWPP 溯源引擎会尝试通过将告警与原始数据关联查询已达到还原现场的能力。 例:
目前支持对主机,容器内的进程创建,文件创建,网络连接创建, DNS请求进行存储与溯源。