云服务器内容精选

  • 背景信息 域名 黑名单是一种阻断措施,华为乾坤将域名黑名单下发给设备后,内部资产将不能访问黑名单中的恶意域名。 一般情况下,华为乾坤对威胁事件进行智能分析后,自动下发域名黑名单。此外,用户还可以根据实际的网络环境或业务需要,从设备维度(针对某设备)手动下发域名黑名单,作为上述域名黑名单下发的补充手段,以提高安全防护的灵活性。 USG6000F-C系列天关、USG6000F系列防火墙、USG12000系列防火墙暂不支持下发域名黑名单功能。 高等级租户享有对自身及下级租户的域名黑名单的创建、修改、删除权限。
  • 前提条件 已确认待安装HiSec Endpoint Agent的终端满足安装要求,具体要求如表1所示。 表1 终端约束与限制 终端类型 硬件要求 操作系统要求 CPU 内存 硬盘 PC 2核CPU 4GB及以上 可用磁盘空间不少于10GB Windows 7 专业版、旗舰版、企业版 (32/64位) Windows 10(32位/64位) Windows 11(64位) 银河麒麟桌面操作系统V10及以上 统信桌面操作系统V20以上 服务器 2核CPU 4GB及以上 可用磁盘空间不少于10GB Windows Server 2012 R2及以上(64位) CentOS 7及以上 RedHat 8及以上 Euler 2.0及以上 Debian 10及以上 SUSE 12/15 Ubuntu16/18/20/22(X86/ARM) Huawei Cloud EulerOS 2.0 标准版(64位)
  • 后续处理 HiSec Endpoint Agent安装完成后,在线状态下会周期性检查云端是否有版本更新并自动升级。租户也可自行访问华为安全智能中心,对HiSec Endpoint Agent进行升级。升级完成后,HiSec Endpoint Agent自动启动,与云端保持连接,且HiSec Endpoint Agent的相关配置不会丢失。 HiSec Endpoint Agent的相关使用操作请参考《用户指南》。
  • 背景信息 华为乾坤按照以下顺序判定威胁事件是否为失陷主机。 如果是信任域内的主机存在攻击行为,判定为失陷主机。信任域的具体信息请参见配置设备安全域。 如果是全局白名单内的IP地址存在攻击行为,判定为失陷主机。全局白名单的具体信息请参见配置全局白名单。 如果是在不可信内网地址内的主机存在攻击行为,不判定为失陷主机。不可信内网地址的具体信息请参见配置不可信内网地址。 如果是缺省私网网段内的IP地址存在攻击行为,判定为失陷主机。缺省私网网段指10.0.0.0~10.255.255.255、172.16.0.0~172.31.255.555、192.168.0.0~192.168.255.255。 根据失陷类型的不同,安全运营专家可以为失陷主机打上“勒索”、“挖矿”、“蠕虫”、“远控”、“漏洞攻击”、“不安全配置”等标签,暂未识别失陷类型的归入“其他”。 针对失陷主机,华为乾坤向租户发送短信和邮件告警,失陷主机的状态置为“未处置”。租户需要进一步确认和处置,处置方法包括隔离主机和标记状态(已人工处置、忽略)。 USG6000F-C系列天关、USG6000F系列防火墙、USG12000系列防火墙暂不支持下发域名黑名单功能;USG6000E-C系列天关、USG6000E系列防火墙支持自动下发域名黑名单功能,并且开通如下版本时,才能使用自动下发域名黑名单功能。 同时购买边界防护与响应服务标准版+自动阻断 边界防护与响应服务试用版 边界防护与响应服务高级版
  • 后续处理 您可以单击失陷主机列表中的“录入资产”按钮,将失陷主机录入云平台。 使用IPv6地址的失陷主机不支持录入资产,资产录入的参数说明请参见《租户操作指南》中“资产录入”章节。 对于已录入的资产,您可以单击失陷主机列表中的资产名称,对资产信息进行编辑。 您可以单击失陷主机列表中的失陷主机IP,查看此失陷主机详情页面。 图3 失陷主机列表 失陷主机详情页面包含处置建议、处置记录、失陷类型分析和关联告警事件列表等信息。 您可以单击“导出详情”,导出包含失陷主机详细信息的Word格式文件。 图4 失陷主机详情页面 若租户同时购买智能终端安全服务,并检测到失陷主机存在挖矿行为或感染病毒,可以在详情页面的“处置建议”区域中进行处置。 一键隔离:隔离操作将会杀死该主机上的全部挖矿进程,并隔离这些进程文件。 病毒查杀:根据查杀结果,手动处理病毒文件(立即终止运行进程并将病毒文件移动到隔离区,或忽略不处置)。 若失陷主机上存在多个挖矿或病毒事件,对单个事件进行处置时,此失陷主机上的其余事件也会被同步处置。处置完成后,所有事件都会被标识为“已人工处置”状态。 导出完成后,请单击右上角帐号,选择“下载”,下载对应文件。 图5 下载中心 您可以单击失陷主机详情页面中关联告警事件列表中的事件名称,查看此事件的详情页面。 图6 事件详情页面 失陷主机详情页面可能涉及公网地址,仅用于事件信息展示以帮助用户了解威胁事件,服务不会主动发起与这些公网地址的连接。
  • 约束与限制 使用智能终端安全服务需要安装HiSec Endpoint Agent,终端需要满足的安装条件如表1所示。 表1 终端约束与限制 终端类型 硬件要求 操作系统要求 CPU 内存 硬盘 PC 2核CPU 4GB及以上 可用磁盘空间不少于10GB Windows 7 专业版、旗舰版、企业版 (32/64位) Windows 10(32位/64位) Windows 11(64位) 银河麒麟桌面操作系统V10及以上 统信桌面操作系统V20以上 服务器 2核CPU 4GB及以上 可用磁盘空间不少于10GB Windows Server 2012 R2及以上(64位) CentOS 7及以上 RedHat 8及以上 Euler 2.0及以上 Debian 10及以上 SUSE 12/15 Ubuntu16/18/20/22(X86/ARM) Huawei Cloud EulerOS 2.0 标准版(64位) 同一终端不建议同时安装多个终端安全软件,否则可能会造成彼此之间功能相互干扰。下载完成后请在30天内安装,超期会导致终端注册失败。 父主题: 产品介绍
  • 角色 角色是用户操作权限的集合。在创建工作组、用户时,给用户赋予了什么样的角色,用户就拥有了什么样的操作权限。 华为乾坤控制台支持两类用户角色,分别是公共角色和服务类角色。 租户默认角色如表1所示。 表1 华为乾坤租户角色表 角色分类 角色名称 说明 公共角色 说明: 对于普通租户(非租户管理员和非租户审计员),只有授权了目标服务角色,才能使用该服务。如站点管理、工单管理、订阅管理等。 租户管理员 具备所有服务的读、写权限。 租户审计员 具备所有服务的读权限。 租户开放接口操作员 用于通过API接口操作服务。 设备管理员 具有设备管理、站点管理的编辑与查看权限。 设备审计员 具有拥有设备管理、站点管理的查看权限。 设备开放接口操作员 具有设备开放接口业务的使用权限。 服务类角色 说明: 如果您想了解更多信息,请参考各服务《产品介绍》中“权限控制”章节。 服务名管理员 (如:边界防护与响应服务管理员) 每一个云服务都有该角色。 具有该服务的查看、编辑权限。 服务名审计员 (如:边界防护与响应服务审计员) 每一个云服务都有该角色。 具有该服务的查看权限。 服务名开放接口操作员 (如:边界防护与响应服务开放接口操作员) 不一定每一个云服务都有该角色。 针对三方系统接入的用户,赋予一定的操作权限。 自定义角色 自定义角色名 根据实际情况设置相应的操作权限。
  • 工作组 工作组是企业进行分域管理的基本单元。例如某企业有不同的分公司,则可以为不同分公司创建不同工作组,每个工作组只能处理分公司范围内的安全事件、管理分公司范围内的设备,如图1所示。 系统缺省存在一个“默认工作组”,又称根工作组。首次注册的华为乾坤帐号默认是根工作组管理员,角色为“租户管理员”,具备所有操作权限。 默认工作组管理员可以继续创建下级工作组,原则如下: 每个工作组都有一个管理员,系统默认工作组管理员可以在工作组中创建用户,其他用户经过管理员角色授权后也可以创建工作组用户。 一共支持5级工作组(包括默认工作组),每个工作组一般默认由上级工作组管理员创建、修改或删除,上级工作组的用户经过管理员角色授权后也可以创建、修改、删除子工作组。 同一租户管理员下的所有二级工作组的最大用户数之和不超过99,下级工作组最大用户数不能超过上级工作组用户数的剩余量。 图2 最大用户数示例
  • 告警解释 The EULA has not been manually signed, please complete it as soon as possible. If the user has used the device for more than 10 days, the user agrees to the EULA by default, and the system automatically signs the EULA. (RemainingDaysOfAutoSigning=[hwEulaRemainDays]) 当前系统未手动签署EULA协议,因此设备上报EULA未签署告警。
  • 告警解释 IFNET/4/INBWRATEEXCEED: OID [OID] Interface input flow bandwidth usage exceeded the trap threshold. (Interface=[INTEGER], BandWidthUsage=[INTEGER], TrapThreshold=[INTEGER], InterfaceName=[STRING]) 当接口接收的流量占接口总带宽的比例大于设定阈值时,发出告警。
  • 可能原因 原因1:Different SFUs were installed in the same chassis.(网板混插。) 原因2:The system power or the power of the backup power supply is insufficient.(系统功率或者系统备份功率不足。) 原因3:No SFU is present in the chassis.(所有SFU单板都不在位。) 原因4:No LPU is present in the chassis.(所有LPU单板都不在位。) 原因5:No CMU is present in the chassis.(所有CMU单板都不在位。) 原因6:The power module types are inconsistent.(电源模块类型不一致。) 原因7:Failed to obtain slot information of the power supply.(电源获取槽位信息失败。) 原因8:There is two or more fans not detected.(风扇未插满告警) 原因9:The number of detected SFUs does not meet requirements.(SFU单板在位数量不足。) 原因10:The fan module types are inconsistent.(风扇模块类型不一致)
  • 处理步骤 原因1:Different SFUs were installed in the same chassis. 1. 插入正确的网板。如果故障不能恢复,请执行步骤2。 2. 请收集告警信息、日志信息和配置信息,并联系技术支持人员。 原因2:The system power or the power of the backup power supply is insufficient. 1. 增加电源模块。如果故障不能恢复,请执行步骤2。 2. 请收集告警信息、日志信息和配置信息,并联系技术支持人员。 原因3:No SFU is present in the chassis. 1. 插入SFU单板。如果故障不能恢复,请执行步骤2。 2. 请收集告警信息、日志信息和配置信息,并联系技术支持人员。 原因4:No LPU is present in the chassis. 1. 插入LPU单板。如果故障不能恢复,请执行步骤2。 2. 请收集告警信息、日志信息和配置信息,并联系技术支持人员。 原因5:No CMU is present in the chassis. 1. 插入CMU单板。如果故障不能恢复,请执行步骤2。 2. 请收集告警信息、日志信息和配置信息,并联系技术支持人员。 原因6:The power module types are inconsistent. 1. 设备上电源槽全部插入有风扇的电源或没有风扇的电源。如果故障不能恢复,请执行步骤2。 2. 设备上电源槽全部插入直流电源或交流电源。如果故障不能恢复,请执行步骤3。 3. 请收集告警信息、日志信息和配置信息,并联系技术支持人员。 原因7:Failed to obtain slot information of the power supply. 1. 将电源换插到其他槽位,或更换电源。如果故障不能恢复,请执行步骤2。 2. 请收集告警信息、日志信息和配置信息,并联系技术支持人员。 原因8:There is two or more fans not detected. 1. 插满所有风扇。如果故障不能恢复,请执行步骤2。 2. 请收集告警信息、日志信息和配置信息,并联系技术支持人员。 原因9:The number of detected SFUs does not meet requirements. 1. 插入SFU单板。如果故障不能恢复,请执行步骤2。 2. 请收集告警信息、日志信息和配置信息,并联系技术支持人员。 原因10:The fan module types are inconsistent. 1. 设备上风扇槽全部插入相同型号的风扇。如果故障不能恢复,请执行步骤2。 2. 请收集告警信息、日志信息和配置信息,并联系技术支持人员。
  • 角色 角色是用户操作权限的集合。在创建工作组、用户时,给用户赋予了什么样的角色,用户就拥有了什么样的操作权限。 华为乾坤控制台支持两类MSP角色,分别是公共角色和服务类角色。 MSP默认角色如表1所示。 对于普通MSP(非MSP管理员和非MSP审计员),只有授权了目标服务角色,才能使用该服务。如工单管理、订阅管理、日志查看等。 如果您想了解更多信息,请参考各服务MSP有关权限控制的章节内容。 表1 MSP角色表 角色分类 角色名称 说明 预置角色 MSP管理员 具有用户管理、工作组管理、租户管理和委托管理等基础管理的操作与查看权限。 MSP审计员 具有用户管理、工作组管理、租户管理和委托管理等基础管理的查看权限。 MSP开放接口操作员 具有用户管理、工作组管理、租户管理和委托管理等开放接口业务和相关配置的使用权限。 自定义角色 自定义角色 根据服务实际情况和功能特性设置相应的操作权限。
  • 工作组 工作组是企业进行分域管理的基本单元。例如某企业有不同的分公司,则可以为不同分公司创建不同工作组,每个工作组只能处理分公司范围内的安全事件、管理分公司范围内的设备。 系统缺省存在一个“默认工作组”,又称根工作组。首次注册的华为乾坤帐号默认是根工作组管理员,角色为“MSP管理员”,具备所有操作权限。 默认工作组管理员可以继续创建下级工作组,原则如下: 每个工作组都有一个管理员,系统默认工作组管理员可以在工作组中创建用户,其他用户经过管理员角色授权后也可以创建工作组用户。 系统共支持5级工作组(包括默认工作组),每个工作组一般默认由上级工作组管理员创建、修改或删除,上级工作组的用户经过管理员角色授权后也可以创建、修改、删除下级工作组。 同一管理员下的所有二级工作组的最大用户数之和不超过99,下级工作组最大用户数不能超过上级工作组用户数的剩余量。
  • 背景信息 智能终端安全服务会根据配置的异常登录策略判断终端上是否存在非法登录行为,对不在该策略内的登录行为进行告警,并提供处置方式。租户通过配置异常登录策略,管理相应终端的登录行为。 当终端安装HiSec Endpoint Agent后,用户首次成功登录终端,如果此时未配置异常登录策略,HiSec Endpoint Agent不会触发告警,并且首次成功登录的IP地址及该时间点往后顺延24小时内的所有公网登录地址都会被云端识别为合法登录地址;如果已配置异常登录策略,未配置在异常登录策略中的登录行为均被认为是非法登录行为。