操作流程 本章节介绍如何将第三方（非华为云）安全日志接入 安全云脑 ，同时，也支持将安全云脑日志转出至第三方系统/产品。具体流程如下： 图1 日志接入或转出流程图 本章节将介绍日志数据接入或转出的操作流程进行简要说明。 表1 日志接入或转出流程说明 操作步骤 操作说明 （可选）步骤一：购买E CS 安装日志采集器。 （可选）步骤二：购买数据磁盘 保障日志采集器有足够的运行空间。 （可选）步骤三：挂载数据磁盘 保障日志采集器有足够的运行空间。 步骤四：创建非管理员 IAM 账户 用于租户侧日志采集器登录访问安全云脑。 步骤五：网络连通配置 实现租户VPC与云脑网络网络连通。 步骤六：安装组件控制器（isap-agent） 纳管日志采集器节点（ECS）到安全云脑。 步骤七：安装日志采集组件（Logstash） 配置日志采集进程。 （可选）步骤八：创建日志存储管道 将非华为 云日志 转入安全云脑场景时，需要执行此步骤。将华为云日志转出至第三方系统或产品场景，请跳过此步骤。 在安全云脑中创建日志存储位置（管道），用于日志存储、分析。 步骤九：配置连接器 配置日志来源、接收目的的参数信息。 请根据场景选择操作步骤： 将第三方日志接入安全云脑 将安全云脑日志转出至第三方系统或产品 （可选）步骤十：配置日志解析器 格式转换，无码化将源日志转换成您需要的数据类型。 步骤十一：配置日志采集通道 完成各功能组件连接，实现安全云脑和日志采集器正常工作。 步骤十二：测试验证 测试验证日志是否接入成功。 父主题： 日志接入或转出操作指导

操作步骤 在步骤五：网络连通配置执行后的页面中，单击页面右下角“下一步”，进入“脚本安装验证”页面。 单击复制安装组件控制器的命令。 图1 复制安装命令 安装组件控制器。 远程登录（可选）步骤一：购买ECS准备的ECS。 您可以登录弹性云服务器控制台，在“弹性云服务器”列表中，选中目标ECS单击操作”列的“远程登录”登录主机，详细操作请参见在云服务器控制台上登录主机。 如果您的主机已经绑定了弹性IP，您也可以使用远程管理工具（例如：PuTTY、Xshell等）登录主机，并使用root账号在主机中安装组件控制器。 粘贴2复制的安装命令，并以root权限执行，在ECS中安装组件控制器。 根据界面提示，输入步骤四：创建非管理员IAM账户中创建的机机账户 域名 、用户名、密码。 如果界面回显“install isap-agent successfully”信息时，则表示组件控制器安装成功。 图2 安装成功 安装过程中，如果安装失败请参考组件控制器安装失败问题排查进行排查处理；如果提示内存不足，请参见磁盘分区进行处理。 确认已安装后，返回安全云脑的新增节点页面（即2），单击页面右下角“确认”。 安装完成后，可以在节点管理页面查看已新增的节点。 图3 已新增节点

事件响应方案 针对以上问题，华为云推出了安全云脑（SecMaster）服务。它是华为云原生的新一代安全运营中心，集华为云多年安全经验，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，可以鸟瞰整个云上安全，精简 云安全 配置、云防护策略的设置与维护，提前预防风险，同时，可以让 威胁检测 和响应更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。

事件响应流程 识别身份凭证是否受损或泄露。 如果您收到如下提示信息，您需要排查并识别您的身份凭证是否受损或泄露： 来自华为云服务（例如，华为 云证书管理服务 CCM、安全云脑SecMaster、 云审计 服务 CTS 等）、外部监控系统的告警或指标； 来自承包商或第三方服务提供商的提示信息； 通过内部或外部安全研究人员的排查信息； 内部系统信息； 匿名举报信息； 其他途径的信息。例如，攻击者通过被泄露的凭证，窃取您的数据，并修改您面向公众的资源。 确认已针对该事件提交工单或案例。如果没有，请手动提交。 确定并记录问题对最终用户的影响。 无论此类场景是否造成直接的用户影响，都请将调查结果记录在与此事件相关的工单或案例中。 对于自动创建的工单或案例，确定哪些告警或指标是存在问题的。 例如触发告警或指标可能是CTS服务指标指示您的IAM配置某些方面不合规，或者IAM服务警报表明可能存在凭证泄露。也可能是一个计费警报，当您的计费成本已超过预定阈值，触发告警或通知。 确定已泄露的凭证集。 如果已创建工单或案例，请检查该工单或案例中是否记录了用户/角色名称、用户或角色ID或访问密钥ID。 如果告警来自安全云脑基线检查，您可以在控制台查看基线检查结果，找到受影响凭证的访问密钥ID。具体操作请参见查看基线检查结果。 如果告警来自CTS服务，您可以在控制台事件列表，查看结果。“资源名称”为访问密钥，Credential字段则包含“access_key_id”、“account_id”、“user_name”和其他信息。 确定凭证可能被破坏或泄露的时间。在该时间后进行的任何API操作应被视为恶意操作，在该时间后创建的任何资源应被视为被泄露。 如果您的应用程序发生服务中断，需确定造成中断的可能事件。如果中断事件与凭证泄漏无关，需检查部署管道以确定在事件发生之前是否进行了任何更改。您可以通过CTS服务，协助查看所有账户活动的日志。 事件沟通： 根据组织的事件响应计划确定利益相关方的角色。 通知相关干系人，包括法务人员、技术团队和开发人员，并确保他们被添加到工单和作战室中，以进行持续更新。 外部沟通： 确保您的法律顾问了解情况，并将其纳入内部利益相关者的状态更新，特别是外部沟通的状态更新。 将负责公共或外部沟通的同事添加到工单中，以便他们可以定期接收到有关事件的状态更新，并履行其沟通职责。 如果您所在辖区有法规要求报告此类事件，请确保贵组织中负责通知当地或联邦执法机构的人员也收到有关该事件的通知/被添加到工单中。请咨询您的法律顾问、执法部门，以获取有关收集和保存证据和监管局的指导。即使法规没有要求，向开放数据库、政府机构或非政府组织报告，您的报告也可能有助于分析类似的活动或帮助其他人。 控制事件。 您可以通过禁用受损凭证或撤销与这些凭证相关的权限，从而阻止使用受损凭证调用API。 禁用1识别到的受损凭证。 如果是永久IAM用户凭证，请在IAM控制台，删除用户凭证，具体操作请参见删除IAM用户。 如果是通过IAM获取的临时安全凭证，则会关联到IAM角色。您可以通过如下方法禁用这些功能： 撤销所有当前角色会话。如果攻击者获取新的临时安全凭证，并继续攻击，跳转到2.a.ii.2。 删除添加到该角色的所有IAM策略，修改已有策略以阻止所有访问，或者修改角色的策略以防止攻击者承担该角色。 由于凭证在颁发后的指定时间段内仍然有效，因此请务必注意，修改信任策略后，凭证在有效期内将被允许继续使用。2.a.ii.1和2.a.ii.2将阻止所有用户使用通过承担角色获得的凭证，包括任何合法用户或应用程序。 您可以在30分钟左右的时间内通过CTS服务控制台查看持续使用的凭证，无论是访问密钥、IAM用户还是角色，确认受损凭证已被禁用。 消除事件。 您需要排查凭证在受损后执行了哪些API操作，创建、删除或修改了哪些资源，并采取相应措施，消除影响。 使用您的首选监控工具，访问CTS服务，并采集受损凭证执行的所有API操作，日志采集时间为受损时间到当前时间。 如果您使用的是第三方工具（如Splunk或其他工具）采集云审计服务日志，请按照从该工具获取日志信息的正常过程进行操作。 如果您不使用第三方工具，而是将日志发送到华为云 对象存储服务 （OBS），您可以使用华为 云日志服务LTS 采集、查询和存储日志。 在日志服务LTS控制台，查询凭证在受损或泄露后的日期/时间采取的所有API操作。 从结果列表中，确定哪些API调用： 访问敏感数据，例如，OBS Object。 创建新的华为云资源，例如数据库、云服务器等。 创建资源的服务，包括ECS弹性伸缩组等。 创建或修改权限，同时，还应排查包括（但不限于）以下API方法：CreateUser、CreateRole、AssumeRole*、Get*Token、Attach*Policy、*Image*、*Provider、Tag*、Create*、Delete*、Update*等。 删除现有华为云资源。 修改现有华为云资源。 根据上一步的结果，确定是否有任何应用程序可能受到影响。如果有，获取受影响的每个资源的ID或标记信息，并通知资源的所有者。 基于以上结果，如果创建了额外的凭证获取资源（IAM用户、角色等），根据2.a，禁用和删除这些资源的所有凭证。 重复3.a到3.e，排查是否仍存在额外发现的凭证，直到全部处置完成。 从事故中恢复。 恢复被修改的资源： 如果资源可以被销毁和替换，则添加新的资源。 如果资源无法被替换，请执行以下任一操作： 从备份还原资源。 准备新资源并将其配置到应用程序的基础架构中，同时隔离受损资源并将其从应用程序的基础架构中移除。 销毁受损资源，或继续将其隔离以备取证。 恢复删除的资源： 通过排查确定资源所属的应用程序。如果资源标签未在CTS服务条目中列出，且华为云配置支持该资源，则检查华为云的配置。 如果删除的资源可以从备份中恢复，请直接恢复；如果删除的资源无法从备份中恢复，请查阅CMDB以获取资源的配置，重新创建资源并将其配置到应用程序的基础架构中。 事故后活动。 针对某些受损资源进行调查取证，分析攻击者对受损资源使用了哪些攻击手段，并确定是否需要针对相关资源或应用程序采取额外的风险缓解措施。 对于任何已隔离以供进一步分析的受损资源，对这些资源执行取证活动，并将调查结果纳入事后报告。 确保正确更新CMDB以反映受影响的所有资源和应用程序的当前状态。 审查事件本身和对它的响应，确定哪些措施起作用，哪些措施不起作用，根据这些信息更新改进流程，并记录调查结果。

安全运营 以上操作完成后，即可在“华北-北京四”region的指定工作空间中对“华北-北京一”region的云服务进行运营。 图14 安全运营 管理资产与风险 安全运营的本质指安全风险管理，根据ISO的定义，其三要素包括“资产”，“脆弱性”和“威胁”。因此，梳理您要防护的资产，是安全运营的业务流起点。 梳理资产 安全云脑可以帮助您： 将云上资产从不同租户、不同Region汇集到一个视图中。 将云外资产导入到安全云脑中，并标记其所属的环境。 将资产的风险情况标识出来，例如：是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务（例如：ECS上应该安装HSS的Agent、域名应纳入到WAF的防护策略中）。 更多详细介绍及操作请参见资产管理。 检查并清理不安全的配置 在安全运营过程中，最常见的“脆弱性”是不安全的配置。安全云脑基于安全合规经验，形成自动化检查的基线，按照业界通用的规范标准，提供基线检查包。 提供了多种基线标准。法规类标准，如：ISO系列标准、PCI DSS；隐私保护类，如：某国家或地区的隐私保护基线。 云服务中的配置可以自动检查。如：IAM是否按角色进行授权分数、VPC的安全组中是否存在完全放通的策略、WAF的防护策略是否开启等。您可以根据“详情”中建议的方法，对配置进行加固。 更多详细介绍及操作请参见安全治理、基线检查。 发现并修复漏洞 在修复配置类风险之后，安全云脑还可以帮助您，发现并修复安全漏洞。支持检测Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 更多详细介绍及操作请参见漏洞管理。 检测与寻找威胁 数据源连接到安全云脑后，我们已经清点了要保护的资产，并查找及修复了不安全的配置和漏洞，接下来就是识别可疑活动和威胁。 安全云脑可提供多种内置的由安全专家和分析团队根据已知威胁、常见攻击媒介和可疑活动上报链设计的模板，使您能够执行某些对应操作时收到此类威胁的通知。启用这些模板后，它们将自动在整个环境中搜索可疑活动。同时，可以根据需要自定义模板，以搜索或筛选出活动。 同时，还支持云服务安全日志数据检索、分析功能，提供专业级的安全分析能力，实现对云负载、各类应用及数据的安全保护。 更多详细介绍及操作请参见模型模板、安全分析。 调查告警与事件 调查告警 威胁检测模型分析大量的安全云服务日志，找到疑似入侵的行为，即告警。安全云脑中的告警包含如下字段：名称、等级、发起可疑行为的资产/威胁、遭受可疑行为的资产。安全值班人员，需要在较短的时间内对告警做出判定。如果风险较低，则关闭告警（如：重复告警、运维操作）；如果风险较高，需要单击“转事件”，将告警转为事件。 更多详细介绍及操作请参见查看告警信息、告警转事件。 调查事件 告警转成事件后，就可以在事件管理中查看到生成的事件，事件生成后可以进行调查分析。您可以在事件上关联与可疑行为相关的实体：资产（如：VM）、情报（如：攻击源IP）、账号（如：泄露的账号）、进程（如：木马）等；也可以关联历史上相似的其他告警或事件。 更多详细介绍及操作请参见查看事件信息、编辑事件。 响应威胁 利用实时自动化，您可以通过对重复类型的告警实现常规响应自动化来减少告警研判工作量。同时，也可以利用自动化的剧本，完成自动化止血操作。 更多详细介绍及操作请参见安全编排。 使用总大屏、报告 安全大屏 综合 态势感知 ：可以还原攻击历史，感知攻击现状，预测攻击态势，呈现安全运营的全局指标情况。 值班响应大屏：可以查看未处理告警、事件、漏洞、基线等需要处理的安全风险事项。 资产大屏：可以查看资产总数、受攻击资产数、未防护资产数等需要处理的资产以及资产视角的风险情况。 威胁态势大屏：可以查看DDoS攻击次数、网络攻击次数、应用拦截次数、主机层拦截次数等威胁攻击趋势及其防御、检测情况。 脆弱性大屏：可以查看脆弱性资产、漏洞、基线、未防护资产等脆弱性配置或资产的趋势及分布。 更多详细介绍及操作请参见安全大屏。 安全报告 展示安全评分、基线检查结果、安全漏洞、策略覆盖等信息，您可以通过创建安全报告，及时掌握资产的安全状况数据。 更多详细介绍及操作请参见安全报告。

场景说明 由于“华北-北京一”region已转存量维护局点，存在无资源部署的问题。在此情况下，可以通过安全云脑实现资源纳管，支撑用户使用安全云脑进行安全运营。 支持纳管以下资源： 资产： 主机、网站、数据库、VPC、EIP 日志： HSS安全日志、告警日志、 漏洞扫描 日志、基线日志；WAF攻击日志、访问日志；APIG请求日志；CTS服务日志；DCS告警日志；IAM审计日志；安全云脑基线日志 本场景介绍如何在“华北-北京四”region的安全云脑中完成操作，实现纳管“华北-北京一”region中云服务资源。

常用查询语句 表1 常用查询语句 需求 管道 查询语句 某IP访问查询 sec-waf-access x_forwarded_for='x.x.x.x' or remote_ip='x.x.x.x' and response_code='200' | select x_forwarded_for,remote_ip,http_host,url,response_code url关键词访问查询 sec-waf-access url like '*actuator*' and response_code='200' | select *,count(x_forwarded_for) as num group by x_forwarded_for,remote_ip,http_host,url 某域名访问iptop sec-waf-attack http_host=MATCH_QUERY('www.xx.com') | select *,count(remote_ip) as num group by http_host,remote_ip 某IP攻击查询 sec-waf-attack sip='x.x.x.x' and not attack='custom_whiteblackip' and not attack='custom_custom' | select attack,sip,http_host,uri,hit_data,status 某域名被攻击查询 sec-waf-attack http_host='www.aa.com' and not attack='custom_whiteblackip' and not attack='custom_custom' and not attack='robot' | select attack,sip,http_host,uri,hit_data,status 某主机执行命令查询 sec-hss-log (dest_asset.name='aa' or ipList='x.x.x.x') and alarmKey='proc_report_2' | select dest_asset.name,ipList,appendInfo.cmdline,appendInfo.path 某主机登录查询 sec-hss-log alarmKey like 'login_check_*' and ipList='x.x.x.x' | select ipList,appendInfo.service_type,appendInfo.service_port,appendInfo.login_ip ,hostIp 某主机告警查询 sec-hss-alarm (dest_asset.name='hostname' or ipList='x.x.x.x' ) | select dest_asset.name,ipList,appendInfo.event_name,appendInfo.file_info,appendInfo.process_info 某主机登录查询 sec-hss-alarm appendInfo.event_type=4007 and (ipList='x.x.x.x' or appendInfo.forensic_info.login_ip='x.x.x.x') | select appendInfo.forensic_info.login_ip,appendInfo.forensic_info.service_type,appendInfo.forensic_info.user_name,appendInfo.event_name,ipList

告警处置举例 此处以“【应用】源ip xx.xx.xx.xx 对域名demo.host.com进行了xx次攻击”告警为例进行说明。 收到告警： 图7 告警示例 分析思路： 源IP对域名进行爆破攻击，会对可能的子域名产生大量的枚举和测试。 安全云脑通过分析 Web应用防火墙 的告警，统计1小时内的攻击次数，过滤出次数超过阈值的攻击进行告警。 查看告警： 告警详情页面可以看到告警攻击IP、攻击域名，分析模型是“应用-源ip对域名进行爆破攻击”数据管道名称为“sec-waf-attack”。 图8 查看总览信息 图9 查看上下文信息 因为是统计类模型告警，可以结合WAF日志进行安全分析。单个源IP对域名进行多次攻击，虽然已经被WAF阻断，但是由于攻击次数较多，存在绕过WAF的风险，将多次攻击的行为冒泡出来。 分析/处理告警： 进入安全分析页面，打开sec-waf-access日志。 输入查询语句，筛选查询时间，并单击“查询/分析”。 response_code='200' and remote_ip=MATCH_QUERY('xx.xx.xx.xx') 图10 分析告警 根据查询结果，分析查询该IP有没有成功的访问请求。 通过分析，如果该攻击ip请求成功的都是非敏感url，不存在攻击成功或绕过WAF检测的风险，直接在告警详情页面，单击“关闭”，并根据提示关闭告警。 图11 关闭告警 如果是有风险url访问成功，直接在告警详情页面，单击“一键阻断”，填写风险IP，选择WAF防线，阻断老化15天，进行危险IP封堵。 图12 一键阻断

典型告警处理指导 表3 典型告警处理指导 告警类型 安全防线 依赖数据源 云脑智能模型 护网推荐处理建议 侦察阶段典型告警 网络防线 NIP攻击日志 网络-高危端口对外暴露 排查源IP对系统中的高危端口连接是否为业务需要。如果为业务需要，可修改模型脚本将该源IP过滤掉；如果非业务需要，则可修改相应安全组入方向规则，禁止高危端口暴漏公网，或者对源ip进行封堵拦截。同时为保证系统安全，尽量关闭不必要的端口。 侦察阶段典型告警 应用防线 WAF攻击日志 应用-源ip进行url遍历 应急处理可以记录所有的访问请求和响应，及时发现攻击行为，针对攻击源IP进行限制或者阻断，可以通过配置黑名单策略进行封锁。 侦察阶段典型告警 应用防线 WAF访问日志 应用-疑似存在源码泄露风险 应急处理可以记录所有的访问请求和响应，及时发现攻击行为，针对攻击源IP进行限制或者阻断，可以通过配置黑名单策略进行封锁。 尝试攻击典型告警 应用防线 WAF攻击日志 应用-WAF关键攻击告警、应用-疑似存在Shiro漏洞、应用-疑似存在log4j2漏洞、应用-疑似存在 Java框架通用代码执行漏洞、应用-疑似存在fastjson漏洞 需要联系业务责任人，排查Web服务器是否存在相关漏洞，确认是否攻击成功。如果存在漏洞，应及时修改漏洞并加固安全；如果攻击成功，可结合威胁情报对攻击IP进行拦截。 尝试攻击典型告警 网络防线 NIP攻击日志 网络-检测黑客工具攻击、网络-登录爆破告警 请确认该操作是否为正常业务人员的行为，如果不是，可以参考以下处置建议： 切断网络连接：立即停止受攻击的设备或系统与网络的连接，以防止攻击者继续进行攻击或窃取数据。 收集证据：记录攻击发生的时间、攻击者使用的IP地址、攻击类型和受影响的系统等信息，这些信息可能有助于后续的调查和追踪。 尝试攻击典型告警 网络防线 CFW访问控制日志 网络-疑似存在DOS攻击 请确认该操作是否为正常业务人员的行为，如果不是，可在相关网络设备上进行IP拦截或封堵。 入侵成功典型告警 网络防线 NIP攻击日志 网络-命令注入告警 如果发现源端口或目的端口为4444、8686、7778等非常用端口（可疑端口一般为4个数字），需联系责任人确认业务场景。如果不是正常业务行为，可能是黑客正在进行命令注入攻击，需要结合业务及主机日志查看是否被成功入侵，同时也可以对攻击ip采取拦截封堵等措施。 入侵成功典型告警 网络防线 NIP攻击日志 网络-恶意软件 [蠕虫、病毒、木马] 首先应该立即断开与互联网的连接，防止恶意软件进一步传播或者窃取您的敏感信息。之后可通过系统还原，杀毒软件等方式扫描和清除恶意软件。 入侵成功典型告警 主机防线 主机安全告警日志 主机-暴力破解成功、主机-异常shell、主机-异地登录 请确认该事件是否攻击成功，如果攻击成功，表明该主机已经失陷，需要进行主机隔离，防止风险扩散，之后对失陷的主机进行加固。 入侵成功典型告警 主机防线 主机安全日志 主机-进程和端口信息隐匿、主机-异常文件属性修改 及时判断是否是内部人员操作，是否为误操作。如果是异常进程，或文件存在恶意行为，执行相关命令结束进程。 防御绕过典型告警 主机防线 主机安全告警日志 主机-rootkit事件 立即确认该Rootkit安装是否正常业务引起。如果是非正常业务引起的，建议您立即登录系统终止该Rootkit安装行为，利用主机安全告警信息全面排查系统风险，避免系统遭受进一步破坏。 权限维持典型告警 主机防线 主机安全告警日志 主机-反弹shell、主机-恶意程序 联系所属主机的责任人，登录到主机上停止恶意程序并删除恶意文件，同时进一步排查是否存在可疑进程，是否开放了可疑端口，是否有可疑连接等，并进一步检查自启动项，避免遗留，此外可以结合其他方式进行综合判断。 权限维持典型告警 网络防线 NIP攻击日志 网络-检测异常连接行为 首先需要确认是否为真实的异常行为，而非误报或误判。可以通过多个方法进行确认，例如，查看日志记录、使用网络监控工具等。一旦确认存在异常连接行为，需要立即采取措施切断该异常连接，消除恶意软件，以避免进一步安全问题的发生。 横向移动典型告警 主机防线 主机安全日志 主机-虚拟机横向连接 建议通过 堡垒机 等审计记录查看该命令是程序执行还是人为操作，如果为人为操作，需联系对应操作人确定，风格为非正常业务人员操作，需尽快确定该行为是否为异常恶意行为，是否危害到对应虚拟机，及时采取措施，保护计算机和系统的安全。 持久化控制典型告警 网络防线 NIP攻击日志 网络-后门 首先应该立即断开与互联网的连接，防止后门进一步传播或者窃取您的敏感信息。可以使用杀毒软件进行扫描和清除后门，并查找和删除可疑文件，确保系统的安全性。 持久化控制典型告警 主机防线 主机安全日志 主机-恶意定时任务写入 请确认是否为正常业务任务，如果不是，可以停用计划任务。

操作场景 安全云脑提供了4+1个大屏，一个是综合态势感知大屏，其他四个大屏是值班响应大屏、资产大屏、威胁态势大屏和脆弱性大屏。 护网开始之前我们已经完成了自查整改，清零了所有未处理的运营数据。 护网及重保期间，安全值班人员需要重点关注“值班响应大屏”的数据信息，当有告警冒泡出来的时候，及时进行告警处理，清零全部告警数据。 通过告警详情页数据进行告警分析，如果需要结合其他日志数据，可通过安全分析在对应数据管道进行查询统计溯源。误报告警直接关闭，有风险告警可通过“一键阻断”能力应急阻断。

操作场景 数据采集后，针对云上安全事件提供了安全编排剧本，实现安全事件的高效、自动化响应处置。 安全云脑内置的流程默认已启用，无需再进行手动启用；内置的剧本已激活默认版本，仅需启用对应剧本即可。建议启用以下剧本： 表1 启用剧本 剧本名称 描述 重复告警自动关闭 将近7日内第二次及第二次以上出现的告警状态置为关闭，并关联7日内同名告警 高危告警自动通知 对威胁级别为High或者Fatal的告警进行邮件或者短信通知

执行管道 表1 模型的执行管道 模型名称 管道 是否开启 状态 备注 应用-分布式url遍历攻击 sec-waf-access 推荐开启 开箱即用已开启 -- 应用-源ip对域名进行爆破攻击 sec-waf-attack 推荐开启 开箱即用已开启 -- 应用-源ip进行url遍历 sec-waf-access 推荐开启 开箱即用已开启 -- 应用-WAF关键攻击告警 sec-waf-attack 推荐开启 开箱即用已开启 -- 主机-虚拟机横向连接 sec-hss-log 推荐开启 开箱即用已开启 -- 网络-高危端口对外暴露 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-登录爆破告警 sec-nip-attack 推荐开启 开箱即用已开启 -- 主机-异常网络连接 sec-hss-alarm 推荐开启 开箱即用已开启 -- 网络-源ip对多个目标进行攻击 sec-nip-attack 推荐开启 开箱即用已开启 -- IPS告警去重 sec-nip-attack 按需开启 -- -- 网络-命令注入告警 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-恶意外联 sec-nip-attack 推荐开启 开箱即用已开启 -- 主机-rootkit事件 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-反弹shell sec-hss-alarm 推荐开启 开箱即用已开启 已升级，需更新模型 主机-异地登录 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-异常shell sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-弱口令 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-恶意程序 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-暴力破解成功 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-高危命令检测 sec-hss-alarm 推荐开启 开箱即用已开启 已升级，需更新模型 网络-检测异常连接行为 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-检测黑客工具攻击 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-恶意软件 [蠕虫、病毒、木马] sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-僵尸网络 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-后门 sec-nip-attack 推荐开启 开箱即用已开启 -- 应用-疑似存在源码泄露风险 sec-waf-access 推荐开启 开箱即用已开启 -- 身份-IAM账号爆破 sec-iam-audit 推荐开启 开箱即用已开启 -- 应用-疑似存在log4j2漏洞 sec-waf-attack 推荐开启 开箱即用已开启 -- 身份-创建IAM委托 sec-iam-audit 推荐开启 开箱即用已开启 -- 身份-创建联邦登录 sec-iam-audit 推荐开启 开箱即用已开启 -- 身份-IAM账户添加子用户 sec-iam-audit 推荐开启 开箱即用已开启 -- 运维-挂载网卡 sec-cts-audit 推荐开启 开箱即用已开启 -- 运维-创建peering对等连接 sec-cts-audit 推荐开启 开箱即用已开启 -- 运维-资源绑定EIP sec-cts-audit 推荐开启 开箱即用已开启 -- 应用-疑似存在fastjson漏洞 sec-waf-attack 推荐开启 开箱即用已开启 -- 应用-疑似存在 Java框架通用代码执行漏洞 sec-waf-attack 推荐开启 开箱即用已开启 -- 应用-疑似存在Shiro漏洞 sec-waf-attack 推荐开启 开箱即用已开启 -- 网络-CFW异常外联 sec-cfw-risk 推荐开启 开箱即用已开启 -- 网络-疑似存在DOS攻击 sec-cfw-block 按需开启 开箱即用已开启 -- 应用-登录爆破攻击 sec-waf-attack 推荐开启 开箱即用已开启 -- 主机-异常文件属性修改 sec-hss-log 推荐开启 开箱即用已开启 -- 主机-恶意定时任务写入 sec-hss-log 推荐开启 开箱即用已开启 -- 主机-进程和端口信息隐匿 sec-hss-log 推荐开启 开箱即用已开启 -- 主机-异常文件权限修改 sec-hss-log 推荐开启 开箱即用已开启 -- 网络-疑似存在远程代码执行漏洞 sec-nip-attack 推荐开启 -- -- 网络-存在敏感文件泄露 /目录遍历漏洞 sec-nip-attack 推荐开启 -- -- 应用-疑似存在openfire鉴权绕过漏洞 sec-waf-access 推荐开启 -- -- 应用-疑似存在 nginxWebUI 远程命令执行漏洞 sec-waf-access 推荐开启 -- -- 应用-疑似存在 MinIO 信息泄露 sec-waf-access 推荐开启 -- -- 应用-疑似存在 F5 BIG-IP 命令执行漏洞 sec-waf-access 推荐开启 -- -- 应用-存在Spring Actuator信息泄露 sec-waf-access 推荐开启 -- -- 主机-计划任务异常 sec-hss-alarm 推荐开启 -- -- 主机-疑似注册启动信息修改 sec-hss-log 推荐开启 -- -- 主机-疑似发现webshell木马 sec-hss-alarm 推荐开启 -- -- 主机-疑似使用内网扫描工具 sec-hss-log 推荐开启 -- -- 主机-挖矿行为检测 sec-hss-alarm 推荐开启 -- -- 主机-异常脚本调用 sec-hss-log 推荐开启 -- -- 主机-勒索软件 sec-hss-alarm 推荐开启 -- -- 应用-疑似人为WEB恶意入侵攻击 sec-waf-attack 推荐开启 -- -- 网络-目录遍历攻击 sec-ndr-risk 按需开启 -- -- 网络-文件读写执行 sec-ndr-risk 按需开启 -- -- 网络-绕过 sec-ndr-risk 按需开启 -- -- 网络-代码执行 sec-ndr-risk 按需开启 -- -- 网络-检测后门 sec-ndr-risk 按需开启 -- -- 网络-log4j漏洞攻击 sec-ndr-risk 按需开启 -- -- 网络-提权 sec-ndr-risk 按需开启 -- -- 网络-检测恶意外联 sec-ndr-risk 按需开启 -- -- 主机-异常权限提升 sec-hss-alarm 推荐开启 -- -- 应用-疑似泛微 e-cology9登录漏洞 sec-waf-access 推荐开启 -- -- 主机-信息破坏 sec-hss-alarm 推荐开启 -- -- 主机-网络异常行为 sec-hss-alarm 推荐开启 -- -- 主机-用户异常行为 sec-hss-alarm 推荐开启 -- 已升级，需更新模型 主机-容器异常 sec-hss-alarm 推荐开启 -- -- 应用-waf 告警恶意ip攻击 sec-waf-attack 推荐开启 -- -- 主机-系统异常变更 sec-hss-alarm 推荐开启 -- -- 主机-漏洞利用 sec-hss-alarm 推荐开启 -- 已升级，需更新模型 主机-集群异常行为 sec-hss-alarm 推荐开启 -- -- 主机-异常进程 sec-hss-alarm 推荐开启 -- -- 主机-黑客工具检测 sec-hss-alarm 推荐开启 -- -- 主机-扫描侦查 sec-hss-alarm 推荐开启 -- -- 主机-关键文件路径变更 sec-hss-alarm 推荐开启 -- 新增 主机-异常外联行为 sec-hss-alarm 推荐开启 -- 新增 主机-文件/目录变更 sec-hss-alarm 推荐开启 -- 新增 主机-尝试暴力破解 sec-hss-alarm 推荐开启 -- 新增 主机-可疑进程异常访问文件 sec-hss-alarm 推荐开启 -- 新增 主机-容器异常启动 sec-hss-alarm 推荐开启 -- 新增 主机-非可信进程运行 sec-hss-alarm 推荐开启 -- 新增 主机-Crontab可疑任务 sec-hss-alarm 推荐开启 -- 新增 主机-用户账号变更 sec-hss-alarm 推荐开启 -- 新增 网络-CFW恶意外部攻击 sec-cfw-risk 推荐开启 -- 新增 应用-疑似存在目录爆破 sec-nginx-access 按需开启 -- -- 应用-疑似存在dos攻击风险 sec-nginx-access 按需开启 -- -- 应用-python恶意爬虫 sec-nginx-access 按需开启 -- -- 应用-用户异常登录疑似爆破 sec-nginx-access 按需开启 -- -- 应用-疑似撞库攻击 sec-nginx-access 按需开启 -- -- 网络-主机非法探测 sec-vpc-flow 按需开启 -- -- 网络-端口非法扫描 sec-vpc-flow 按需开启 -- --

修复说明 Linux、Windows漏洞 如下是近两年在攻防演练中被红队利用最频繁且对企业危害较高的系统漏洞，HSS漏洞库支持扫描该漏洞，如果使用HSS扫描时发现该漏洞，请优先排查修复。 Linux DirtyPipe权限提升漏洞（CVE-2022-0847） 如果漏洞影响的软件未启动或启动后无对外开放端口，则实际风险较低，可滞后修复。 应用漏洞 HSS不支持扫描如用友、金蝶等商用软件的漏洞，因此商用软件漏洞您需要自行排查。 如果Web服务器的应用漏洞无法修复，您可以通过配置安全组规则，限制只可内网访问，或使用WAF防护（只能降低风险，通过内网渗透或规则绕过依然有被入侵的风险）。 如下是近两年在攻防演练中被红队利用最频繁且对企业危害较高的应用漏洞，HSS漏洞库支持扫描这些漏洞，如果使用HSS扫描时发现这些漏洞，请优先排查修复。 nginxWebUI远程命令执行漏洞 Nacos反序列化漏洞 Apache RocketMQ命令注入漏洞（CVE-2023-33246） Apache Kafka远程代码执行漏洞（CVE-2023-25194） Weblogic远程代码执行漏洞（CVE-2023-21839） Atlassian Bitbucker Data Center远程代码执行漏洞（CVE-2022-26133） Apache CouchDB远程代码执行漏洞（CVE-2022-24706） F5 BIG-IP命令执行漏洞（CVE-2022-1388） Fastjson 1.2.8反序列化漏洞（CVE-2022-25845） Atlasssian Confluence OGNL注入漏洞（CVE-2022-26134） Apache Log4j2远程代码执行漏洞（CVE-2021-44228）

场景说明 安全云脑（SecMaster）是华为云原生的新一代安全运营中心，集华为云多年安全经验，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力。 安全云脑支持在重大保障及防护演练前，全面地进行资产脆弱性盘点；在攻防演练期间，高强度7*24的安全保障，侧重于防攻击，保障业务可用性不因安全攻击受影响，侧重于防入侵，保障不因入侵失分被问责。能够更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 本场景将介绍在护网、重保场景中安全云脑的使用，具体流程如下图所示： 图1 使用流程 父主题： 安全云脑护网/重保最佳实践

ECS规格要求 安装采集器（isap-agent + Logstash）的租户云服务器（ECS）规格要求如下表： 表1 ECS规格 CPU内核数 内存大小 系统磁盘存储大小 数据磁盘存储大小 采集器参考处理能力 4核 8G 50G 100G 4000 EPS @ 500B 8核 16G 50G 100G 10000 EPS @ 500B 16核 32G 50G 100G 20000 EPS @ 500B 32核 64G 50G 100G 40000 EPS @ 500B 64核 128G 50G 100G 80000 EPS @ 500B 规格说明： 4000 EPS @ 500B：日志采集器每秒可以处理4000次数据。条件：单个数据大小为500字节（500B）情况下。 ECS规格最低要求：CPU2核，内存4 GB，系统磁盘50 GB，数据磁盘100 GB。 架构要求：当前日志采集组件控制器（isap-agent）仅支持运行在Linux系统和Arm64架构的ECS主机上，后续更多环境适配持续更新中。 操作系统（镜像）：无限制，建议Huawei Cloud EulerOS。 日志量应当与机器规格成比例放大，建议按表中规格比例进行放大。如果机器压力较大，建议部署多台采集器，通过采集通道来统一管理，分摊单机日志中转压力。