云服务器内容精选
-
请求示例 修改告警规则告警通知信息 { "notification_enabled" : true, "alarm_notifications" : [ { "type" : "", "notification_list" : [ ] } ], "ok_notifications" : [ { "type" : "", "notification_list" : [ ] } ], "notification_begin_time" : "00:00", "notification_end_time" : "23:59" }
-
响应示例 状态码: 200 修改告警规则告警通知信息成功 { "notification_enabled" : true, "alarm_notifications" : [ { "type" : "", "notification_list" : [ ] } ], "ok_notifications" : [ { "type" : "", "notification_list" : [ ] } ], "notification_begin_time" : "00:00", "notification_end_time" : "23:59" }
-
响应参数 状态码: 200 表5 响应Body参数 参数 参数类型 描述 notification_enabled Boolean 是否开启告警通知 alarm_notifications Array of Notification objects 告警触发的动作 ok_notifications Array of Notification objects 告警恢复触发的动作 notification_begin_time String 告警通知开启时间 notification_end_time String 告警通知关闭时间 表6 Notification 参数 参数类型 描述 type String 通知类型, notification代表通过 SMN 通知 正则匹配:^(notification|autoscaling|ecsRecovery|contact|contactGroup|iecAction)$ notification_list Array of strings 告警状态发生变化时,被通知对象的列表。topicUrn可从SMN获取,具体操作请参考查询Topic列表。当type为notification时,notification_list列表不能为空。 说明:若alarm_action_enabled为true,对应的alarm_actions、ok_actions至少有一个不能为空。若alarm_actions、ok_actions同时存在时,notification_list值保持一致。 数组长度:0 - 20 状态码: 400 表7 响应Body参数 参数 参数类型 描述 error_code String 请求异常内部业务状态码 最小长度:0 最大长度:256 error_msg String 请求异常信息 最小长度:0 最大长度:256 request_id String 请求ID 最小长度:0 最大长度:256 状态码: 500 表8 响应Body参数 参数 参数类型 描述 error_code String 请求异常内部业务状态码 最小长度:0 最大长度:256 error_msg String 请求异常信息 最小长度:0 最大长度:256 request_id String 请求ID 最小长度:0 最大长度:256
-
请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 否 String 发送的实体的MIME类型。默认使用application/json; charset=UTF-8。 缺省值:application/json; charset=UTF-8 最小长度:1 最大长度:64 X-Auth-Token 否 String 用户Token 最小长度:1 最大长度:16384 表3 请求Body参数 参数 是否必选 参数类型 描述 notification_enabled 是 Boolean 是否开启告警通知,值为true时,其他字段均必选,值为false时,其他字段可不选 alarm_notifications 否 Array of Notification objects 告警触发的动作 ok_notifications 否 Array of Notification objects 告警恢复触发的动作 notification_begin_time 否 String 告警通知开启时间 notification_end_time 否 String 告警通知关闭时间 表4 Notification 参数 是否必选 参数类型 描述 type 是 String 通知类型, notification代表通过SMN通知 正则匹配:^(notification|autoscaling|ecsRecovery|contact|contactGroup|iecAction)$ notification_list 是 Array of strings 告警状态发生变化时,被通知对象的列表。topicUrn可从SMN获取,具体操作请参考查询Topic列表。当type为notification时,notification_list列表不能为空。 说明:若alarm_action_enabled为true,对应的alarm_actions、ok_actions至少有一个不能为空。若alarm_actions、ok_actions同时存在时,notification_list值保持一致。 数组长度:0 - 20
-
响应参数 状态码: 201 表6 响应Body参数 参数 参数类型 描述 relation_ids Array of strings 创建成功的关联ID列表 数组长度:0 - 100 notification_mask_id String 屏蔽规则ID 状态码: 400 表7 响应Body参数 参数 参数类型 描述 error_code String 请求异常内部业务状态码 最小长度:0 最大长度:256 error_msg String 请求异常信息 最小长度:0 最大长度:256 request_id String 请求id 最小长度:0 最大长度:256 状态码: 500 表8 响应Body参数 参数 参数类型 描述 error_code String 请求异常内部业务状态码 最小长度:0 最大长度:256 error_msg String 请求异常信息 最小长度:0 最大长度:256 request_id String 请求id 最小长度:0 最大长度:256
-
请求示例 { "mask_name" : "mn_test", "relation_type" : "ALARM_RULE", "relation_ids" : [ "al123232232341232132" ], "resources" : [ { "namespace" : "SYS.E CS ", "dimensions" : [ { "name" : "instance_id", "value" : "4270ff17-aba3-4138-89fa-820594c39755" } ] } ], "mask_type" : "START_END_TIME", "start_date" : "yyyy-MM-dd", "start_time" : "HH:mm:ss", "end_date" : "yyyy-MM-dd", "end_time" : "HH:mm:ss" }
-
请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 发送的实体的MIME类型。默认使用application/json; charset=UTF-8。 缺省值:application/json; charset=UTF-8 最小长度:1 最大长度:64 X-Auth-Token 是 String 用户Token。 最小长度:1 最大长度:16384 表3 请求Body参数 参数 是否必选 参数类型 描述 mask_name 否 String 屏蔽规则名称,只能为字母、数字、汉字、-、_,最大长度为64 relation_type 是 String 关联类型。ALARM_RULE:关联告警规则,RESOURCE:关联资源,RESOURCE_POLICY_NOTIFICATION:关联资源策略屏蔽告警通知,RESOURCE_POLICY_ALARM:关联资源策略不计算告警。 枚举值: ALARM_RULE RESOURCE RESOURCE_POLICY_NOTIFICATION RESOURCE_POLICY_ALARM relation_ids 是 Array of strings 关联编号,relation_type为ALARM_RULE时填屏蔽的告警规则ID;relation_type为RESOURCE_POLICY_NOTIFICATION、RESOURCE_POLICY_ALARM时填屏蔽的告警策略ID; 数组长度:1 - 100 resources 否 Array of Resource objects 关联资源,relation_type为RESOURCE、RESOURCE_POLICY_NOTIFICATION、RESOURCE_POLICY_ALARM时填屏蔽的资源信息; 数组长度:1 - 100 mask_type 是 String 屏蔽类型。START_END_TIME:按起止时间屏蔽,FOREVER_TIME:永久时间屏蔽,CYCLE_TIME:按周期时间屏蔽。 枚举值: START_END_TIME FOREVER_TIME CYCLE_TIME start_date 否 String 屏蔽起始日期,yyyy-MM-dd。 start_time 否 String 屏蔽起始时间,HH:mm:ss。 end_date 否 String 屏蔽截止日期,yyyy-MM-dd。 end_time 否 String 屏蔽截止时间,HH:mm:ss。 表4 Resource 参数 是否必选 参数类型 描述 namespace 是 String 资源命名空间,例如弹性云服务器命名空间(格式为service.item;service和item必须是字符串,以字母开头,可包含0-9/a-z/A-Z/_;长度范围[3,32]。) dimensions 是 Array of Dimension objects 资源的维度信息 数组长度:1 - 4 表5 Dimension 参数 是否必选 参数类型 描述 name 是 String 资源维度名,如:弹性云服务器,则维度为instance_id;目前最大支持4个维度,各服务资源的指标维度名称可查看:“服务指标维度”。 正则匹配:^([a-z]|[A-Z]){1}([a-z]|[A-Z]|[0-9]|_|-){1,32}$ value 是 String 资源维度值,为资源的实例ID,如:4270ff17-aba3-4138-89fa-820594c39755。 正则匹配:^((([a-z]|[A-Z]|[0-9]){1}([a-z]|[A-Z]|[0-9]|_|-|\.)*)|\*){1,256}$
-
告警通知项说明 通知项 通知内容 通知内容说明 每日告警通知 每日凌晨检测主机中的风险,汇总并统计检测结果后,将检测结果于每日上午10:00发送给你添加的手机号或者邮箱。 资产管理 危险端口 检测开放了的危险端口或者不必要的端口,通知用户及时排查这些端口是否用于正常业务。 漏洞管理 紧急漏洞 检测系统中的紧急漏洞,通知用户尽快修复,防止攻击者利用该漏洞会对主机造成较大的破坏。 入侵检测 帐户破解防护 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内,帐户暴力破解次数(连续输入错误密码)达到5次及以上,HSS就会拦截该源IP,禁止其再次登录,防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时,其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情,如“攻击源IP”、“攻击类型”和“拦截次数”,您能够快速识别出该源IP是否为可信IP,如果为可信IP,您可以通过手动解除拦截的方式,解除拦截的可信IP。 关键文件变更 对于关键文件变更,HSS只检测目录或文件是否被修改,不关注是人为或者某个进程修改的。 恶意程序 通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识后门、木马、挖矿软件、蠕虫和病毒等恶意程序,也可检测出主机中未知的恶意程序和病毒变种,并提供一键隔离查杀能力。 网站后门 检测云服务器上Web目录中的文件,判断是否为WebShell木马文件,支持检测常见的PHP、JSP等后门文件类型。 反弹Shell 实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常Shell 检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 高危命令执行 HSS实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。 提权操作 HSS检测当前系统的“进程提权”和“文件提权”操作。 Rootkit程序 HSS检测Rootkit安装的文件和目录,帮助用户及时发现可疑的Rootkit安装。 基线检查 弱口令 检测MySQL、FTP及系统帐号的弱口令。 风险帐号 检测系统中的可疑帐号、主机中无用的帐号,防止未授权的访问权限和使用操作。 配置风险 检测系统中的关键应用,如果采用不安全配置,有可能被黑客利用作为入侵主机系统的手段。 帐户登录 异地登录 检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施。 若在非常用登录地登录,则触发安全事件告警。 实时告警通知 事件发生时,及时发送告警通知。 入侵检测 帐户异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录,则说明您的主机可能被黑客入侵成功。 恶意程序 通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识后门、木马、挖矿软件、蠕虫和病毒等恶意程序,也可检测出主机中未知的恶意程序和病毒变种,并提供一键隔离查杀能力。 关键文件变更 对于关键文件变更,HSS只检测目录或文件是否被修改,不关注是人为或者某个进程修改的。 网站后门 检测云服务器上Web目录中的文件,判断是否为WebShell木马文件,支持检测常见的PHP、JSP等后门文件类型。 反弹Shell 实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常Shell 检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 高危命令执行 HSS实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。 提权操作 HSS检测当前系统的“进程提权”和“文件提权”操作。 Rootkit程序 HSS检测Rootkit安装的文件和目录,帮助用户及时发现可疑的Rootkit安装。 帐户登录 登录成功通知 如果在“实时告警通知”项目中勾选了“登录成功通知”选项,则任何帐户登录成功的事件都会向您实时发送告警信息。 如果您所有主机上的帐户都由个别管理员负责管理,通过该功能可以对系统帐户进行严格的监控。 如果系统帐户由多人管理,或者不同主机由不同管理员负责管理,那么运维人员可能会因为频繁收到不相关的告警而对运维工作造成困扰,此时建议您登录 企业主机安全 服务控制台关闭该告警项。 说明: 登录成功并不代表发生了攻击,需要您确认登录IP是否是已知的合法IP。
-
背景说明 攻击链路在网络安全领域中是一个重要的概念,它主要指的是攻击者为了达成攻击目的,在目标网络或系统中采取的一系列攻击步骤和路径。这些步骤和路径构成了攻击链路,通过它们,攻击者能够逐步深入目标系统,最终实现其攻击目标。 攻击链路对目标网络或系统的危害是巨大的。一旦攻击者成功构建了攻击链路,并突破了目标系统的防御措施,就可以对目标系统进行任意操作,包括窃取敏感信息、破坏系统数据、瘫痪系统服务等。这些危害不仅会导致经济损失,还可能对国家安全和社会稳定造成严重影响。
-
事件响应 获取、保护、记录证据。 根据您华为云环境的配置,通过主机安全服务(HSS)以及 Web应用防火墙 (WAF)来源检测相关类型的告警。 可通过SSH等方法访问云服务器,查看实例状态和监控等信息,查看是否有异常。或者通过其他方式收到的告警信息。 一旦确认攻击是事件,需要评估受影响范围、攻击机器和受影响业务及数据信息。 通过 安全云脑 “转事件”能力,持续跟踪对应事件,记录所有涉及事件信息。详细操作请参见告警转事件。 同时可通过日志信息溯源,通过“安全分析”能力审核所有相关日志信息,在“事件管理”中记录存档,便于后续跟踪运营。 控制事件。 通过告警和日志信息,确定攻击类型、影响主机和业务进程信息。 通过隔离查杀,策略阻断等脚本对涉及进程软件进行进程查杀、软件隔离等操作,降低后续影响。 排查感染范围,有感染风险都需要进行排查,一旦有沦陷及时处理控制。 同时也可使用其他剧本流程进行风险控制,比如“主机隔离”,通过安全组策略,从访问控制方面隔离受感染机器,隔离网络传播风险。 消除事件。 评估受影响机器是否需要加固恢复。如果已经沦陷,需要通过溯源结果加固恢复机器。如安全凭证泄露造成的攻击,则删除任何未经授权的 IAM 用户、角色和策略,并吊销凭据等操作进行主机加固。 对受感染机器可以进行风险排查,排查是否有漏洞、过时的软件、未修补的漏洞等,这些都可能会造成后续机器的持续沦陷,可通过“漏洞管理”排查和修复处理对应机器漏洞;排查是否有风险配置,可以通过“基线检查”排查机器配置,针对有风险配置进行及时处理修复。 评估影响范围,如果已经有其他机器沦陷,需要同步处理所有影响主机。 从事故中恢复。 确定从备份执行的所有还原操作的还原点。 查看备份策略,以确定是否可以恢复所有对象和文件,这取决于在资源上应用的生命周期策略。 使用取证方法确认数据在恢复之前是安全的,然后从备份中恢复数据,或者恢复到ECS实例的早期快照。 如果您已成功使用任何开源解密工具恢复数据,请从实例中删除该数据,并执行必要的分析以确认数据是安全的。然后,恢复实例,终止或隔离实例并创建新的实例,并将数据还原至新实例中。 如果从备份恢复或解密数据都不可行,请评估在新环境中重新开始的可能性。 事故后活动。 通过整个告警处理流程中分析告警发生详细信息,持续运营优化模型,提升模型告警准确率。如判断是业务相关的,无风险的告警可以直接通过模型进行筛选。 通过溯源告警发生,更好的了解事件的整个流程,持续优化资产防护策略,降低资源风险,收缩攻击面。 通过告警事件处理,结合自己业务实际场景,优化自动化处理剧本流程,例如,通过分析之后告警准确率提升可替换人工审核策略,以全自动化替代,提升处理效率,更快速的对风险进行处理。 通过风险分析,结合攻击链路告警分析,进行风险前置,在未发生事件之前进行风险控制处理。
-
响应方案 攻击者攻击 域名 成功之后会对后端服务器进行攻击,因此针对此链路攻击的路径,安全云脑提供了攻击链路分析告警通知剧本。当攻击者通过层层攻击到主机之后,进行告警,通知运营人员进行处置。 “攻击链路分析告警通知”剧本已匹配“攻击链路分析告警通知”流程,该流程需要使用 消息通知 服务(Simple Message Notification,SMN)来创建安全云脑告警通知主题,并完成订阅即可接收到告警通知。 “攻击链路分析告警通知”流程是通过资产关联,查询对应HSS告警影响资产所关联的网站资产列表,流程预置默认查询最多3条网站资产。 如果有关联网站资产,则每条网站资产查询3小时前到现在这个时间段内对应的WAF告警数据(告警类型为XSS、SQL注入、命令注入、本地文件包含、远程文件包含、Webshell、漏洞攻击),同样的,最多查询3条告警数据。 如果有对应WAF告警,则将WAF告警数据与本条HSS告警数据进行关联,并通过SMN通知到邮箱。 图1 攻击链路分析告警通知
-
操作步骤 登录管理控制台。 选择“支持与服务”,单击左下方“工单服务”。 选择问题所属产品:在输入框中输入“SMN”,单击“消息通知服务(SMN)”进入下一步。 选择问题类型:问题类型选择“其他问题”,单击下方“您可以选择下一步,描述我的问题”,进入下一步。 填写问题描述:选择您的云资源所在的区域,问题描述填入“申请开通企业微信、钉钉、飞书、语音通知协议公测”,填写您的联系方式(手机或邮箱),跟进工单处理进展,完成后单击“下一步”。 提交工单:单击下方“未解决,提交工单”,提交申请公测工单。 完成工单提交:等待系统回复,当出现华为云工程师系统角色提示您确认风险的回复后,输入“风险已知晓,继续开通”,等待系统回复,完成公测协议开通。 企业微信群消息,钉钉群消息,飞书群消息有发送条数限制和接收方系统故障情况,可能会导致消息发送失败。出现上述原因时,SMN不保证消息成功送达。
-
请求示例 修改xxxxxxxxxxxxxxxxxxx为通知主题,项目ID为xxxxxxxxxxxxxxxxxxx,告警通知状态为开启。 PUT /v1/{project_id}/sdg/smn/topic { "id" : "xxxxxxxxxxxxxxxxxxx", "project_id" : "xxxxxxxxxxxxxxxxxxx", "status" : 1, "topic_urn" : "xxxxxxxxxxxxxxxxxxx" }
-
剧本说明 “攻击链路分析告警通知”剧本已匹配“攻击链路分析告警通知”流程,该流程需要使用消息通知服务(Simple Message Notification,SMN)来创建安全云脑告警通知主题,并完成订阅即可接收到告警通知。 “攻击链路分析告警通知”流程是通过资产关联,查询对应HSS告警影响资产所关联的网站资产列表,流程预置默认查询最多3条网站资产。 如果有关联网站资产,则每条网站资产查询3小时前到现在这个时间段内对应的WAF告警数据(告警类型为XSS、SQL注入、命令注入、本地文件包含、远程文件包含、Webshell、漏洞攻击),同样的,最多查询3条告警数据。 如果有对应WAF告警,则将WAF告警数据与本条HSS告警数据进行关联,并通过消息通知服务(Simple Message Notification,SMN)通知到邮箱。 图1 攻击链路分析告警通知流程
-
剧本说明 “攻击链路分析告警通知”剧本已匹配“攻击链路分析告警通知”流程,该流程需要使用消息通知服务(Simple Message Notification,SMN)来创建安全云脑告警通知主题,并完成订阅即可接收到告警通知。 “攻击链路分析告警通知”流程是通过资产关联,查询对应HSS告警影响资产所关联的网站资产列表,流程预置默认查询最多3条网站资产。 如果有关联网站资产,则每条网站资产查询3小时前到现在这个时间段内对应的WAF告警数据(告警类型为XSS、SQL注入、命令注入、本地文件包含、远程文件包含、Webshell、漏洞攻击),同样的,最多查询3条告警数据。 如果有对应WAF告警,则将WAF告警数据与本条HSS告警数据进行关联,并通过消息通知服务(Simple Message Notification,SMN)通知到邮箱。 图1 攻击链路分析告警通知流程
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
