华为云用户手册

  • 趋势和挑战 随着越来越多的企业将其运营数字化,海量的设备接入办公园区网络。由于缺乏准入控制技术,入网终端的安全状态与使用者身份未知,无法保障终端入网安全可信,这就导致内网数据泄露等事件频发。与此同时,企业面临的网络安全风险也越来越大,由于人的行为具有不确定性,电脑、服务器等终端作为直接与人交互的装置,面临更多的安全风险,往往是整个网络安全防护流程中最薄弱的环节。近年来针对终端的攻击行为层出不穷,攻击者不仅可以从外部入侵,还可以直接从企业内部发起攻击,导致终端感染。感染的终端接入办公园区网络,会导致威胁在内网迅速扩散,造成企业重大经济损失。 企业办公园区网络当下面临着不少挑战: 等保2.0合规要求 根据等保2.0合规要求,凡是达到等保三级及三级以上的企业,在安全计算环境中必须采用多因子认证,做到威胁终端可溯源。 网络接入和IT账号管理割裂 传统办公园区存在多套身份管理系统管理,导致权限割裂管理、终端检查方案割裂,且本地AD数据无法同步至云上。 访客WiFi缺乏管理 传统办公园区直接开放SSID或PSK供访客接入,无审计定位,无溯源方案,无法针对访客进行二次经营管理。 业务安全策略难以适应环境变化 工作在非传统办公环境中,例如居家办公,需要为相同用户在不同环境接入时提供不同的安全策略,因此需要基于接入位置、时间、终端类型等配置网络策略,传统业务安全策略难以实现策略灵活部署。 父主题: 方案概述
  • 快速配置 设备上线后,您还需要在云端或设备中进行相关配置,才能正常使用等保合规解决方案。可以参考如下文档完成快速配置。 表1 参考文档 子服务 手册名称 参照内容 文档获取 边界防护与响应服务 部署指南 配置设备安全域 配置全局白名单 黑白名单授权 订阅告警与报告 查看威胁事件 部署指南 漏洞扫描服务 部署指南 配置VPN接口 录入资产 授权服务扫描 创建 漏洞扫描 任务 查看扫描结果 部署指南 云日志 审计服务 部署指南 授权日志采集权限 (可选)添加天关/防火墙 添加审计资产 配置日志上报 验证日志查询 部署指南 智能终端安全服务 部署指南 服务授权 样本获取授权 安装HiSec Endpoint Agent 查看终端资产 部署指南 父主题: 部署指南
  • 中小型企业联网场景 中小型企业缺乏安全投资和安全运维人员,通常只购买最基本的安全设备,但也因没有专业运维人员而无法发挥作用。不法分子因勒索软件攻击成本低廉而常常进行无差别攻击,面对此类安全防护能力几乎空白的企业,勒索入侵成功率极高,可迅速导致整个信息系统不可用,业务长时间中断,并造成企业重大经济损失。随着勒索软件的泛滥,中小型企业日常业务的可持续性存在高风险,因此防勒索建设也成为此类型企业必须面对的课题。 此类型企业防勒索建设的主要诉求包括: 由于安全资金和安全运维人力短缺,不想购买多种安全设备。 没有安全运维能力,希望将“防勒索建设”外包出去,保障日常业务运营不中断。 图1 中小型企业联网场景 采用华为乾坤防勒索解决方案,可以帮助企业实现: 仅需在企业互联网出口部署一台天关/防火墙,在企业终端上安装HiSec Endpoint Agent软件,即可通过云端自动下发的防勒索能力,有效阻止勒索软件入侵和留存,保障企业日常业务运营。 获取云端自动处置能力和安全专家服务,进行自动化运维,大幅减轻企业的安全运维压力。 父主题: 典型应用
  • 快速配置 设备上线后,您还需要在云端或设备中进行相关配置,才能正常使用华为华为乾坤防勒索解决方案。可以参考如下文档完成快速配置。 表1 快速配置参考文档 子服务 手册名称 参照内容 文档获取 边界防护与响应服务 部署指南 配置设备安全域 配置全局白名单 黑白名单授权 订阅告警与报告 查看威胁事件 部署指南 智能终端安全服务 部署指南 服务授权 样本获取授权 安装HiSec Endpoint Agent 查看终端资产 部署指南 漏洞扫描服务(可选) 部署指南 配置VPN接口 录入资产 授权服务扫描 创建漏洞扫描任务 查看扫描结果 部署指南 父主题: 部署指南
  • 方案简介 华为乾坤推出的安全重保解决方案采用云边一体创新架构,打造一站式云化安全解决方案。如图1所示,重保安全解决方案由部署在公有云上的云服务和部署在客户网络边界的华为天关防护节点构成,能够帮助用户实现常态化安全保障。 图1 产品架构图 表1 主要服务/模块介绍 部署位置 设备/模块名称 功能介绍 云端 边界防护与响应服务 边界防护与响应服务包括智能分析和处置、安全专家服务两大核心能力,其采用智能大数据分析技术对天关提供的安全日志进行智能分析和处置,同时安全专家深入分析威胁并结合自身经验准确识别复杂威胁并快速响应。 此外边界防护与响应服务还提供资产暴露面风险监测能力,对暴露面进行精确识别和活跃度持续跟踪,帮助用户快速感知暴露面风险。 重保威胁信息 在重保服务期间通过AI算法分析全网历史攻击行为及攻击方法,精准识别攻击方地址,实时共享历史重保专门威胁信息,有效提升信息的精准度。 漏洞扫描服务 漏洞扫描服务是一种针对客户内部资产提供的在线漏洞检测服务。该服务从风险管理角度出发,基于AI算法,结合资产的漏洞扫描结果、资产面临的威胁事件、威胁信息等,整体评估出风险值,帮助客户全面了解资产存在的风险。 智能终端安全服务 智能终端安全服务是针对企业本地终端进行风险检测和处置,防止终端感染和威胁在内网传播的一种服务。它采用云、端协同架构,由云端和安装在终端侧的HiSec Endpoint Agent软件组成。 企业边界 天关 天关与云端协同工作,作为安全防御节点,既对进出流量进行反病毒、IPS等深度安全检测,为租户本地网络提供边界防护,同时向边界防护与响应服务提供日志,并执行边界防护与响应服务下发的防护策略。 父主题: 方案概述
  • 漏洞扫描服务 表2 漏洞扫描服务功能描述 功能 描述 漏洞扫描 漏洞扫描支持系统扫描、应用扫描等多种扫描类型,并为扫描出的漏洞提供修复建议。同时支持漏洞扫描报告下载。 资产发现 基于客户提供的IP网段,主动发现网段内的联网资产。经客户确认后,支持资产一键录入,提高资产梳理效率。 漏洞管理 以漏洞视角呈现每个漏洞的详细信息和关联资产。 详细信息包括漏洞名称、漏洞编号、漏洞优先级评级VPR和修复建议等。 漏洞优先级评级VPR(Vulnerability Priority Rating)用来表示漏洞修复优先级,是漏洞扫描服务基于漏洞利用代码成熟度、漏洞公布时长、产品的覆盖率、CVSS评分等多维度数据,通过机器学习算法计算的漏洞风险评分。分数越高,说明越需要优先修复。 关联资产能够帮助客户快速定位到风险资产,使漏洞修复更有针对性。 边界漏洞免疫(自动消减处置措施) 一般情况下,漏洞是通过在资产上安装补丁进行修复。当客户的实际环境无法满足安装补丁的条件,又希望降低被攻击风险时,可以利用天关/防火墙的入侵防御(IPS)能力,设置漏洞关联的IPS签名动作为“阻断”,通过在边界拦截异常流量,缓解漏洞被利用的风险。漏洞关联的IPS签名ID会被查询出来,显示在漏洞详情的界面中。 天关/防火墙侧的IPS签名动作一般有“告警”和“阻断”两种。 如果签名动作为“阻断”,则表示天关/防火墙会阻断异常流量。漏洞被利用的风险低。 如果签名动作为“告警”,则表示天关/防火墙只产生告警,不会阻断异常流量。漏洞可能会被利用。 天关/防火墙侧的IPS签名动作是根据长期运营数据统计结果进行设置的,请不要随意修改。如果一定要修改,请在右上角的帐号下,单击“我的工单”,提交工单寻求解决方法。 说明: 使用本功能时,天关/防火墙需要联网,且可以自动升级特征库,以便保持特征库为最新版本。
  • 云日志审计服务 表3 云日志审计服务功能描述 功能 描述 日志采集/存储 支持接收不同类型资产(如服务器/终端、网络设备、安全设备、业务系统等)所产生的日志,将日志留存在云端,实现日志的集中管理和存储。 支持解析多种格式及多种来源的日志,将其标准化。 支持日志审计留存在云端,支持180天的日志留存时长。 日志查询 支持用户按需实时查询日志信息,查询条件包含时间、日志级别、日志类型、资产名称、源/目的IP地址和端口等。 支持多关键字组合精确查询日志。 审计资产管理 支持增加多种类型的资产,如服务器、终端设备、网络设备、安全设备等,并对资产的等级进行标识,为客户判断是否需要进行日志审计提供参考信息。 支持灵活管理需要审计的资产。 日志审计统计 数据可视化 支持查看当前所有日志数量以及各日志级别的日志数量。 支持按时间段查看日志容量使用趋势和日志数量趋势,如近7天、近一个月。 支持查看当前审计的资产数量及类型。 支持查看每天上报日志最多的TOP10资产。
  • 智能终端安全服务 表4 智能终端安全服务功能描述 功能 描述 终端识别与管理 终端自动识别:提供自动化终端资产清点能力,安装HiSec Endpoint Agent后,该终端即被自动识别。 资产信息管理:自动化统一管理主机列表、进程、端口、组件等终端资产信息。 终端安全管理:智能分析终端安全,呈现终端资产安全分析评分和风险总览。 威胁检测 与处置 入侵检测:基于行为检测引擎,提供终端行为检测能力,检测暴力破解、异常登录、权限提升等恶意行为。 事件聚合:将离散的勒索类告警事件,基于进程调用链聚合成相应的勒索事件,且支持对其一键处置。 病毒查杀与处置 病毒查杀:基于华为第三代反病毒引擎,每日更新病毒特征库,实时更新紧急病毒,提供高质量病毒文件检测能力。 威胁分析:支持对检出的病毒文件进行威胁分析,展示详细的威胁信息,如病毒标识、风险值、置信度等。 主动防御 诱饵捕获:基于勒索病毒特征放置诱饵文件,实时检测并及时上报异常行为。 文件防篡改:对重点文件进行访问权限控制并实时检测,及时发现篡改行为。 实时防护:实时扫描全盘目录,及时识别病毒文件并阻断其传送行为。 溯源分析 取证分析:采集和存储终端信息,并通过数据挖掘、关联分析等方法,对威胁事件进行取证分析。 攻击可视化:通过HiSec Endpoint Agent数字化建模、溯源推理算法,实现攻击可视化,精准还原威胁攻击链路。
  • 边界防护与响应服务 表1 边界防护与响应服务功能描述 功能 描述 自动化分析 云端基于分析模型对安全日志进行分析判定,并根据判定结果执行不同的处置。租户可依靠云端的自动化分析能力提升防护响应速度。 自动化分析以后,可以有如下几种处置方式: 事件命中误报模型,则此事件状态变更为误报。 事件命中告警自动确认模型、威胁分析等模型,则自动化分析将请求安全响应执行相应的处置。 在自动化分析的基础上,安全专家进一步分析处置事件。 安全响应 提供安全事件的响应闭环能力,主要包括下发黑名单、发送告警两种安全响应动作,租户可利用云端的安全响应能力有效提高安全事件的闭环效率。 针对以下场景提供下发黑名单、发送告警两种安全响应动作: 自动化分析判定后可以自动处置的事件,自动化分析将请求安全响应下发黑名单或发送告警。 自动化分析判定后需要安全专家处置的事件,安全专家分析后可通过Portal页面的事件管理菜单人工下发黑名单或发送告警。 租户在租户门户中下发黑名单。 云端专家精准分析 云端专家整合安全能力,快速准确识别复杂威胁: 现网对抗经验固化到云端,不断增强云端安全能力。 最新漏洞分析、云端智能签名生产,快速应对新型威胁。 专家针对发现的每一条安全告警进行统一分析,运用云端各种安全能力,解决最新“疑难杂症”。 资产暴露面风险监测 采用流量实时分析技术与云端探测相结合的方式,对暴露面进行精确识别和活跃度持续跟踪,快速感知暴露面风险,做到一目了然且有据可查。 极致体验 定期安全报告:定期自动生成周报、月报,并通过邮件发送至用户邮箱。 事件紧急通知:通过短信、邮件两种方式通知用户。 安全态势大屏:提供全局的攻击防御大屏展示。
  • 方案简介 华为乾坤安全办公园区解决方案融合了云管理网络和智能终端安全服务,聚焦园区办公场景,为企业提供实时感知终端安全态势、动态调整网络准入策略的能力,持续保障办公安全。如图所示,安全办公园区解决方案由部署在云端的网络云准入服务和部署在电脑、服务器等企业终端上的HiSec Endpoint Agent软件组成。各个组件的功能介绍如表1所示。 图1 华为乾坤安全办公园区解决方案架构图 表1 组件功能介绍 部署位置 组件名称 功能介绍↵ 云端 云管理网络 针对接入企业网络的内部员工和访客的终端使用合适的方式进行合法性校验,并针对用户身份给予相应的网络权限规划。华为乾坤云准入服务提供了802.1X、Portal、MAC等多种认证方式,可按需对接入用户进行策略管控。 联动智能终端安全服务,已安装HiSec Endpoint Agent的终端资产评分如小于云准入服务中定义的分数,则拒绝该终端接入企业网络。 智能终端安全服务 针对企业本地终端进行风险检测和处置,防止终端感染和威胁在内网传播。此外,根据病毒等级对资产风险持续进行评分。 终端 HiSec Endpoint Agent 主要负责收集并向智能终端安全服务上报终端上的用户登录、进程运行/创建、目录/文件访问日志、DNS请求信息,执行预置的主动防御策略和云端下发的防御策略。 父主题: 方案概述
  • 方案简介 在深入分析勒索软件特点和防勒索建设困境后,华为乾坤推出了防勒索解决方案。华为乾坤防勒索解决方案采用云边端一体的创新架构,构建了以资产为核心的纵深防御体系,针对勒索软件攻击链特征,实现对勒索事件的层层防护,全方位保障企业网络安全。 图1 华为乾坤防勒索解决方案架构图 如图1所示,华为乾坤防勒索解决方案由部署在云端的服务、部署在客户网络边界的天关/防火墙和部署在电脑、服务器等企业终端上的HiSec Endpoint Agent软件组成。同时它根据用户诉求提供可选的安全托管服务和保险理赔服务。各个组件的功能介绍如表1所示。 表1 组件功能介绍 部署位置 组件名称 功能介绍 云端 边界防护与响应服务 使用天关/防火墙为租户的本地网络提供边界防护,并基于天关/防火墙提供的日志进行智能分析和处置,持续保护企业内网安全。云端通过集成告警自动确认、威胁分析等检测模型,智能识别租户本地网络的潜在威胁并完成自动化处置,从而帮助租户简化本地运维,提升安全防护实效。 智能终端安全服务 针对企业本地终端进行风险检测和处置,防止终端感染和威胁在内网传播。支持文件本地备份恢复,在恶意进程修改用户文件前将文件备份至本地存储区,在文件被加密后由云端下发文件恢复指令至终端,一键恢复被加密文件。 漏洞扫描服务(可选) 从风险预防角度出发,检测企业资产安全状况,高效精准地识别潜在漏洞,为客户提供专业的修复建议,帮助客户降低资产安全风险。 边界 天关/防火墙↵ 作为安全防御节点,既对进出流量进行反病毒、IPS等深度安全检测,为租户本地网络提供边界防护,同时向边界防护与响应服务提供日志,并执行边其下发的防护策略。 终端 HiSec Endpoint Agent 主要负责收集并向智能终端安全服务上报终端上的租户登录、进程运行/创建、目录/文件访问日志、DNS请求信息,执行预置的主动防御策略和云端下发的防御策略与文件恢复指令。 父主题: 方案概述
  • 关键特性 表1 关键特性 特性类型 特性名称 简介 边界防护与响应服务 本地网络边界防护 天关/防火墙部署在租户网络边界,通过入侵防御、反病毒、DNS过滤等技术守护本地安全,可以执行以下防护动作: 对流量进行入侵防御检测,全方位防御各种威胁行为。 对流量进行反病毒处理,有效避免病毒文件引起的数据破坏、权限更改和系统崩溃等情况的发生。 对流量进行DNS过滤,全面控制 域名 访问。 租户数据安全处理 数据授权:在用户授权前提下,本地天关/防火墙仅提供用户授权范围内的数据。 加密传输:本地天关/防火墙采用HTTPS或TLS协议将日志提供到云服务平台。 加密保存:使用华为公司密钥管理中心(KMC)加密组件对数据进行加密,加密后存储在云端。 处理原则:仅供云服务平台运营专家进行威胁分析和溯源。 信息隔离:每个客户都有自己的服务账号,基于账号接收分析报表和短信,不同客户间信息隔离。 自动化分析 云端基于分析模型对威胁事件进行分析判定,并根据判定结果执行不同的处置。租户可依靠云端的自动化分析能力和安全专家简化本地运维,提升防护实效。 自动化分析以后,可以有如下几种处置方式: 事件命中误报模型,则此事件状态变更为误报。 事件命中告警自动确认模型、威胁分析等模型,则自动化分析将请求安全响应执行相应的处置。 在自动化分析的基础上,安全专家进一步分析处置事件。 安全响应 提供安全事件的响应闭环能力,主要包括下发黑名单、发送告警两种安全响应动作,租户可利用云端的安全响应能力有效提高安全事件的闭环效率。 针对以下场景提供下发黑名单、发送告警两种安全响应动作: 自动化分析判定后可以自动处置的事件,自动化分析将请求安全响应下发黑名单或发送告警。 自动化分析判定后需要安全专家处置的事件,安全专家分析后可通过Portal页面的事件管理菜单人工下发黑名单或发送告警。 租户在租户门户中下发黑名单。 云端专家精准分析 云端专家整合安全能力,快速准确识别复杂威胁: 现网对抗经验固化到云端,不断增强云端安全能力。 最新漏洞分析、云端智能签名生产,快速应对新型威胁。 专家针对发现的每一条安全告警进行统一分析,运用云端各种安全能力,解决最新“疑难杂症”。 智能终端安全服务 终端识别与管理 终端自动识别:提供自动化终端资产清点能力,安装HiSec Endpoint Agent后,该终端即被自动识别。 资产信息管理:自动化统一管理主机列表、进程、端口、组件等终端资产信息。 终端安全管理:智能分析终端安全,呈现终端资产安全分析评分和风险总览。 威胁检测与处置 入侵检测:基于行为检测引擎,提供终端行为检测能力,检测暴力破解、异常登录、权限提升等恶意行为。 事件聚合:将离散的勒索类告警事件,基于进程调用链聚合成相应的勒索事件,且支持对其一键处置。 病毒查杀与处置 病毒查杀:基于华为第三代反病毒引擎,每日更新病毒特征库,实时更新紧急病毒,提供高质量病毒文件检测能力。 威胁分析:支持对检出的病毒文件进行威胁分析,展示详细的威胁信息,如病毒标识、风险值、置信度等。 主动防御 诱饵捕获:基于勒索病毒特征放置诱饵文件,实时检测并及时上报异常行为。 文件防篡改:对重点文件进行访问权限控制并实时检测,及时发现篡改行为。 实时防护:实时扫描全盘目录,及时识别病毒文件并阻断其传送行为。 溯源分析 取证分析:采集和存储终端信息,并通过数据挖掘、关联分析等方法,对威胁事件进行取证分析。 攻击可视化:通过EDR(Endpoint Detection and Response,端点侦测与回归)数字化建模、溯源推理算法,实现攻击可视化,精准还原威胁攻击链路。 漏洞扫描服务(可选) 资产发现 基于客户提供的IP网段,主动发现网段内的联网资产。经客户确认后,支持资产一键录入,提高资产梳理效率。 目前仅适用于A类/B类/C类私有IP地址网段和资产IP白名单范围内的资产发现。 漏洞扫描 漏洞扫描支持系统扫描、应用扫描等多种扫描类型,并为扫描出的漏洞提供修复建议。同时支持漏洞扫描报告下载。 漏洞管理 以漏洞视角呈现每个漏洞的详细信息和关联资产。 详细信息包括漏洞名称、漏洞编号、漏洞优先级评级VPR和修复建议等。 漏洞优先级评级VPR(Vulnerability Priority Rating)用来表示漏洞修复优先级,是漏洞扫描服务基于漏洞利用代码成熟度、漏洞公布时长、产品的覆盖率、CVSS评分等多维度数据,通过机器学习算法计算的漏洞风险评分。分数越高,说明越需要优先修复。 关联资产能够帮助客户快速定位到风险资产,使漏洞修复更有针对性。 边界漏洞免疫(自动消减处置措施) 一般情况下,漏洞是通过在资产上安装补丁进行修复。当客户的实际环境无法满足安装补丁的条件,又希望降低被攻击风险时,可以利用天关/防火墙的入侵防御(IPS)能力,设置漏洞关联的IPS签名动作为“阻断”,通过在边界拦截异常流量,缓解漏洞被利用的风险。漏洞关联的IPS签名ID会被查询出来,显示在漏洞详情的界面中。 天关/防火墙侧的IPS签名动作一般有“告警”和“阻断”两种。 如果签名动作为“阻断”,则表示天关/防火墙会阻断异常流量。漏洞被利用的风险低。 如果签名动作为“告警”,则表示天关/防火墙只产生告警,不会阻断异常流量。漏洞可能会被利用,建议您联系华为乾坤运营人员(如:提交“工单”),重新设置签名动作。 父主题: 方案概述
  • 边界防护与响应服务 表2 边界防护与响应服务功能描述 功能 描述 自动化分析 云端基于分析模型对安全日志进行分析判定,并根据判定结果执行不同的处置。租户可依靠云端的自动化分析能力提升防护响应速度。 自动化分析以后,可以有如下几种处置方式: 事件命中误报模型,则此事件状态变更为误报。 事件命中告警自动确认模型、威胁分析等模型,则自动化分析将请求安全响应执行相应的处置。 在自动化分析的基础上,安全专家进一步分析处置事件。 安全响应 提供安全事件的响应闭环能力,主要包括下发黑名单、发送告警两种安全响应动作,租户可利用云端的安全响应能力有效提高安全事件的闭环效率。 针对以下场景提供下发黑名单、发送告警两种安全响应动作: 自动化分析判定后可以自动处置的事件,自动化分析将请求安全响应下发黑名单或发送告警。 自动化分析判定后需要安全专家处置的事件,安全专家分析后可通过Portal页面的事件管理菜单人工下发黑名单或发送告警。 租户在租户门户中下发黑名单。 云端专家精准分析 云端专家整合安全能力,快速准确识别复杂威胁: 现网对抗经验固化到云端,不断增强云端安全能力。 最新漏洞分析、云端智能签名生产,快速应对新型威胁。 专家针对发现的每一条安全告警进行统一分析,运用云端各种安全能力,解决最新“疑难杂症”。 资产暴露面风险监测 采用流量实时分析技术与云端探测相结合的方式,对暴露面进行精确识别和活跃度持续跟踪,快速感知暴露面风险,做到一目了然且有据可查。 极致体验 定期安全报告:定期自动生成周报、月报,并通过邮件发送至用户邮箱。 事件紧急通知:通过短信、邮件两种方式通知用户。 安全态势大屏:提供全局的攻击防御大屏展示。
  • 漏洞扫描服务 表3 漏洞扫描服务功能描述 功能 描述 漏洞扫描 漏洞扫描支持系统扫描、应用扫描等多种扫描类型,并为扫描出的漏洞提供修复建议。同时支持漏洞扫描报告下载。 资产发现 基于客户提供的IP网段,主动发现网段内的联网资产。经客户确认后,支持资产一键录入,提高资产梳理效率。 漏洞管理 以漏洞视角呈现每个漏洞的详细信息和关联资产。 详细信息包括漏洞名称、漏洞编号、漏洞优先级评级VPR和修复建议等。 漏洞优先级评级VPR(Vulnerability Priority Rating)用来表示漏洞修复优先级,是漏洞扫描服务基于漏洞利用代码成熟度、漏洞公布时长、产品的覆盖率、CVSS评分等多维度数据,通过机器学习算法计算的漏洞风险评分。分数越高,说明越需要优先修复。 关联资产能够帮助客户快速定位到风险资产,使漏洞修复更有针对性。 边界漏洞免疫(自动消减处置措施) 一般情况下,漏洞是通过在资产上安装补丁进行修复。当客户的实际环境无法满足安装补丁的条件,又希望降低被攻击风险时,可以利用天关/防火墙的入侵防御(IPS)能力,设置漏洞关联的IPS签名动作为“阻断”,通过在边界拦截异常流量,缓解漏洞被利用的风险。漏洞关联的IPS签名ID会被查询出来,显示在漏洞详情的界面中。 天关/防火墙侧的IPS签名动作一般有“告警”和“阻断”两种。 如果签名动作为“阻断”,则表示天关/防火墙会阻断异常流量。漏洞被利用的风险低。 如果签名动作为“告警”,则表示天关/防火墙只产生告警,不会阻断异常流量。漏洞可能会被利用。 天关/防火墙侧的IPS签名动作是根据长期运营数据统计结果进行设置的,请不要随意修改。如果一定要修改,请在右上角的帐号下,单击“我的工单”,提交工单寻求解决方法。 说明: 使用本功能时,天关/防火墙需要联网,且可以自动升级特征库,以便保持特征库为最新版本。
  • 智能终端安全服务 表5 智能终端安全服务功能描述 功能 描述 终端识别与管理 终端自动识别:提供自动化终端资产清点能力,安装HiSec Endpoint Agent后,该终端即被自动识别。 资产信息管理:自动化统一管理主机列表、进程、端口、组件等终端资产信息。 终端安全管理:智能分析终端安全,呈现终端资产安全分析评分和风险总览。 威胁检测与处置 入侵检测:基于行为检测引擎,提供终端行为检测能力,检测暴力破解、异常登录、权限提升等恶意行为。 事件聚合:将离散的勒索类告警事件,基于进程调用链聚合成相应的勒索事件,且支持对其一键处置。 病毒查杀与处置 病毒查杀:基于华为第三代反病毒引擎,每日更新病毒特征库,实时更新紧急病毒,提供高质量病毒文件检测能力。 威胁分析:支持对检出的病毒文件进行威胁分析,展示详细的威胁信息,如病毒标识、风险值、置信度等。 主动防御 诱饵捕获:基于勒索病毒特征放置诱饵文件,实时检测并及时上报异常行为。 文件防篡改:对重点文件进行访问权限控制并实时检测,及时发现篡改行为。 实时防护:实时扫描全盘目录,及时识别病毒文件并阻断其传送行为。 溯源分析 取证分析:采集和存储终端信息,并通过数据挖掘、关联分析等方法,对威胁事件进行取证分析。 攻击可视化:通过HiSec Endpoint Agent数字化建模、溯源推理算法,实现攻击可视化,精准还原威胁攻击链路。
  • 重保威胁信息 表4 重保威胁信息功能描述 功能 描述 威胁信息中心 支持全球恶意IP、恶意域名、恶意文件、漏洞信息等威胁信息的快速检索,数据详情包括但不限于威胁类型、风险级别、置信度、场景信息、地理位置、关联历史事件、关联恶意信息、相关文章等信息。 安全研究 定期发布威胁周报、威胁预警、热点威胁信息等文章,帮助客户了解近期关键安全事件。 高性能信息查询接口 提供高性能的全球恶意IP、恶意域名、恶意文件、漏洞信息、URL分类等威胁信息的查询接口,辅助自动化分析人员进行分析取证及处置,提升运维效率。
  • 方案简介 华为乾坤面向等保2.0推出的等保合规解决方案采用云边一体创新架构,打造简单高效、安全可靠的云化安全解决方案。如图1所示,等保合规解决方案由部署在华为公有云上的云服务和部署在客户网络边界的天关/防火墙构成。 图1 产品架构图 表1 主要服务/模块介绍 部署位置 设备/模块名称 功能介绍 云端 边界防护与响应服务 边界防护与响应服务包括智能分析和处置、安全专家服务两大核心能力,其采用智能大数据分析技术对安全日志进行智能分析和处置,同时安全专家深入分析威胁并结合自身经验准确识别复杂威胁并快速响应。 漏洞扫描服务 漏洞扫描服务是一种针对客户内部资产提供的在线漏洞检测服务。该服务从风险管理角度出发,基于AI算法,结合资产的漏洞扫描结果、资产面临的威胁事件、威胁信息等,整体评估出风险值,帮助客户全面了解资产存在的风险。 云日志审计服务 云日志审计服务是一站式日志数据云端统一管理平台,主要致力于提供事后溯源取证的安全能力。通过对日志数据的全面解析、管理,对各种安全威胁和异常行为事件进行溯源取证,为管理人员提供全局的视角,确保客户业务的不间断运营安全。 智能终端安全服务 智能终端安全服务是针对企业本地终端进行风险检测和处置,防止终端感染和威胁在内网传播的一种服务。它采用云、端协同架构,由云端和安装在终端侧的HiSec Endpoint Agent软件组成。 企业边界 天关/防火墙 天关/防火墙与云端协同工作,其功能如下: 作为安全防御节点,既对进出流量进行反病毒、IPS等深度安全检测,为租户本地网络提供边界防护,同时向边界防护与响应服务提供日志,并执行边界防护与响应服务下发的防护策略。 作为漏洞扫描服务与企业内部网络的通信桥梁。在执行漏洞扫描任务前,云端会在云端服务和天关/防火墙之间建立VPN隧道,以便云端服务能扫描到企业内部资产。 作为云日志审计服务与企业内部网络的通信桥梁,用户资产的日志数据通过其上传到云端。 父主题: 方案概述
  • 快速配置 设备上线后,您还需要在云端进行相关配置,才能正常使用安全重保解决方案。可以参考如下文档完成快速配置。 表1 参考文档 子服务 手册名称 参照内容 文档获取 边界防护与响应服务 部署指南 配置设备安全域 配置全局白名单 黑白名单授权 订阅告警与报告 查看威胁事件 部署指南 漏洞扫描服务 部署指南 配置VPN接口 录入资产 授权服务扫描 创建漏洞扫描任务 查看扫描结果 部署指南 智能终端安全服务 部署指南 服务授权 样本获取授权 安装HiSec Endpoint Agent 查看终端资产 部署指南 重保威胁信息 不需要在云端进行配置。 父主题: 部署指南
  • 应用场景 某单位为了在重保期间做好安全保障工作,需要提前评估当前网络面临的安全风险,但资产对外暴露面过大,当前的排查方法效率低,且难以快速定位到最终对外开放的主机与业务,不能有效收敛攻击面。单位的网络覆盖面大,无法全面检查漏洞并精准修复。在保障期间总是依靠人员驻场对安全事件进行分析、验证、处置,导致威胁检测不全面,攻击响应不及时,对终端的威胁行为也无法快速判定。 采用如图1所示的安全重保解决方案即可解决上述问题。 图1 应用场景 采用华为乾坤的安全重保解决方案可以实现: 边界防护与响应服务采用流量实时分析技术与云端探测相结合的方式,对暴露面进行精确识别和活跃度持续跟踪,做到暴露面一目了然且有据可查。 边界防护与响应服务对天关提供的安全日志,基于大数据、重保威胁信息等进行智能分析,精准识别威胁,并根据分析结果协同天关进行自动化处置。同时云端安全专家7*24小时在线服务,解决复杂网络安全问题。帮助用户全面检测威胁并快速响应,实现常态化安全保障。 漏洞扫描服务基于华为威胁信息库和机器学习智能评估技术,计算漏洞风险评分。漏洞评分越高,风险越高,用户可以根据评分精准修复。 智能终端安全服务可以对终端上的文件和目录进行毫秒级检测,快速判定威胁。 父主题: 方案概述
  • 部署准入认证 安全办公园区场景下,主要包括三种方式的认证技术:802.1X认证、Portal认证和MAC认证。由于这三种方式的认证原理不同,各自适合的场景也有所差异,实际应用中,可以根据场景部署选一种合适的认证方式,也可以部署几种认证方式组成的混合认证。同时,华为乾坤云管理网络支持联动智能终端安全服务,实现终端风险动态感知,网络零信任准入。准入认证的部署步骤请参见表2。 表2 准入认证的部署步骤 步骤 步骤描述 子服务 文档参考 1 基于不同的场景与需求,选用合适的准入认证方式。 云管理网络 云管理网络的《网络部署》中“准入认证”的如下几个章节。 准入认证介绍 用户准入认证配置指南 2 联动智能终端安全服务,实现终端风险动态感知,网络零信任准入。 云管理网络 云管理网络的《网络部署》中“准入认证”的联动EDR感知终端安全态势章节。
  • 客户价值 华为乾坤安全分支解决方案是专为企业客户打造的网安融合方案,不仅帮助企业业务快速上线,还提供丰富的故障诊断和巡检工具,同时提供主动防御能力,切实提升分支安全防护实效。 分支按需互联,全网统一管控 为用户提供基本的广域互联能力,支持总部、分支、公有云业务灵活连接、轻松互访。 提供分支/园区网络统一管理和监控能力,设备状态可视可管,Wi-Fi、局域网和广域网间支持设置统一的安全策略。 极简部署,智能运维 设备支持多种即插即用方式开局,适应不同的网络场景,网络策略一键下发,大幅降低网络部署难度,缩短业务上线周期。 出口网关和智能防火墙ALL-in-One,实现网安融合,并提供“小行星”组网,网络架构三层变两层,简化用户组网,减少运维复杂度。 用户接入过程全旅程可视,故障可实时回溯,接入问题分钟级定位,多维度评估Wi-Fi网络质量,主动优化网络和用户漫游体验。 零信任准入控制 提供多种准入认证方式,可灵活进行认证策略和授权策略配置,对准入权限进行精细化控制,保障网络接入安全。 终端智能识别和检测,避免仿冒或私接终端,联合安全态势,可以对失陷终端快速隔离。 分支安全实时防护 分支网络边界部署安全设备(防火墙),提供入侵防御、反病毒能力,云端自动威胁处置,一处检出全局免疫。 分支终端部署HiSec Endpoint Agent软件,快速封禁中毒终端,阻断横移,减少损失。 关键应用保障 基于首包识别和业务感知技术能快速识别应用,支持通过自定义应用规则识别特殊应用。 基于TCP FPM(TCP Flow Performance Measurement,TCP流性能测量)、IP FPM(IP Flow Performance Measurement,IP流性能测量)等技术进行应用质量和链路质量检测,基于应用质量、带宽利用率、应用优先级等进行智能选路,保障关键应用业务体验。 支持双发选收、智能A-FEC,可以保障实时视频不卡顿,提供极致的用户体验。 父主题: 方案概述
  • 关键特性 表1 华为乾坤安全办公园区解决方案关键特性 特性类型 特性名称 简介 云管理网络 站点管理 支持按站点管理网络,可以查看网络拓扑、调整拓扑结构、配置站点业务。 设备管理 支持纳管网络设备(交换机、AP、AR、WAC)、安全设备(防火墙)。 准入认证 提供了802.1X、Portal、MAC等多种认证方式,可按需对接入用户进行策略管控。 IPsec VPN 提供一种静态VPN,通过在站点之间建立IPsec隧道来创建VPN通道,实现分支与分支、分支与总部、分支与云之间的业务互访。 网络环境监控 支持网络健康度评估、网络问题分析、无线智能去噪。 用户体验保障 支持用户旅程回放、协议回放、用户问题分析。 应用分析 支持全网应用数据监控,保障网络应用畅通无阻。 智能调优 支持智能无线射频调优、智能无线漫游。 智能终端安全服务 终端识别与管理 终端自动识别:提供自动化终端资产清点能力,安装HiSec Endpoint Agent后,该终端即被自动识别。 资产信息管理:自动化统一管理主机列表、进程、端口、组件等终端资产信息。 终端安全管理:智能分析终端安全,呈现终端资产安全分析评分和风险总览。 威胁检测与处置 入侵检测:基于行为检测引擎,提供终端行为检测能力,检测暴力破解、异常登录、权限提升等恶意行为。 事件聚合:将离散的勒索类告警事件,基于进程调用链聚合成相应的勒索事件,且支持对其一键处置。 病毒查杀与处置 病毒查杀:基于华为第三代反病毒引擎,每日更新病毒特征库,实时更新紧急病毒,提供高质量病毒文件检测能力。 威胁分析:支持对检出的病毒文件进行威胁分析,展示详细的威胁信息,如病毒标识、风险值、置信度等。 主动防御 诱饵捕获:基于勒索病毒特征放置诱饵文件,实时检测并及时上报异常行为。 文件防篡改:对重点文件进行访问权限控制并实时检测,及时发现篡改行为。 实时防护:实时扫描全盘目录,及时识别病毒文件并阻断其传送行为。 溯源分析 取证分析:采集和存储终端信息,并通过数据挖掘、关联分析等方法,对威胁事件进行取证分析。 攻击可视化:通过EDR(Endpoint Detection and Response,端点侦测与回归)数字化建模、溯源推理算法,实现攻击可视化,精准还原威胁攻击链路。 父主题: 方案概述
  • 创建告警行动规则 登录云日志服务控制台。 在左侧导航栏中选择“日志告警”。 单击“告警行动规则”页签。 在告警行动规则页签,单击“创建”。设置行动规则名称、行动规则配置等信息。 图1 创建告警行动规则 表1 告警行动规则参数说明 参数名称 说明 行动规则名称 只能由数字、字母、中文、下划线、中划线组成,且不能以下划线、中划线开头结尾,长度为1到64个字符。 企业项目 选择已创建的企业项目。 如果当前账号未开通企业项目则不显示该参数。 描述 自定义行动规则的描述,字符长度0-1024个字符。 主题 SMN 主题,请从下拉列表中选择。 若没有合适的主题,请单击主题选择栏下方“创建主题”,在SMN界面创建。 消息模板 通知消息的模板,请从下拉列表中选择。 若没有合适的消息模板,请单击消息模板选择栏右侧“创建消息模板”,新建消息模板,操作详见创建消息模板。 设置完成后,单击“确定”。
  • 更多操作 告警行动规则创建完成后,您还可以执行表2中的相关操作。 表2 相关操作 操作 说明 修改告警行动规则 单击“操作”列的“修改”。 导出告警行动规则 选中单个或多个告警行动规则,单击“导出”,若没有选中告警行动规则,则导出全部告警行动规则。 删除告警行动规则 删除单条规则:单击对应规则“操作”列的“删除”,随后在提示页面单击“确定”即可删除。 删除单条或多条规则:勾选对应规则前的复选框,单击“批量删除”,随后在提示页面单击“确定”即可删除。 说明: 删除告警行动规则前需要先删除该行动规则绑定的告警规则。 搜索告警行动规则 在右上角的搜索框中输入规则名称关键字,单击后显示匹配对象。
  • 创建快速分析 快速分析以日志流为单位,请参考如下步骤创建快速分析。 登录云日志服务控制台,进入“日志管理”页面。 单击目标日志组或日志流名称,进入日志详情页面。 支持两种方式创建快速分析: 单击进入设置详情页面,在索引配置页签的字段索引下方,添加字段时开启快速分析。 在云端结构化解析页签,开启自动配置索引和快速分析,默认是开启状态。开启后将使用结构化字段配置字段索引并打开快速分析。 在“日志搜索”页签,单击“创建快速分析”,跳转到索引配置页面添加需要快速分析的字段。 单击“确定”,快速分析创建完成。 表示String类型字段。 表示float类型字段。 表示long类型字段。 快速分析的字段长度最大为2000字节。 快速分析字段展示前100条数据。 支持显示当前字段的采样数量。 单击即可查看一键生成的图表展示,string类型的字段支持展示字段分布值统计和智能聚合时间折线图,long和float数值类型的字段只支持展示智能聚合时间折线图。单击图表即可进入详情页面。 单击字段分布值统计或智能聚合时间折线图,会自动跳转到可视化界面并生成对应的SQL查询语句进行查询,更加直观地展示字段值的分布和变化趋势。更多信息请参见可视化。
  • 查看上下文 您可以通过本操作查看指定日志生成时间点前后的日志,用于在运维过程中快速定位问题。 在日志详情页面的“日志搜索”页签,单击可以查看上下文。 在查看上下文结果中,可以查看该日志的前后若干条日志详细信息。 在弹出的查看上下文页面中,请参考表1。 表1 查看上下文日志功能介绍 功能 说明 查询行数 根据需要选择查询日志的行数。 高亮显示 输入需要高亮的字符串,回车确认,在日志内容中高亮显示。 过滤日志 输入需要过滤的字符串,回车确认,在日志内容中高亮显示。当高亮显示和过滤日志同时设置时,均可高亮显示。 显示字段 查看上下文,默认字段为content,单击“显示字段”选择查看其他字段的上下文。 更早 从当前位置往前查看设置查询行数的二分之一。例如:当查询行数设置为100时,单击“更早”则从当前位置朝前显示50行,此时行号为-50;再次单击“更早”,依次叠加分别为-100、-150、-200...... 当前位置 当前日志位置。当设置了更早或更新时,单击“当前位置”可回到查看上下文开始的位置,即行数为0时。 更新 从当前位置往后查看设置查询行数的二分之一。例如:当查询行数设置为100时,单击“更新”则从当前位置朝后显示50行,此时行号为50;再次单击“更新”,依次叠加分别为100、150、200...... 简洁模式 打开“简洁模式”,只显示行号和content内容。 关闭“简洁模式”,显示日志详情。 下载 目前仅支持下载content字段内容到本地查看。
  • 保存LTS快速查询日志条件 登录云日志服务控制台,进入“日志管理”页面。 单击目标日志组或日志流名称,进入日志详情页面。 在“日志搜索”页签,单击,输入“快速查询名称”和“快速查询语句”。默认开启快速查询和快速查询(保存本地)。 图1 创建快速查询 快速查询名称,用于区分多个快速查询语句。名称自定义,需要满足如下要求: 只支持输入英文、数字、中文、中划线、下划线及小数点。 不能以小数点、下划线开头或以小数点结尾。 长度为1-64个字符。 快速查询语句,搜索日志时需要重复使用的关键字,例如“error*”。 单击“确定”,完成快速查询条件的创建。在左侧导航栏的快速查询页签,即可查看到保存成功的语句。 单击快速查询语句的名称,查看日志详情。
  • 我的收藏/我的收藏(本地缓存) 我的收藏展示您收藏的日志流,有两种收藏方式:我的收藏和我的收藏(本地缓存)。 我的收藏:将日志流保存至数据库中,默认为关闭状态。当您的账号开通写权限时,可显示该功能和我的收藏(本地缓存)。 我的收藏(本地缓存):将日志流保存至浏览器本地缓存,默认为关闭状态。可写用户和只读用户支持显示我的收藏(本地缓存)。 当您的账号开通写权限时,我的收藏/我的收藏(本地缓存)至少有一个是开启状态,否则无法收藏日志流。 您可以通过云日志服务提供的收藏功能个性化定制属于自己的收藏日志流列表,方便您直接、快速的定位到常用的日志流。 以日志组lts-test为例,收藏日志组lts-test下某个日志流的操作步骤如下: 在日志管理页面的日志组列表下方,单击日志组lts-test对应的,选择待收藏的日志流。 单击日志流操作列的图标,编辑收藏,选择收藏方式,单击“确定”,即可收藏日志流。 取消已收藏的日志流,推荐如下两种方式: 在日志流列表中,单击待取消收藏的日志流对应的,即可取消收藏。 在我的收藏中,鼠标悬浮待取消收藏的日志流,单击,即可取消收藏。 收藏成功后,在右侧我的收藏/我的收藏(本地缓存)展示框中,即可展示您收藏的日志流信息。
  • 查看LTS实时日志 如果您正在使用实时查看功能,请停留在实时查看页面,请勿切换页面。如果离开实时查看页面,实时查看功能将会停止,重新开启后上一次查看的实时日志将不会显示。 登录云日志服务控制台,进入“日志管理”页面。 单击目标日志组或日志流名称,进入日志详情页面。 选择“实时日志”页签,可查看实时日志。 通过来源类型分别筛选主机和K8S的日志。 来源类型选择主机时, 设置主机IP和文件路径。 来源类型选择K8S时,设置实例名称、容器名称和文件路径。 日志每隔大约1分钟上报一次,在日志消息区域,您最多需要等待1分钟左右,即可查看实时上报的日志。 同时,还可以通过页面右上方的“清屏”、“暂停”对日志消息区域进行操作。 字段过滤:从索引配置、结构化配置、最新日志获取。 清屏:清除日志消息区域已经显示出来的日志。 暂停:暂停日志消息的实时显示,页面定格在当前已显示的日志。 暂停后,“暂停”会变成“继续”,再次单击“继续”,日志消息继续实时显示。
  • 开启自定义日志时间 登录云日志服务控制台,进入“日志管理”页面。 单击目标日志组和日志流名称。 在日志流详情页面,单击右上角,在弹出页面中,选择“云端结构化解析”,详细请参考设置日志云端结构化解析。 配置完成后,开启自定义日志时间开关,配置如下参数。 切换自定义日志时间开关时,可能会导致日志搜索界面在切换时间点附近出现时间偏差,请勿频繁切换自定义日志时间开关。 表1 参数配置表 参数 说明 示例 字段key 已提取字段的名称。单击下拉框选择已提取的字段,该字段为string或long类型。 test 字段value 已提取的字段value,选择字段key后,将自动填充。 2022-07-19 12:12:00 时间格式 请参考常见日志时间格式。 yyyy-MM-dd HH:mm:ss 操作 单击“校验”,提示“时间格式和字段value匹配成功”则表示校验成功。 -
共100000条