华为云用户手册

  • timestamp_to_mills函数 将时间戳类型的日期和时间表达式转换为UNIX时间戳。 语法:timestamp_to_mills(expr) 表21 参数说明 参数名称 描述 类型 是否必选 expr 日期和时间表达式,格式为yyyy-MM-dd HH:mm:ss.SSS String类型 是 返回值类型:Long类型 示例:SELECT TIMESTAMP_TO_MILLS('2023-04-12 16:15:22.285') 表22 查询分析结果 类型 场景 查询语句 TIMESTAMP_TO_MILLS('2023-04-12 16:15:22.285') 返回结果 1681287322285
  • to_iso8601函数 将日期类型或时间戳类型的日期时间表达式转换为ISO8601格式的日期时间表达式。 语法:to_iso8601(expr) 表19 参数说明 参数名称 描述 类型 是否必选 expr 日期和时间表达式,格式为yyyy-MM-dd或yyyy-MM-dd HH:mm:ss.SSS String类型 是 返回值类型:String类型 示例:SELECT TO_ISO8601('2023-04-15'), TO_ISO8601('2023-04-15 11:13:35.954') 表20 查询分析结果 类型 场景1 场景2 查询语句 TO_ISO8601('2023-04-15') TO_ISO8601('2023-04-15 11:13:35.954') 返回结果 2023-04-15 2023-04-15T11:13:35.954Z
  • mills_to_timestamp函数 将UNIX时间戳转换为日期和时间表达式。 将UNIX时间戳转化为没有时区的时间戳类型的日期和时间表达式,格式为yyyy-MM-dd HH:mm:ss.SSS。 语法:mills_to_timestamp(expr) 表7 参数说明 参数名称 描述 类型 是否必选 expr UNIX时间戳 Long 是 返回值类型:String类型 示例:SELECT MILLS_TO_TIMESTAMP(1626774758000) 表8 查询分析结果 类型 场景 查询语句 MILLS_TO_TIMESTAMP(1626774758000) 返回结果 2021-07-20 09:52:38.000 将UNIX时间戳转化为带时区的timestamp类型的日期和时间表达式,格式为yyyy-MM-dd HH:mm:ss.SSS TimeZone。 语法:mills_to_timestamp(expr, timezone) 表9 参数说明 参数名称 描述 类型 是否必选 expr UNIX时间戳 Long 是 timezone 时区 String 是 返回值类型:String类型 示例:SELECT MILLS_TO_TIMESTAMP(1626774758000, 'Asia/Shanghai') 表10 查询分析结果 类型 场景 查询语句 MILLS_TO_TIMESTAMP(1626774758000, 'Asia/Shanghai') 返回结果 2021-07-20 17:52:38.000 Asia/Shanghai 将UNIX时间戳expr转换为具有时区的时间戳类型的日期和时间表达式。表达式中,hour和minute表示时区偏移量,格式为yyyy-MM-dd HH:mm:ss.SSS 时区偏移量。 语法:mills_to_timestamp(expr, hour, minutes) 表11 参数说明 参数名称 描述 类型 是否必选 expr UNIX时间戳 Long 是 hour 小时 Integer 是 minute 分钟 Integer 是 返回值类型:String类型 示例:SELECT MILLS_TO_TIMESTAMP(1626774758000, -2, 0) 表12 查询分析结果 类型 场景 查询语句 MILLS_TO_TIMESTAMP(1626774758000, -2, 0) 返回结果 2021-07-20 07:52:38.000-02:00
  • from_iso8601_timestamp函数 将ISO8601格式的日期和时间表达式转化为timestamp类型的日期和时间表达式,格式为YYYY-MM-DD HH:MM:SS.Ms Time_zone。 语法:from_iso8601_timestamp(expr) 表5 参数说明 参数名称 描述 类型 是否必选 expr ISO8601格式的日期和时间表达式 String 是 返回值类型:timestamp类型。 示例:SELECT FROM_ISO8601_TIMESTAMP('2018-05-14T11:51:50.153+08:00') 表6 查询分析结果 类型 场景 查询语句 FROM_ISO8601_TIMESTAMP('2018-05-14T11:51:50.153+08:00') 返回结果 2018-05-14 11:51:50.153 +08:00
  • from_iso8601_date函数 将ISO8601格式的日期表达式转化为date类型的日期表达式,格式为YYYY-MM-DD。 语法:from_iso8601_date(expr) 表3 参数说明 参数名称 描述 类型 是否必选 expr ISO8601格式的日期表达式 String 是 返回值类型:String类型 示例:SELECT FROM_ISO8601_DATE('2018-05-14') 表4 查询分析结果 类型 场景 查询语句 FROM_ISO8601_DATE('2018-05-14') 返回结果 2018-05-14
  • 函数列表 表1 日期和时间函数 函数 描述 current_timestamp函数 返回当前日期和时间,格式为yyyy-MM-dd HH:mm:ss.SSS from_iso8601_date函数 将ISO8601格式的日期表达式expr转换为date类型的日期表达式,格式为yyyy-MM-dd from_iso8601_timestamp函数 将ISO8601格式的日期表达式expr转换为timestamp类型的日期表达式,格式为yyyy-MM-dd HH:mm:ss.SSS mills_to_timestamp函数 将UNIX时间戳转换为日期和时间表达式。 from_unixtime函数 将UNIX时间戳转换为日期和时间表达式。与mills_to_timestamp函数用法一致。 to_iso8601函数 将日期类型或时间戳类型的日期时间表达式转换为ISO8601格式的日期时间表达式。 timestamp_to_mills函数 将时间戳类型的日期和时间表达式转换为UNIX时间戳。 to_unixtime函数 将时间戳类型的日期和时间表达式转换为UNIX时间戳。与timestamp_to_mills函数用法一致。 time_ceil函数 将时间戳舍入,将其作为新的时间戳返回。Period可以是任何ISO8601的周期,如P3M(季度)或PT12H(半天)。指定Origin作为时间戳,以设置舍入的参考时间。例如,TIME_CEIL(time, 'PT1H', '2016-06-27 00:30:00')测量的小时周期从00:30-01:30而不是00:00-01:00。时区(如果提供)应该是时区名称,如“America/Los_Angeles”或偏移量,如“-08:00”。此功能与ceil_to类似,但更灵活。 time_floor函数 向下舍入时间戳,将其作为新的时间戳返回。Period可以是任何ISO8601的周期,如P3M(季度)或PT12H(半天)。指定Origin作为时间戳,以设置舍入的参考时间。例如,TIME_FLOOR(time, 'PT1H', '2016-06-27 00:30:00')测量的小时周期从00:30-01:30而不是00:00-01:00。时区(如果提供)应该是时区名称,如“America/Los_Angeles”或偏移量,如“-08:00”。此功能与floor_to类似,但更灵活。 ceil函数 使用时间单位对时间戳进行四舍五入,单位可以是SECOND、MINUTE、 HOUR、 DAY、 WEEK、 MONTH、 QUARTER或 YEAR。 floor函数 使用时间单位对时间戳进行向下舍入,单位可以是SECOND、MINUTE、 HOUR、 DAY、 WEEK、 MONTH、 QUARTER或 YEAR。 time_shift函数 将时间戳expr移动一个Period(步长时间)。Period可以是任何ISO8601的Period。 timezone_hour函数 计算系统时区和utc时区的小时偏移量。如果提供了时区,则计算系统时区与给定时区的偏移量。 timezone_minute函数 计算系统时区和utc时区的分钟偏移量。如果提供了时区,则计算系统时区与给定时区的偏移量。 time_format函数 将时间戳类型的日期和时间表达式转换为指定格式的日期和时间表达式。 date_format函数 将时间戳类型的日期和时间表达式转换为指定格式的日期和时间表达式。 time_parse函数 将日期和时间字符串转换为指定格式的时间戳类型的日期和时间表达式。 date_parse函数 将日期和时间字符串转换为指定格式的时间戳类型的日期和时间表达式。 time_extract函数 通过指定字段提取日期时间表达式的日期或时间部分。EPOCH, SECOND, MINUTE, HOUR, DAY(月的日), DOW(周的日), DOY(年的日), WEEK(年周), MONTH(1到12), QUARTER(1到4),或YEAR,时区(如果提供)应为时区名称,如"America/Los_Angeles"或偏移量,如"-08:00" date_trunc函数 根据您指定的时间单位截断日期和时间表达式,并以毫秒、秒、分钟、小时、天、月或年为单位对齐。 date_diff函数 返回时间戳expr1和时间戳expr2之间的单位数(有符号)。 current_date函数 返回当前日期,格式是“yyyy-MM-dd”。 now函数 返回当前日期和时间,格式是“yyyy-MM-dd HH:mm:ss.SSS”。功能与current_timestamp一致 date_add函数 给时间加上给定的时间间隔 current_time函数 返回当前时间,格式为HH:mm:ss.SSSSSS。 current_timezone函数 返回当前时区。 localtime函数 返回本地时间。 localtimestamp函数 返回本地的日期和时间。 year_of_week函数 返回目标日期在ISO周日历中的年份。year_of_week函数等同于yow函数。 yow函数 返回目标日期在ISO周日历中的年份。year_of_week函数等同于yow函数。 time_series函数 用于补全您查询时间窗口内缺失的数据。
  • 背景说明 恶意软件攻击是指通过电子邮件、远程下载、恶意广告等多种手段,向用户传播恶意软件(如病毒、蠕虫、木马、勒索软件等),并在目标主机上执行恶意程序,从而实现对远程主机的控制、攻击网络系统、窃取敏感信息或进行其他恶意行为。这类攻击对计算机系统、网络和个人设备的安全构成了严重威胁,可能导致数据泄露、系统崩溃、个人隐私泄露、金融损失以及其他安全风险。 针对以上问题,通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,能有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序,检测出主机中未知的恶意程序和病毒变种,也可检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。因此,当有此类攻击发生的时候如何预防降低风险就至关重要。 本文档就恶意软件和勒索软件隔离查杀进行详细介绍。
  • 响应方案 针对以上背景, 安全云脑 提供的HSS文件隔离查杀剧本,自动隔离查杀恶意软件。 “HSS文件隔离查杀”剧本已匹配“HSS文件隔离查杀”流程,当有恶意软件和勒索软件告警生成时,通过判断受攻击资产HSS防护版本,版本为专业版或者高于专业版但未开启自动隔离查杀的就满足隔离查杀条件,人工审批进行隔离查杀,就会通过HSS文件隔离查杀进行告警处置,隔离软件成功,关闭告警。隔离失败,添加手动处理的评论,提示需要进行手动操作。 图1 HSS文件隔离查杀
  • 事件响应 获取、保护、记录证据。 根据您华为云环境的配置,通过主机安全服务配置可通过AV检测和HIPS检测帮助您发现资产中的安全威胁,检测到恶意软件和勒索软件。 可通过SSH等方法访问云服务器,查看实例状态和监控等信息,查看是否有异常。或者通过其他方式收到攻击信息或勒索信息请求发现潜在威胁。 一旦确认攻击是事件,需要评估受影响范围、受攻击机器和受影响业务及数据信息。 通过安全云脑“转事件”能力,持续跟踪对应事件,记录所有涉及事件信息。详细操作请参见告警转事件。 同时可通过日志信息溯源,通过“安全分析”能力审核所有相关日志信息,在“事件管理”中记录存档,便于后续跟踪运营。 控制事件。 通过告警和日志信息,确定攻击类型、影响主机和业务进程信息。 通过HSS文件隔离查杀脚本对涉及进程软件进行进程查杀、软件隔离操作。降低后续影响。 排查感染范围,有感染风险都需要进行排查,一旦有沦陷及时处理控制。 同时也可使用其他剧本流程进行风险控制,比如“主机隔离”,通过安全组策略,从访问控制方面隔离受感染机器,隔离网络传播风险。 消除事件。 评估受影响机器是否需要加固恢复。如果已经沦陷,需要通过溯源结果加固恢复机器。如安全凭证泄露造成的攻击,则删除任何未经授权的 IAM 用户、角色和策略,并吊销凭据等操作进行主机加固。 对受感染机器可以进行风险排查,排查是否有漏洞、过时的软件、未修补的漏洞等,这些都可能会造成后续机器的持续沦陷,可以通过“漏洞管理”排查和修复处理对应机器漏洞;排查是否有风险配置,可以通过“基线检查”排查机器配置,针对有风险配置进行及时处理修复。 评估影响范围,如果已经有其他机器沦陷,需要同步处理所有影响主机。 从事故中恢复。 确定从备份执行的所有还原操作的还原点。 查看备份策略,以确定是否可以恢复所有对象和文件,这取决于在资源上应用的生命周期策略。 使用取证方法确认数据在恢复之前是安全的,然后从备份中恢复数据,或者恢复到E CS 实例的早期快照。 如果您已成功使用任何开源解密工具恢复数据,请从实例中删除该数据,并执行必要的分析以确认数据是安全的。然后,恢复实例,终止或隔离实例并创建新的实例,并将数据还原至新实例中。 如果从备份恢复或解密数据都不可行,请评估在新环境中重新开始的可能性。 事故后活动。 通过整个告警处理流程中分析告警发生详细信息,持续运营优化模型,提升模型告警准确率。如判断是业务相关的,无风险的告警可以直接通过模型进行筛选。 通过溯源告警发生,更好的了解事件的整个流程,持续优化资产防护策略,降低资源风险,收缩攻击面。 通过告警事件处理,结合自己业务实际场景,优化自动化处理剧本流程,例如,通过分析之后告警准确率提升可替换人工审核策略,以全自动化替代,提升处理效率,更快速的对风险进行处理。 风险分析可结合所有同类恶意软件和勒索软件攻击点,进行风险前置,在未发生事件之前进行风险控制处理。
  • 背景说明 攻击链路在网络安全领域中是一个重要的概念,它主要指的是攻击者为了达成攻击目的,在目标网络或系统中采取的一系列攻击步骤和路径。这些步骤和路径构成了攻击链路,通过它们,攻击者能够逐步深入目标系统,最终实现其攻击目标。 攻击链路对目标网络或系统的危害是巨大的。一旦攻击者成功构建了攻击链路,并突破了目标系统的防御措施,就可以对目标系统进行任意操作,包括窃取敏感信息、破坏系统数据、瘫痪系统服务等。这些危害不仅会导致经济损失,还可能对国家安全和社会稳定造成严重影响。
  • 事件响应 获取、保护、记录证据。 根据您华为云环境的配置,通过主机安全服务(HSS)以及 Web应用防火墙 (WAF)来源检测相关类型的告警。 可通过SSH等方法访问云服务器,查看实例状态和监控等信息,查看是否有异常。或者通过其他方式收到的告警信息。 一旦确认攻击是事件,需要评估受影响范围、攻击机器和受影响业务及数据信息。 通过安全云脑“转事件”能力,持续跟踪对应事件,记录所有涉及事件信息。详细操作请参见告警转事件。 同时可通过日志信息溯源,通过“安全分析”能力审核所有相关日志信息,在“事件管理”中记录存档,便于后续跟踪运营。 控制事件。 通过告警和日志信息,确定攻击类型、影响主机和业务进程信息。 通过隔离查杀,策略阻断等脚本对涉及进程软件进行进程查杀、软件隔离等操作,降低后续影响。 排查感染范围,有感染风险都需要进行排查,一旦有沦陷及时处理控制。 同时也可使用其他剧本流程进行风险控制,比如“主机隔离”,通过安全组策略,从访问控制方面隔离受感染机器,隔离网络传播风险。 消除事件。 评估受影响机器是否需要加固恢复。如果已经沦陷,需要通过溯源结果加固恢复机器。如安全凭证泄露造成的攻击,则删除任何未经授权的IAM用户、角色和策略,并吊销凭据等操作进行主机加固。 对受感染机器可以进行风险排查,排查是否有漏洞、过时的软件、未修补的漏洞等,这些都可能会造成后续机器的持续沦陷,可通过“漏洞管理”排查和修复处理对应机器漏洞;排查是否有风险配置,可以通过“基线检查”排查机器配置,针对有风险配置进行及时处理修复。 评估影响范围,如果已经有其他机器沦陷,需要同步处理所有影响主机。 从事故中恢复。 确定从备份执行的所有还原操作的还原点。 查看备份策略,以确定是否可以恢复所有对象和文件,这取决于在资源上应用的生命周期策略。 使用取证方法确认数据在恢复之前是安全的,然后从备份中恢复数据,或者恢复到ECS实例的早期快照。 如果您已成功使用任何开源解密工具恢复数据,请从实例中删除该数据,并执行必要的分析以确认数据是安全的。然后,恢复实例,终止或隔离实例并创建新的实例,并将数据还原至新实例中。 如果从备份恢复或解密数据都不可行,请评估在新环境中重新开始的可能性。 事故后活动。 通过整个告警处理流程中分析告警发生详细信息,持续运营优化模型,提升模型告警准确率。如判断是业务相关的,无风险的告警可以直接通过模型进行筛选。 通过溯源告警发生,更好的了解事件的整个流程,持续优化资产防护策略,降低资源风险,收缩攻击面。 通过告警事件处理,结合自己业务实际场景,优化自动化处理剧本流程,例如,通过分析之后告警准确率提升可替换人工审核策略,以全自动化替代,提升处理效率,更快速的对风险进行处理。 通过风险分析,结合攻击链路告警分析,进行风险前置,在未发生事件之前进行风险控制处理。
  • 响应方案 攻击者攻击 域名 成功之后会对后端服务器进行攻击,因此针对此链路攻击的路径,安全云脑提供了攻击链路分析告警通知剧本。当攻击者通过层层攻击到主机之后,进行告警,通知运营人员进行处置。 “攻击链路分析告警通知”剧本已匹配“攻击链路分析告警通知”流程,该流程需要使用 消息通知 服务(Simple Message Notification, SMN )来创建安全云脑告警通知主题,并完成订阅即可接收到告警通知。 “攻击链路分析告警通知”流程是通过资产关联,查询对应HSS告警影响资产所关联的网站资产列表,流程预置默认查询最多3条网站资产。 如果有关联网站资产,则每条网站资产查询3小时前到现在这个时间段内对应的WAF告警数据(告警类型为XSS、SQL注入、命令注入、本地文件包含、远程文件包含、Webshell、漏洞攻击),同样的,最多查询3条告警数据。 如果有对应WAF告警,则将WAF告警数据与本条HSS告警数据进行关联,并通过SMN通知到邮箱。 图1 攻击链路分析告警通知
  • 事件响应流程 获取、保存、记录证据。 根据您的华为云环境的配置情况,您可能通过各种来源了解到潜在的勒索软件事件: 某IT员工反馈,通过SSH及其他类似方式无法访问ECS实例。 ECS实例创建正常,华为云的 云监控 (Cloud Eye)或其他监控工具也没有上报告警,但依然无法访问ECS实例。 由ECS实例的异常指标或异常日志触发生成一个工单在您的工单系统中。 ECS实例在华为云控制台或云监控的告警中上报网络异常问题。 攻击者通过其他通信渠道(如电子邮件)收到勒索软件的请求。 通过华为 云安全 服务或其他安全工具发现ECS实例遭受到攻击。 您的华为云或者其他第三方监控系统发出告警或显示指标异常。 当确认某个事件为安全事件后,评估其影响范围至关重要,包括受影响资源的数量和所涉及数据的敏感性。 排查是否有任何已知事件可能导致服务中断或影响实例指标,例如,由于正在进行的事件导致云监控中的网络指标增加。 使用云监控或其他应用程序性能监控工具将记录的应用程序的性能基线指标与当前异常指标进行对比,判断是否存在异常行为。 确定存储在ECS实例、OBS桶或其他存储中的数据的分类级别。 请确保已为该事件创建工单。如果未创建,请手动创建一个。 如果为已有工单,请确定当前指示问题的告警或指标是什么。 如果工单是由告警或指标触发自动生成的工单,可明确其自动生成工单的什么的原因;如果工单非自动生成,则记录导致识别问题的告警或通知。确认服务中断是由已知事件还是其他原因造成的,如果不能判断,则记录攻击的实际媒介。 使用日志搜索来确定勒索攻击发生的时间。 可以使用华为云的 云审计 服务(Cloud Trace Service)服务,它提供对各种云资源操作记录的收集、存储和查询功能。 确定并记录对最终用户的影响及其体验。 如果用户受到影响,请在工单中记录导致攻击事件的详细步骤,以帮助识别攻击媒介并制定适当的缓解策略。 根据您企业/组织的事件响应计划确定事件涉及的角色。通知相关角色,包括法务人员、技术团队和开发人员,并确保他们被添加到工单和WarRoom中持续响应该事件。 确保您的组织的法律顾问了解并参与到事件的内部响应和外部沟通中,并将负责公共或外部沟通的同事添加到工单中,以便他们能够及时履行其沟通职责。如果地方或联邦法规要求报告此类事件,请通知有关当局,并向其法律顾问或执法部门寻求关于收集证据和保存监管链的指导。如果法规没有要求,向开放数据库、政府机构或非政府组织报告此类事件也可能有助于推进响应此事件。 控制事件。 尽早检测异常用户行为或网络活动是减少勒索软件事件影响的关键。可以参考以下步骤来帮助您控制事件。如果以下步骤适用,请与您的企业/组织的法律和合规团队合作,采取任何必要的响应措施,并继续进行事件响应流程。 确定攻击事件中涉及的勒索软件的类型。常见的勒索软件类型如下: 加密勒索软件:加密文件和对象。 锁定勒索软件:锁定对设备的访问。 其他类型:新类型或以前未记载的类型。 受攻击影响的工作负载,对于已识别出的与其相关联的华为云资源,可以通过修改安全组、OBS桶策略或相关身份和访问管理策略来隔离网络或互联网连接,以最大限度地减少感染传播的机会,或最大限度地减少攻击者访问这些资源的机会。 请注意,由于连接跟踪,有时修改安全组可能不会达到预期效果。 评估ECS实例是否需要恢复。如果该实例属于弹性伸缩组,则请从组中移除该实例。此外,如果事件与主机操作系统中的漏洞有关,请更新系统并确保已修补漏洞。 通过云审计服务查看操作日志,查看是否存在未经授权的活动,例如,创建未经授权的IAM用户、策略、角色或临时安全凭证。如果有,请删除任何未经授权的IAM用户、角色和策略,并撤销所有临时凭据。 如果攻击媒介是由未修补的软件、操作系统更新、过期的恶意软件或防病毒工具造成的,请确保所有ECS实例都更新到最新版本的操作系统,所有软件包和补丁程序都是最新的,并且所有ECS实例上的病毒特征码和定义文件都是最新的。您可以通过如下方式进行处理:针对可变架构,请立即进行修补;针对不可变架构,请进行重新部署。 根据5中的更新,删除被识别为有感染风险的所有剩余资源(可能访问了下载勒索软件的同一媒介,无论是通过电子邮件、访问受感染的网站,还是其他方式)。对于通过弹性伸缩管理的资源,重点识别攻击媒介,并采取措施防止其他资源通过同一媒介受到感染。 消除事件。 评估事件的影响是否仅限于环境的特定部分。如果能从备份或快照中恢复被勒索的数据,请参考备份或快照进行恢复。 请注意,在隔离的环境下调查事件以进行根本原因分析,对于实施控制措施以防止将来发生类似事件具有极大价值。 考虑使用最新的防病毒或防恶意软件来消除勒索软件。 请谨慎此操作,因为此操作可能会向攻击者发出警报。建议在隔离的取证环境中查看被锁定或加密的对象,例如,从受感染的ECS实例中删除网络访问权限。 删除在取证分析过程中识别到的所有恶意软件,并识别入侵指标。 如果已确定勒索软件毒种,请检查是否有可用的第三方解密工具或其他可能有助于解密数据的在线资源。 从事故中恢复。 确定从备份执行的所有还原操作的还原点。 查看备份策略,以确定是否可以恢复所有对象和文件,这取决于在资源上应用的生命周期策略。 使用取证方法确认数据在恢复之前是安全的,然后从备份中恢复数据,或者恢复到ECS实例的早期快照。 如果您已成功使用任何开源解密工具恢复数据,请从实例中删除该数据,并执行必要的分析以确认数据是安全的。然后,恢复实例,终止或隔离实例并创建新的实例,并将数据还原至新实例中。 如果从备份恢复或解密数据都不可行,请评估在新环境中重新开始的可能性。 事故后活动。 将在模拟和现场事件中吸取的经验教训记录并应用到后续的流程和程序中,可以使受害方更好地了解事件是如何在系统配置和流程中发生的(例如,哪里存在弱点、哪里的自动化可能出现故障、哪里缺乏可见性),以及如何加强其整体安全态势。 如果您已经确定了最初的攻击媒介或进入点,请如何降低风险再次发生的最佳方法。 例如,如果恶意软件最初通过一个未修补的面向公众的ECS实例进入,并且您已将缺失的补丁程序应用于所有当前实例,请考虑如何改进补丁程序管理流程,旨在更快速和一致地测试和应用补丁程序,以防止将来出现类似问题。 如果您已经制定了解决特定威胁的技术步骤,请评估当检测到相关威胁时自动执行这些步骤的几率。使用自动化处理,可以帮助更快地减轻威胁,从而最大限度地减少影响的范围和严重性。 向响应过程中的所有角色收集其获得的经验教训,并根据需要更新您的事件响应计划、灾难恢复计划和本响应方案。同时,酌情考虑和资助新的技术能力和人员技能,以弥补已发现的差距。
  • 事件类型:勒索软件攻击 勒索软件(Ransomware)又称勒索病毒,是一种特殊的恶意软件,属于“阻断访问式攻击”(denial-of-access attack)的一种。它通过技术手段限制受害者访问自己的系统或系统内的数据,如文档、邮件、数据库、源代码等,以此达到勒索钱财的目的。 一旦勒索软件对系统攻击成功后,再对系统实行中断攻击并减轻损害的措施是有限,并且极具挑战性的。因此,关注预防措施以减少此类攻击显得至关重要。 本文档介绍了一系列旨在有效管理和应对勒索软件攻击的步骤和策略。
  • 剧本说明 安全云脑提供的高危漏洞自动通知剧本,当新增主机漏洞,且等级为高危时,自动通知运营人员。 “高危漏洞自动通知”剧本已匹配“高危漏洞自动通知”流程,该流程需要使用消息通知服务(Simple Message Notification,SMN)来创建安全云脑告警通知主题,并完成订阅即可接收到告警通知。 当新增HSS的高危漏洞时,会通过SMN服务对运营人员发送漏洞通知。 图1 高危漏洞自动通知流程
  • 剧本说明 安全云脑提供的自动更改告警名称剧本,支持用户按照不同维度自定义告警名称。 “自动更改告警名称”剧本已匹配“自动更改告警名称”流程,配置该剧本,需要对流程及流程中的插件进行适配。 “自动更改告警名称”流程共四个插件节点:获取告警类型id、获取告警详情、SecMasterBiz、告警名称更新。本流程只需配置SecMasterBiz插件节点,该节点用来定制告警名称的。 图1 自动更改告警名称流程
  • 语法支持的类型 SecMaster SQL语法支持的类型如下: STRING,BOOLEAN,BYTES,DECIMAL,TINYINT,SMALLINT,INTEGER,BIGINT,FLOAT,DOUBLE,DATE,TIME,TIMESTAMP,TIMESTAMP WITH LOCAL TIME ZONE,INTERVAL,ARRAY,MULTISET,MAP,ROW。 父主题: SecMaster SQL语法参考
  • 分析语句语法 完整的分析语句语法如下: SELECT [DISTINCT] (* | expression) [AS alias] [, ...] [GROUP BY expression [, ...] [HAVING predicates]] [ORDER BY expression [ASC | DESC] [, ...]] [LIMIT size OFFSET offset] 其中,LIMIT表示指定返回数据的条数。本章节内容将介绍LIMIT语法参数说明及示例。
  • 分析语句语法 完整的分析语句语法如下: SELECT [DISTINCT] (* | expression) [AS alias] [, ...] [GROUP BY expression [, ...] [HAVING predicates]] [ORDER BY expression [ASC | DESC] [, ...]] [LIMIT size OFFSET offset] 其中,ORDER BY表示按字段值排序。本章节内容将介绍ORDER BY语法参数说明及示例。
  • 分析语句语法 完整的分析语句语法如下: SELECT [DISTINCT] (* | expression) [AS alias] [, ...] [GROUP BY expression [, ...] [HAVING predicates]] [ORDER BY expression [ASC | DESC] [, ...]] [LIMIT size OFFSET offset] 其中,HAVING子句用于指定过滤分组结果(GROUP BY)或聚合计算结果的条件。本章节内容将介绍HAVING语法参数说明及示例。
  • 分析语句语法 完整的分析语句语法如下: SELECT [DISTINCT] (* | expression) [AS alias] [, ...] [GROUP BY expression [, ...] [HAVING predicates]] [ORDER BY expression [ASC | DESC] [, ...]] [LIMIT size OFFSET offset] 其中,GROUP BY表示按值分组。本章节内容将介绍GROUP BY语法参数说明及示例。
  • 使用*查询所有字段 SELECT * 表1 使用*查询所有字段 account_number firstname gender city balance employer state lastname age 1 Amber M Brogan 39225 Pyrami IL Duke 32 16 Hattie M Dante 5686 Netagy TN Bond 36 13 Nanette F Nogal 32838 Quility VA Bates 28 18 Dale M Orick 4180 null MD Adams 32
  • 分析语句语法 完整的分析语句语法如下: SELECT [DISTINCT] (* | expression) [AS alias] [, ...] [GROUP BY expression [, ...] [HAVING predicates]] [ORDER BY expression [ASC | DESC] [, ...]] [LIMIT size OFFSET offset] 其中,SELECT表示指定查询的字段。本章节内容将介绍SELECT语法参数说明及示例。
  • 操作场景 为了解最新的云服务基线配置状态,您需要执行扫描任务,扫描结束后才能获取云服务基线的风险配置。基线检查功能支持定期自动检查和立即检查: 定期自动检查:根据安全云脑提供的默认基线检查计划或您自定义的基线检查计划,定时自动执行基线检查。 立即检查:支持立即检查所有检查规范或某个检查计划,实时查看是否存在基线风险。 本章节介绍如何立即执行基线检查,包含以下几种类型: 立即检查所有遵从包:检查已有的,且已启用的遵从包中所有自动检查项的遵从情况。 立即执行某个检查计划:检查已选择的检查计划中设置的遵从包中的检查项目的遵从情况。 立即检查某个或某些检查项目:检查选中的检查项。
  • 增值包规格说明 安全云脑在标准版、专业版的基础上,提供有如下增值包功能: 安全大屏 功能说明: 在现场讲解汇报、实时监控等场景下,为了获得更好的演示效果,可以将安全云脑服务的分析结果展示在大型屏幕上,获得更清晰的态势信息和更好的视觉效果,实现一屏全面感知。 同时,安全云脑联动Astro大屏应用(Astro Canvas,简称AstroCanvas),支持指标自定义接入,页面零代码开发,数据分钟级接入,更多AstroCanvas详细介绍请参见什么是Astro大屏应用。 购买配置说明: 请根据需求进行购买。 其中,AstroCanvas大屏仅支持通过包周期方式进行购买。 包周期购买时,如果仅需购买安全云脑大屏,无需购买AstroCanvas大屏,则请先选择“现在购买”,并勾选大屏下方的不购买AstroCanvas大屏,仅购买指标提示信息。 日志审计 功能说明: 支持采集各类日志数据,并对采集的数据进行存储,可以设置每日数据采集量和日志存储的总量。 购买配置说明: 按需购买时,将根据实际使用的采集量和存储量进行收费,无需进行规格配置。 包周期购买时,需要根据需求测算“每天新增日志量”,设置完成后,系统将按照设置的量自动适配资源包规格,具体规格说明如表1所示。 表1 安全数据采集和安全数据保留资源包规格说明 资源包 包周期购买时,推荐配置 资源包规格 资源包规格适用区间 安全数据采集 每天采集的数据量。 安全数据采集资源包 5 GB 起购,建议按照每台虚拟机 120 MB / 天来进行配置,单个订单最大可购买 500 GB。 购买时,安全数据采集的值将自动根据用户填写的每天新增日志量的值来适配资源包规格,无需单独配置。 5 *1 GB 0 GB ~ 5 GB(含) 5 *2 GB 5 GB ~ 10 GB(含) 5 *3 GB 10 GB ~ 15 GB(含) ...... 以此类推,单个订单最大可购买 500 GB ...... 以此类推 安全数据保留 日志存储的总量。 安全数据保留资源包 100 GB 起购,建议按照“安全数据保留 = 每天新增日志量 * 7”的关系来进行配置,单个订单最大可购买 3500 GB。 购买时,安全数据保留的值将自动根据用户填写的每天新增日志量的值来适配资源包规格,无需单独配置。 100 *1 GB 0 GB ~ 100 GB(含) 100 *2 GB 100 GB ~ 200 GB(含) 100 *3 GB 200 GB ~ 300 GB(含) ...... 以此类推,单个订单最大可购买 3500 GB ...... 以此类推 安全数据保留和安全数据采集资源包额度可叠加,但不能抵扣已产生的用量,不能退订。 包周期购买安全数据保留和安全数据采集资源包后,如果超出资源包规格的用量,将会按照使用量按需收费。 包周期购买安全数据保留和安全数据采集资源包后,如果资源包到期,按需资源不会自动关闭,将会以按需的方式继续使用。 另外,包周期购买的安全数据采集资源包为每天每个配额的使用量,如果当天使用量超出了设置的规格,那么超出的部分将以按需方式进行收费。 例如:用户购买了5 GB/天/配额的为期1个月的安全数据采集资源包,如果购买当天22:00前使用了5 GB的采集量,在22:00 ~ 24:00间使用了2 GB,则超出的2 GB将额外以按需计费方式进行收费。第二天00:00开始,又重新有5 GB/天/配额。 安全分析 功能说明: 安全分析一种云原生安全信息和事件管理解决方案,主要提供日志采集、告警生成、聚合分析等能力。 购买配置说明: 安全分析免费赠送配额如表2所示,当赠送规格不够时,可以进行购买。 按需购买时,将根据实际使用量进行收费,无需进行规格配置。 包周期购买时,需要根据需求设置数据量,请参照表3配置说明进行购买。 表2 安全分析赠送规格说明 功能 标准版 专业版 安全分析 安全数据采集 120 MB/天/配额 120 MB/天/配额 安全数据保留 120 MB/天/配额 120 MB/天/配额 安全数据导出 120 MB/天/配额 120 MB/天/配额 平台安全数据 40 MB/天/配额 40 MB/天/配额 安全建模分析 × 120 MB/天/配额 表3 安全分析配置推荐 增值包功能 包周期购买时,购买量配置推荐 安全分析 推荐按照每台服务器120 MB/天的数据量进行估算。 设置后,安全数据采集、安全数据保留、安全数据导出、平台安全数据、安全建模分析功能每日可用数据量都是此设置量。如果当日使用量大于当日购买时设置的数据量,则当日无法再继续使用安全分析功能,第二天00:00才可以继续使用。 例如,设置了1 GB/天,则每台服务器都将有安全数据采集 1 GB/天、安全数据保留 1 GB/天、安全数据导出 1 GB/天、平台安全数据 1 GB/天、安全建模分析 1 GB/天。 安全编排 功能说明: 安全编排可以在检测到安全威胁时,启动自动化响应编排,联动相关云产品对威胁源执行封禁、隔离等安全措施,以实现快速且有效的安全事件处置。 购买配置说明: 安全编排免费赠送配额如表4所示,当赠送规格不够时,可以进行购买。 按需购买时,将根据实际使用次数进行收费,无需进行规格配置。 包周期购买时,需要根据需求设置操作次数,请参照表5配置说明进行购买。 表4 安全编排赠送规格说明 功能 标准版 专业版 安全编排 x 操作7000次 表5 安全编排配置推荐 增值包功能 包周期购买时,购买量配置推荐 安全编排 每台服务器支持10,000 次操作/天,请根据需求进行设置。 如果当日使用次数大于购买时设置的次数,则当日无法再继续使用安全编排功能,第二天00:00才可以继续使用。
  • 相关操作 如果需变更资产配额,可以在“已购资源”页面,选择目标区域,并单击“增加配额”,添加资产配额购买,详细说明请参见增加配额。 如果未同时开通增值包功能,可以在“已购资源”页面,单击页面右上角的“购买增值包”,开通增值包功能,详细说明请参见购买增值包。 如果购买的包周期版本即将到期或已经到期,可以在“已购资源”页面,选择目标区域,并单击“续费”,延长当前包周期资源的使用期限,详细说明请参见续费。 如果不再使用资产配额或增值包功能,可以在“总览”页面右上角的版本信息中,单击“退订”或“取消”,退订相应安全云脑服务,详细说明请参见退订。
  • 增值包规格说明 安全云脑在标准版、专业版的基础上,提供有如下增值包功能: 安全大屏 功能说明: 在现场讲解汇报、实时监控等场景下,为了获得更好的演示效果,可以将安全云脑服务的分析结果展示在大型屏幕上,获得更清晰的态势信息和更好的视觉效果,实现一屏全面感知。 同时,安全云脑联动Astro大屏应用(Astro Canvas,简称AstroCanvas),支持指标自定义接入,页面零代码开发,数据分钟级接入,更多AstroCanvas详细介绍请参见什么是Astro大屏应用。 购买配置说明: 请根据需求进行购买。 其中,AstroCanvas大屏仅支持通过包周期方式进行购买。 包周期购买时,如果仅需购买安全云脑大屏,无需购买AstroCanvas大屏,则请先选择“现在购买”,并勾选大屏下方的不购买AstroCanvas大屏,仅购买指标提示信息。 日志审计 功能说明: 支持采集各类日志数据,并对采集的数据进行存储,可以设置每日数据采集量和日志存储的总量。 购买配置说明: 按需购买时,将根据实际使用的采集量和存储量进行收费,无需进行规格配置。 包周期购买时,需要根据需求测算“每天新增日志量”,设置完成后,系统将按照设置的量自动适配资源包规格,具体规格说明如表2所示。 表2 安全数据采集和安全数据保留资源包规格说明 资源包 包周期购买时,推荐配置 资源包规格 资源包规格适用区间 安全数据采集 每天采集的数据量。 安全数据采集资源包 5 GB 起购,建议按照每台虚拟机 120 MB / 天来进行配置,单个订单最大可购买 500 GB。 购买时,安全数据采集的值将自动根据用户填写的每天新增日志量的值来适配资源包规格,无需单独配置。 5 *1 GB 0 GB ~ 5 GB(含) 5 *2 GB 5 GB ~ 10 GB(含) 5 *3 GB 10 GB ~ 15 GB(含) ...... 以此类推,单个订单最大可购买 500 GB ...... 以此类推 安全数据保留 日志存储的总量。 安全数据保留资源包 100 GB 起购,建议按照“安全数据保留 = 每天新增日志量 * 7”的关系来进行配置,单个订单最大可购买 3500 GB。 购买时,安全数据保留的值将自动根据用户填写的每天新增日志量的值来适配资源包规格,无需单独配置。 100 *1 GB 0 GB ~ 100 GB(含) 100 *2 GB 100 GB ~ 200 GB(含) 100 *3 GB 200 GB ~ 300 GB(含) ...... 以此类推,单个订单最大可购买 3500 GB ...... 以此类推 安全数据保留和安全数据采集资源包额度可叠加,但不能抵扣已产生的用量,不能退订。 包周期购买安全数据保留和安全数据采集资源包后,如果超出资源包规格的用量,将会按照使用量按需收费。 包周期购买安全数据保留和安全数据采集资源包后,如果资源包到期,按需资源不会自动关闭,将会以按需的方式继续使用。 另外,包周期购买的安全数据采集资源包为每天每个配额的使用量,如果当天使用量超出了设置的规格,那么超出的部分将以按需方式进行收费。 例如:用户购买了5 GB/天/配额的为期1个月的安全数据采集资源包,如果购买当天22:00前使用了5 GB的采集量,在22:00 ~ 24:00间使用了2 GB,则超出的2 GB将额外以按需计费方式进行收费。第二天00:00开始,又重新有5 GB/天/配额。 安全分析 功能说明: 安全分析一种云原生安全信息和事件管理解决方案,主要提供日志采集、告警生成、聚合分析等能力。 购买配置说明: 安全分析免费赠送配额如表3所示,当赠送规格不够时,可以进行购买。 按需购买时,将根据实际使用量进行收费,无需进行规格配置。 包周期购买时,需要根据需求设置数据量,请参照表4配置说明进行购买。 表3 安全分析赠送规格说明 功能 标准版 专业版 安全分析 安全数据采集 120 MB/天/配额 120 MB/天/配额 安全数据保留 120 MB/天/配额 120 MB/天/配额 安全数据导出 120 MB/天/配额 120 MB/天/配额 平台安全数据 40 MB/天/配额 40 MB/天/配额 安全建模分析 × 120 MB/天/配额 表4 安全分析配置推荐 增值包功能 包周期购买时,购买量配置推荐 安全分析 推荐按照每台服务器120 MB/天的数据量进行估算。 设置后,安全数据采集、安全数据保留、安全数据导出、平台安全数据、安全建模分析功能每日可用数据量都是此设置量。如果当日使用量大于当日购买时设置的数据量,则当日无法再继续使用安全分析功能,第二天00:00才可以继续使用。 例如,设置了1 GB/天,则每台服务器都将有安全数据采集 1 GB/天、安全数据保留 1 GB/天、安全数据导出 1 GB/天、平台安全数据 1 GB/天、安全建模分析 1 GB/天。 安全编排 功能说明: 安全编排可以在检测到安全威胁时,启动自动化响应编排,联动相关云产品对威胁源执行封禁、隔离等安全措施,以实现快速且有效的安全事件处置。 购买配置说明: 安全编排免费赠送配额如表5所示,当赠送规格不够时,可以进行购买。 按需购买时,将根据实际使用次数进行收费,无需进行规格配置。 包周期购买时,需要根据需求设置操作次数,请参照表6配置说明进行购买。 表5 安全编排赠送规格说明 功能 标准版 专业版 安全编排 x 操作7000次 表6 安全编排配置推荐 增值包功能 包周期购买时,购买量配置推荐 安全编排 每台服务器支持10,000 次操作/天,请根据需求进行设置。 如果当日使用次数大于购买时设置的次数,则当日无法再继续使用安全编排功能,第二天00:00才可以继续使用。
  • 资产防护率 展示近7天内主机和网站的防护情况,包含已防护和未防护资产的比例。将鼠标悬停在对应模块上,可以查看已防护/未防护资产数量。 表3 资产防护率 参数名称 统计周期 更新频率 说明 资产防护率 近7天 5分钟 近7天内主机和网站的防护情况,包含已防护和未防护资产的比例。 主机防护情况:已开启和未开启主机安全服务 HSS的ECS数量统计。 网站防护情况:已开启和未开启Web应用防火墙 WAF防护网站数据统计。
  • 操作场景 在现场讲解汇报、实时监控等场景下,为了获得更好的演示效果,通常需要将安全云脑服务的分析结果展示在大型屏幕上。如果只是单纯将控制台界面放大显示,视觉效果并不是很理想。此时可以利用安全大屏,展示专为大型屏幕设计的服务界面,获得更清晰的态势信息和更好的视觉效果。 安全云脑默认提供一个综合 态势感知 大屏,可以还原攻击历史,感知攻击现状,预测攻击态势,为用户提供强大的事前、事中、事后安全管理能力,实现一屏全面感知。
  • 安全评分 展示当前资产安全健康得分。 表1 安全评分 参数名称 统计周期 更新频率 说明 安全评分 实时 每天2:00自动更新 随当前工作空间“态势总览”中的“安全评分”手动更新而更新,约有5分钟延迟 根据是否开启各安全服务防护、未处理的配置问题等级及个数、未处理的漏洞等级及个数、未处理的威胁事件等级及个数等,加权计算得来。 风险等级包括“无风险”、“提示”、“低危”、“中危”、“高危”和“致命”。 分值范围为0~100,分值越大表示风险越小,资产更安全。 分值从0开始,每隔20取值范围对应不同的风险等级,例如分值范围40~60对应风险等级为“中危”。 分值环形图不同色块表示不同威胁等级,例如黄色对应“中危”。
共100000条