检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
启用告警模型 数据接入后,可以利用模型对管道中的日志数据进行监控,如果检测到有满足模型中设置触发条件的内容时,将产生告警提示。 每个Region的首个工作空间可自动启用预置的推荐使用的模型(未全部启用)。后续新增的用于自定义运营的工作空间,不会自动加启用,需要用户自定义处理。 如
"dataspace-01", "pipe_id" : "b22106ba-bede-453c-8488-b60c70bd6aed", "pipe_name" : "pipe-01", "pipe_type" : "system-defined", "description" : "test
步骤九:配置连接器 本章节将介绍如何配置日志来源、接收目的的参数信息。请根据场景选择操作步骤: 将第三方日志接入安全云脑 将安全云脑日志转出至第三方系统或产品 将第三方日志接入安全云脑 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
下载日志 操作场景 安全云脑支持将原始日志或查询分析日志下载到本地。 前提条件 已完成数据接入,详细操作请参见数据集成。 操作步骤 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
最大长度:1024 请求示例 更新一条威胁情报,威胁情报触发标志为否,值为ip。 { "data_object" : { "indicator_type" : { "indicator_type" : "ipv6", "id" : "ac794b2dfab9
型和影响。同时,告警可以按照严重程度来进行分类,如紧急、重要、一般等,以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员,以便他们能够迅速响应并采取措施解决问题。 当安全云脑检测到的云资源中存在的异常情况(例如,某个恶意IP对资产攻击、资产已被入
略、应用防线告警关联历史处置信息、网络防线告警关联历史处置信息、重复告警自动关闭、告警ip指标打标、资产防护状态统计通知、未关闭告警自动统计通知、高危告警自动通知 如果需要使用某个未用剧本,可以启用剧本的初始版本(V1,默认已激活),或者对剧本进行修改后再启用。 本章节主要介绍配置并启用剧本。
常使用。 步骤三:接入资产和日志数据 接入数据信息,便于安全云脑对资源进行全面管理。 订阅资产数据:订阅当前账号当前region中所有资产信息,方便统一管理资产信息。 接入日志数据:接入其他服务日志数据,便于统一管理和分析。 接入华为云服务日志数据 (可选)接入非华为云日志数据 步骤四:配置并启用相关检查
漏洞修复优先级主要分为紧急、高、中、低四个等级,您可以参考修复优先级优先修复对您的服务器影响较大的漏洞。 SecMaster:显示漏洞的等级,等级是根据漏洞最高CVSS分值得出的,反应漏洞的严重程度。 漏洞等级主要分为高危、中危、低危、提示四个等级,您可以根据漏洞的严重程度(由高到低)进行修复。
新增工作空间,用于资源隔离和控制。 数据集成 配置需要接入的数据源。 安全云脑支持集成存储、管理与监管、安全等多种华为云云产品的日志数据。集成后,可以检索并分析所有收集到的日志。 (可选)新增数据空间 创建用于存储收集日志数据的数据空间。 通过控制台接入的数据,系统将创建默认数据空间,无需再进行创建。
实现对云负载、各类应用及数据的安全保护。 支持接入的云产品和日志 安全云脑支持集成WAF、HSS、OBS等多种华为云云产品的日志数据。集成后,可以检索并分析所有收集到的日志,且默认存储7天。 具体支持接入的云服务日志请参见支持接入的日志。 约束与限制 单次查询分析最多支持返回500条结果。
本章节介绍如何订阅资产。 每个Region的首个工作空间可自动加载当前Region所有资产。后续新增的用于自定义运营的工作空间,不会自动加载资产,需要用户自定义接入。 仅支持订阅和同步云上资产。同时,不建议同一个区域的资产订阅至多个工作空间。 操作步骤 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
创建/编辑解析器 操作场景 安全云脑默认内置快速接入解析器,可根据需要进行选择: 表1 解析器场景说明 类型 场景 快速接入 无需对源数据进行处理直接传输。 模板 需要对数据源进行清理、字段加工处理等操作的时候,可以根据用户需要的使用场景进行模板选择,创建对应的解析器。 自定义
remote_ip 某IP攻击查询 sec-waf-attack sip='x.x.x.x' and not attack='custom_whiteblackip' and not attack='custom_custom' | select attack,sip,http_host
String 源域名,最大128个字符。 最小长度:1 最大长度:128 src_geo 否 Geo object 源IP的地理位置信息。 dest_ip 否 String 目标IP地址。 最小长度:7 最大长度:15 dest_port 否 Integer 目标端口,0–65535。 最小值:0
启用剧本 数据接入后,安全云脑针对云上安全事件提供了安全编排剧本,实现安全事件的高效、自动化响应处置,降低安全事件的平均响应时间(MTTR),提高整体的安全防护能力。 每个Region的首个工作空间可自动启用预置的推荐使用的高频剧本(未全部启用)。后续新增的用于自定义运营的工作空
应急处理可以记录所有的访问请求和响应,及时发现攻击行为,针对攻击源IP进行限制或者阻断,可以通过配置黑名单策略进行封锁。 侦察阶段典型告警 应用防线 WAF访问日志 应用-疑似存在源码泄露风险 应急处理可以记录所有的访问请求和响应,及时发现攻击行为,针对攻击源IP进行限制或者阻断,可以通过配置黑名单策略进行封锁。 尝试攻击典型告警
一键阻断”,右侧弹出一键阻断配置页面。 同时,还可以在某条告警详情页面,单击页面右上角的“一键阻断”。 在一键阻断配置页面中,配置阻断策略信息。 表2 一键阻断 参数名称 参数说明 阻断对象 当阻断对象类型选择IP时,输入需要阻断的单个(或多个)IP地址或IP地址段,如有多个IP地址或地址段,请使用英文逗号隔开。
增50个IP作为阻断对象。 当需要下发策略至WAF时,单用户单次最多可新增50个IP作为阻断对象。 当需要下发策略至VPC时,单用户单次1分钟内最多可新增20个IP作为阻断对象。 当需要下发策略至IAM时,单用户单次最多可新增50个IAM用户作为阻断对象。 将IP或IP地址段或I
的虚拟网络环境,提升用户云上资源的安全性,简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络,进行安全、快捷的网络变更。同时,用户可以自定义安全组内与组间弹性云服务器的访问规则,加强弹性云服务器的安全保护。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
