检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为什么没有看到攻击数据或者看到的攻击数据很少? 态势感知支持检测云上资产遭受的各类攻击,并进行客观的呈现。但是,如果您的云上资产在互联网上的暴露面非常少(所谓“暴露面”是指资产可被攻击或利用的风险点,例如端口暴露和弱口令都可能成为风险点),那么遭受到攻击的可能性也将大大降低,所以
检查IAM用户是否开启操作保护。 管理员账号AK/SK启用检查 访问密钥(AK/SK,Access Key ID/Secret Access Key)是账号的长期身份凭证。 由于管理员具有IAM用户管理权限,且具有大范围的操作权限。为了避免因AK/SK泄露带来的安全隐患,建议管理员账号不启用AK/SK身份凭证。
调用接口有如下两种认证方式,您可以选择其中一种进行认证鉴权。 Token认证:通过Token认证调用请求。 AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。 Token认证 Token的有效期
导出检测结果 态势感知支持一键导出检测结果。 导出的excel文件中包含“产品名称”、“公司名称”、“受影响资源”、“业务领域”、“标题”、“发生时间”、“发生次数”、“置信度”、“重要性”和“状态”等信息。 约束限制 按过滤场景筛选检测结果,最多可导出10000条结果。 仅可导出近180天的检测结果。
导出应急漏洞公告 在“应急漏洞公告”页面,单击右上角导出标识,“一键导出”当前列表中安全公告,并以Excel文件形式保存在本地。导出完成后,即可离线查看应急漏洞公告列表。 导出的Excel文件中包含“公告名称”、“披露时间”、“链接”等信息。 父主题: 漏洞管理
Horse),是一种后门程序。后门木马具有很高的伪装性,通常表现为一个正常的应用程序或文件,以获得广泛的传播和目标用户的信任。当目标用户执行后门木马程序后,攻击者即可对用户的主机进行破坏或盗取敏感数据,如各种账户、密码、保密文件等。在黑客进行的各种攻击行为中,后门木马基本上都起到了先导作用,为进一步的攻击打下基础。
支持检测的异常行为威胁 包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。 接入的HSS服务上报的告警事件 包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常自启动、文件提权、进程提权、Rootkit程序。
当检测到异常行为类威胁时,各子类型威胁处理建议参见表1。 表1 部分异常行为类威胁处理建议 威胁告警名称 告警等级 威胁说明 处理建议 文件目录变更监测事件 提示 检测到ECS实例的关键文件被更改。 建议登录企业主机安全管理控制台处理。 系统成功登录审计事件 提示 检测到ECS实例已异常成功登录。 建议登录企业主机安全管理控制台处理。
导出告警事件 在“告警列表”页面,单击“导出全部告警”,一键导出列表中全部告警事件,并以excel文件形式保存在本地。导出完成后,即可离线查看告警事件列表。 图2 导出告警事件 导出的excel文件中包含“事件标识”、“受影响资源”、“严重等级”和“发现时间”等信息。 目前仅支持导出近180天的全部告警事件。
数据源自定义信息,最多支持50个key/value对,约束条件: 1、该对象不能包含冗余数据,并且不能与已定义的SSA事件格式字段冲突。 2、字段名称可以包含字母数字字符、空格和以下符号:_ . / = + \ - @。 示例: "data_source_fields": { "key1": "value1"
界面中各个模块的功能介绍和使用方法详见下述内容。 图2 主机安全态势大屏 风险主机地图 区域维度风险主机直观展示了当天不同华为云区域内是否有风险主机。没有风险主机的区域,指示灯为绿色,有威胁主机的区域,指示灯为红色。当用鼠标单击亮灯的区域时,则分别显示出该区域的主机总数、Windows系统主
Management,IAM),如果账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用SA服务的其它功能。 默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。
配置存储日志相关参数,具体参数说明如表1所示。 表1 配置存储日志参数说明 参数名称 参数说明 桶名称 选择已创建的OBS桶。 如果没有可选择的OBS桶,单击“您没有可用的OBS桶,请前往创建”,进入对象存储服务管理控制台,创建OBS桶。 说明: 目前仅支持选择当前账号所在的区域中已有的OBS桶。
host, authentication_string From user; 部分MySQL数据库版本可能不支持以上查询命令。 若执行以上命令没有获取到用户密码信息,请执行命令。 SELECT user, host password From user; 执行以下命令,根据查询结果及弱密码告警信息,修改具体用户的密码。
在“告警监控名单”区域下,单击“设置名单”,弹出“告警监控名单”窗口,导入或手动设置监控名单。 设置告警监控来源名单的方法如下: 导入监控名单。 单击“添加文件”,选择需要导入的监控名单文件,文件支持txt格式,导入后监控名单会自动呈现在输入框内。 在输入框中输入符合格式的监控名单。 如图2,若设置了22和3389
适用于资源需求波动的场景,可以随时开通,随时删除。 说明: 安全大屏无法单独购买,需已购买标准版或专业版基础上才可以购买。但是,服务版本+ECS主机配额计费跟安全大屏计费间没有联系,单独计费,且互不影响。 父主题: 计费模式
“DDoS”事件新增1种子告警CC攻击。 “Web攻击”事件新增14种子告警,包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 “异常行为”事件新增7种子告警
产品咨询 态势感知可以为我提供什么服务? 为什么没有看到攻击数据或者看到的攻击数据很少? 态势感知的数据来源是什么? 如何获取风险程度最高的资产信息? 如何获取攻击者的信息? 态势感知与其他安全服务之间的关系与区别? SA与HSS服务的区别? 为什么主机最大配额不能小于主机数量?
Horse),是一种后门程序。后门木马具有很高的伪装性,通常表现为一个正常的应用程序或文件,以获得广泛的传播和目标用户的信任。当目标用户执行后门木马程序后,攻击者即可对用户的主机进行破坏或盗取敏感数据,如各种账户、密码、保密文件等。在黑客进行的各种攻击行为中,后门木马基本上都起到了先导作用,为进一步的攻击打下基础。
DNS、弹性负载均衡 ELB、云数据库 RDS、裸金属服务器 BMS、云容器引擎 CCE、云容器实例 CCI、Web应用防火墙 WAF、SSL证书管理 SCM、云硬盘 EVS 前提条件 已购买态势感知标准版或专业版,且在有效使用期内。 操作账号权限检查。使用资源管理功能时,除了需要“SA
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
