检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
别选择相应授权方式进行主机授权。 Linux操作系统:SSH账号登录 Linux操作系统:授权脚本执行 Windows操作系统:Windows账号登录 单击“确定”,完成主机授权。 授权成功后,可在主机授权列表,查看对应主机的已授权信息。 脚本执行授权成功后,在主机授权列表页面,
授权设置 主机授权 父主题: 设置
能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。
使用服务的其它功能。 本章节为您介绍对用户授权的方法,操作流程如图1所示。 前提条件 给用户组授权之前,请您了解用户组可以添加的SA权限,并结合实际需求进行选择,SA支持的系统权限,请参见SA系统权限。若您需要对除SA之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。 如表1所示,包括了SA的所有系统权限。
启动主机扫描任务 在对主机授权后,可以参考此章节启动主机漏洞扫描和主机基线扫描任务。 前提条件 已购买态势感知专业版,且在有效使用期内。 已在“漏洞管理服务 > 资产列表”中完成“添加主机”操作。 已在“态势感知 > 设置 > 通知设置 > 授权设置 > 主机授权”中对主机完成授权。 为了确保
} ] } 示例3:多个授权项策略 一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是项目级服务或都是全局级服务。多个授权语句策略描述如下: { "Version":
为什么主机最大配额不能小于主机数量? 主机最大配额是授权检测主机的最大数量。在购买态势感知时,选择的最大配额需等于或大于当前账户下主机总数量,且不支持减少。若购买的最大配额小于主机数量,可能会造成如下影响: 未授权检测的主机被攻击后,不能及时感知威胁,造成数据泄露等风险。 操作步骤
态势感知支持跨账号使用吗? 不支持。 态势感知服务暂不支持跨账号使用,用户仅能获取和管理当前账号下资源的威胁风险信息。 但一个账号下所有用户,即该账号及该账号下所有授权的IAM用户,可共享该账号的全局威胁风险信息。 父主题: 产品咨询
、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击,以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解(2种)、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB
支持每5分钟抓取一次安全公告讯息,更新应急漏洞公告。 支持按披露时间排序应急漏洞公告列表。 支持按关键字查找应急漏洞公告。 支持导出应急漏洞公告列表。 主机漏洞 态势感知通过授权主机,并一键扫描主机漏洞,呈现主机漏洞扫描检测信息,支持查看漏洞详情,并提供相应漏洞修复建议。 主机漏洞共支持3大类漏洞项的检测,详情请参见表1说明。
威胁说明 处理建议 MySQL漏洞攻击 低危 检测到ECS实例被尝试利用MySQL漏洞攻击,代表ECS实例被尝试使用MySQL漏洞进行攻击。 攻击发生主要原因是ECS实例在公网上开放了MySQL服务,因此建议按照如下方式处理: 配置安全组规则,限制MySQL服务公网访问; 解绑ELB,关闭MySQL服务公网访问入口。
日志管理 通过授权对象存储服务(Object Storage Service,OBS)存储态势感知日志,帮助用户轻松应对安全日志存储、导出场景,以及满足日志存储180天及集中审计的要求。 为应对SA日志的容灾恢复,将存储到OBS桶的日志,通过数据接入服务(Data Ingestion
、图片验证码等; MySQL爆破 中危 检测到ECS实例上的MySQL被不断尝试登录,代表有攻击者正在尝试对ECS实例做MySQL暴力破解攻击尝试。 攻击发生的主要原因是MySQL服务端口开放到公网,因此建议按照如下方式处理: 在安全组中限制外部访问MySQL实例; 配置OS上的防火墙策略,限制外部访问;
启SSL、更改默认端口。 RDS数据库绑定EIP检查 当云数据库RDS(Relational Database Service,简称RDS)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。 检查当RDS数据库配置,是否开通公网连接方式。
购买态势感知资产配额完成后,当用户资产数量增加,或需对不同资产有不同使用时长需求,可参考本小节扩充“主机配额”,并配置使用时长。 约束限制 主机配额是授权检测主机的数量。主机配额最大限制如下: 表1 主机配额最大限制 当前账户下主机总数量/台 主机最大配额/台 当前账户下主机总数量≤10 100
说明: “user”为登录用户名。 MySQL数据库 登录MySQL数据库。 执行以下命令,查看数据库用户密码。 SELECT user, host, authentication_string From user; 部分MySQL数据库版本可能不支持以上查询命令。 若执行以上
为可视化全局安全态势,您需配置“授权设置”和“扫描任务”获取主机安全数据,同时还可以配置告警发送威胁通知。 授权设置 主机授权 扫描任务 设置基线扫描时间 启动扫描任务 告警设置 通知告警 告警监控设置 05 实践 弹性云服务器(Elastic Cloud Server)是一种可随时
过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 SA部署时不区分物理区域,为全局级服务。授权时,在全局级服务中设置权限,访问SA时,不需要切换区域。 权限根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该
权限管理 创建用户并授权使用SA SA自定义策略 SA权限及授权项
在委托列表中选择“ssa_admin_trust”,进入委托详情页面。 选择“授权记录”页签,并在页面中单击“授权”。 在权限配置栏目搜索并选择“Tenant Administrator”和3创建的权限。 图1 基线检查权限策略-示例 单击页面下方“下一步”,设置最小授权范围。 单击页面下方的“确定”,完成配置。 配置资源管理、日志管理功能所需的权限
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
