检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
删除事件失败 400 SecMaster.20041509 单日事件创建个数超过最大限制 400 SecMaster.20041804 告警转事件请求内容错误 400 SecMaster.20041805 创建告警失败 400 SecMaster.20041808 更新告警失败 400 SecMaster
胁告警详情,监控威胁告警状况。 呈现近7天TOP5的威胁告警事件的信息,包括威胁告警名称、告警等级、资产名称、告警发现时间。 如果列表显示内容为空,表示近7天无威胁告警事件。 漏洞 展示您本账号所有工作空间内资产中TOP5漏洞类型,以及近7天内还未修复的漏洞总数和不同漏洞风险等级
警管理界面中。 在安全云脑的告警管理页面可以执行以下操作: 查看告警信息:可以通过查看告警列表了解近360天的告警威胁的统计信息列表,列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件,如告警名称、告警等级和发生时间等,快速查询到相应告警事件的统计信息。
需要排查上游服务业务是否正常。 无 SYS.SecMaster 日志消息突减 重要 上游服务产生日志突然变小。 需要排查上游业务是否正常 无 告警监控相关内容详细操作请参见: 漏洞管理 基线检查 安全报告 父主题: 安全
应用场景 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云(Virtual Private Cloud,以下简称VPC),为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云上资源的安全性,简化用户的网络部署。 您可以在VPC中定义安全组、VPN、
其他安全服务:仅展示对应服务的检测分析数据,并实施具体安全防护动作,不会呈现全局的威胁攻击态势。 SecMaster与其他安全防护服务区别,详细内容如表1。 表1 SecMaster与其他服务的区别 服务名称 服务类别 关联与区别 防护对象 功能差异 安全云脑(SecMaster) 安全管理
Web应用防火墙(Web Application Firewall,WAF) 云上资产 数据库 云数据库(Relational Database Service,RDS) 数据库安全服务(Database Security Service,DBSS) 云上资产 VPC 虚拟私有云(Virtual
语言,参考值:zh-CN、en-US content-type 是 String 内容类型 表3 请求Body参数 参数 是否必选 参数类型 描述 limit 否 Integer 分页大小 offset 否 Integer 偏移量,表示查询该偏移量后面的记录 sort_by 否 String 排序关键字 order
议。 与云审计服务的关系 云审计服务(Cloud Trace Service,CTS),为SecMaster提供云服务资源的操作记录,记录内容包括从访问管理控制台发起的云服务资源操作请求以及每次请求的结果,供您查询、审计和回溯使用。 CTS记录SecMaster相关操作事件,方便用户日后的查询、审计和回溯。
/opt/cloud/logstash/config/files 执行以下命令,查看filter部分是否存在异常。 cat 配置文件名 当出现如下图所示内容时,则表示当前filter部分存在异常: 图5 filter部分存在异常 处理步骤 登录安全云脑管理控制台,并进入目标工作空间。 在左侧导航栏选择“设置
输入分组名称,并单击,完成新增。 分组新增完成后,如需编辑/删除,可以将鼠标悬停在分组名称后,单击编辑/删除按钮,进行编辑/删除操作。 新增采集通道 在采集通道管理页面的分组列表右侧,单击“新增”,进入新增采集通道页面。 在“基础配置”页面中,配置基础信息。 表1 基础配置参数说明 参数名称 参数说明 基础信息
流程中的循环体。 系统插件 排他网关 线路分流时,根据条件表达式选择多条线路中的一条执行。 线路汇聚时,多条线路只要有一条线路到达则继续后面的节点执行。 并行网关 线路分流时,所有线路都会执行。 线路汇聚时,多条线路全部到达,才会继续后续节点的执行(如果有一条失败,则整个流程都会失败)
自定义漏洞的描述信息。 自定义漏洞类型新增成功后,不支持修改“类型标识”。 在页面右下角单击“确认”,完成新增操作。 新增完成后,可以在漏洞类型页面的表格中查看已新增的类型。 漏洞类型关联布局 系统内置漏洞类型暂不支持自定义关联布局。 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
权限”,并在权限页面右上角单击“创建自定义策略”。 配置策略。 策略名称:请设置为“租户采集最小权限策略”。 策略配置方式:选择“JSON视图”。 策略内容:请直接复制粘贴以下内容。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 { "Version":
合到一起,以完成某个特定的安全运营过程和规程。旨在帮助企业和组织的安全团队快速并高效地响应网络威胁,实现安全事故的高效自动化响应处置。主要内容包括运营对象管理、剧本编排管理、页面布局管理、插件管理。 设置:设置日志采集或日志接入相关配置,实现日志采集或日志接入安全云脑。 父主题:
创建用户组、用户并授予SecMaster权限 SecMaster自定义策略 SecMaster权限及授权项 SecMaster FullAccess策略内容 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
流程中的循环体。 系统插件 排他网关 线路分流时,根据条件表达式选择多条线路中的一条执行。 线路汇聚时,多条线路只要有一条线路到达则继续后面的节点执行。 并行网关 线路分流时,所有线路都会执行。 线路汇聚时,多条线路全部到达,才会继续后续节点的执行(如果有一条失败,则整个流程都会失败)
断已不适用,可以进行批量取消阻断操作。 约束与限制 应急策略目前仅支持CFW/WAF/VPC安全组/IAM的黑名单策略。 单用户单工作空间内容最多新增300条支持阻断老化的应急策略,全量最多新增1300条应急策略。同时,单次下发策略阻断对象数量限制如下: 当需要下发策略至CFW时
步骤四:配置和启用相关检查 启用告警模型、剧本,执行基线检查,并配置策略管理,全面检查资源。 启用内置模型:可以利用模型对日志数据进行监控,如果检测到满足触发条件的内容时,将产生告警提示。 启用剧本:可以实现安全事件的高效、自动化响应处置。 执行基线检查:可以了解最新的云服务基线配置状态,获取云服务基线的风险配置。
设置告警的查询规则,设置完成后可以单击“运行”,查看当前运行结果。 查询分析语句由查询语句和分析语句构成,格式为查询语句|分析语句,查询分析语句语法详细内容请参见查询与分析语法概述。 说明: 如果筛留字段为text类型时,默认会使用MATCH_QUERY进行分词查询。 查询计划 设置告警查询计划。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
