检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
添加黑白名单IP地址组 IP地址组集中管理IP地址或网段,被黑白名单规则引用时可以批量设置IP/IP地址段。 如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,为该企业项目添加IP/IP段地址组。 前提条件 已成功购买WAF。
威胁情报”,进入“威胁情报”界面。 选择“白名单 > 添加白名单”,弹出“添加白名单”对话框,如图1所示,相关参数如表1所示。 图2 添加白名单 表1 白名单参数说明 参数名称 参数说明 取值样例 文件名称 添加的白名单文件名称,建议自定义。 SecurityList 对象类型 选择需要从OBS桶添加至MTD服务的对象文件类型。
在左侧选择“设置 > 威胁情报”,进入“威胁情报”界面。 选择“白名单”页签,查看白名单的详细信息,如表1所示。 表1 白名单 参数 说明 文件名称 白名单文件的名称。 类型 白名单文件的类型,包括“IP”和“域名”。 格式 白名单文件的格式,目前仅支持Plaintext格式的文件,详情
威胁情报”,进入“威胁情报”界面。 选择“白名单”页签,在待删除的白名单文件的“操作”列,单击“删除”,如图2所示。 图2 删除白名单 在弹出的“删除白名单”对话框中,单击“是”,完成删除白名单文件。 父主题: 白名单管理
白名单管理 导入白名单 删除白名单 查看白名单信息
MTD服务支持添加所有服务发现的情报/白名单IP或域名至名单库,添加后MTD将优先关联检测名单库中的IP或域名,及时发现(情报)/忽略(白名单)名单库中IP/域名地址的活动,降低检测响应时间,提升检测效率,减轻MTD运行负载。 如果目标IP或域名同时出现在情报和白名单中,因白名单优先级更
如果用户端运营商为小运营商(非中国电信、中国移动、中国联通、中国铁通),请添加内网IP段。 规则 支持配置IP地址和IP&掩码格式的网段,最多支持配置500个,一行一个。 网段“IP/掩码”中的IP必须是该网段IP区间首个主机IP地址。 多个完全重复的IP/IP段将合并为一个。
短信服务接入是否支持IP白名单?如何配置? 支持。短信服务支持应用级的IP白名单配置,请在创建短信应用时自行配置。 已配置IP白名单的短信应用下,可按需申请多个短信签名和短信模板,对已有业务无影响。 新创建的短信应用,需重新配置IP白名单。 父主题: 认证相关
表4 请求Body参数 参数 是否必选 参数类型 描述 type 是 Integer IP黑白名单类型(0:关闭IP黑白名单功能,1:黑名单,2:白名单)。 ip_list 否 Array of strings IP黑白名单列表。
此外,用户还可以根据实际的网络环境或业务需要,从设备维度(针对某设备)手动下发IP黑名单,作为上述IP黑名单下发的补充手段,以提高安全防护的灵活性。 IP白名单是一种放通措施,华为乾坤将IP白名单下发给设备后,设备会放通命中IP白名单的报文。
修改IP黑/白名单 功能介绍 修改推流/播放域名的IP黑/白名单,当前仅支持ipv4。 黑名单模式:禁止指定的IP或网段 白名单模式:仅允许指定的IP或网段 默认:全放通。 调用方法 请参见如何调用API。
IP黑白名单 您可以将禁止或允许播放的IP地址添加到IP黑白名单中,CDN会根据名单对播放请求者的IP进行识别和过滤,允许或拒绝播放请求。 注意事项 该功能为可选项,默认不启用。 IP黑名单与IP白名单互斥,不支持同时设置。 黑名单或白名单中的IP最多支持配置100个。
IP黑白名单 您可以将禁止或允许播放的IP地址添加到IP黑白名单中,CDN会根据名单对播放请求者的IP进行识别和过滤,允许或拒绝播放请求。 注意事项 该功能为可选项,默认不启用。 IP黑名单与IP白名单互斥,不支持同时设置。 黑名单或白名单中的IP最多支持配置100个。
添加黑白名单IP地址组 IP地址组集中管理IP地址或网段,被黑白名单规则引用时可以批量设置IP/IP地址段。 约束条件 添加IP地址组时,请确保IP/IP地址段未添加到其他IP地址组,重复添加同一IP/IP地址段会导致添加IP地址组失败。 规格限制 每个用户可以拥有50个地址组。
如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。 Miner 发现与历史情报相似的矿机访问。 默认严重级别:中危。 数据源:DNS日志。 此调查结果通知您,发现一个与历史情报相似的矿机访问。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。 MiningPool
如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。 Miner 发现与历史情报相似的矿机访问。 默认严重级别:中危。 数据源:DNS日志。 此调查结果通知您,发现一个与历史情报相似的矿机访问。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。 MiningPool
修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 Miner 发现与历史情报相似的挖矿攻击IP访问。 默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。
修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 Miner 发现与历史情报相似的挖矿攻击IP访问。 默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。
如何编辑Plaintext格式的对象? 创建打算上传至OBS桶的白名单和情报对象文件时,对象文件仅支持Plaintext格式,文件内可写入的IP或域名条数上限为10000条。 Plaintext格式即您想要上传至OBS桶的白名单列表或情报列表中,IP地址或域名范围必须用回车键隔开,每行只显示一个,如下图所示。
此调查结果通知您,发现一个与历史情报相似的恶意IP尝试调用API,该API通常用于更改您的账户中各种资源的安全访问策略。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 UserPermissions 发现与历史情报相似的恶意IP尝试调用一个API,该API通常用于在您的账户中添加、修改或删除IAM用户、组或策略。
此调查结果通知您,发现一个与历史情报相似的恶意IP尝试调用API,该API通常用于更改您的账户中各种资源的安全访问策略。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 UserPermissions 发现与历史情报相似的恶意IP尝试调用一个API,该API通常用于在您的账户中添加、修改或删除IAM用户、组或策略。
全运维人员的响应闭环。 黑/白名单汇集 可将MTD服务或其它所有服务历史发现的情报通过纯文本(Plaintext)格式添加到威胁检测服务中,也可将白名单添加到威胁检测服务,实现自定义威胁检测的范围,威胁检测服务会忽略白名单中IP地址的活动并对情报中IP地址的活动生成告警结果。 跨服务联动响应
根据您的业务需要,您可以设置检测类型、添加威胁情报、添加威胁白名单。此外,您也可以实时查看检测结果、分析告警事件,以便及时处理威胁隐患、优化服务安全防护措施,更好的防护您的云上业务。 常用操作 开启日志检测 查看检测结果 导入威胁情报 导入白名单 同步检测结果 设置告警通知 常见问题
OBS,实现数据的更长时间存储。 名单库管理策略 您可自定义上传和添加情报/白名单到OBS桶,异步同步到威胁检测服务,上传后检测服务将优先关联检测名单库中的IP和域名,及时发现(情报)/忽略(白名单)名单库中IP/域名地址的活动,降低检测响应时间,减轻服务运行负载。
功能描述 阶段 相关文档 1 威胁检测服务 威胁检测服务(Managed Threat Detection,MTD)通过集成AI智能引擎、威胁黑白名单、规则基线等检测模型,持续实时识别各类云服务日志中的潜在威胁(潜在的恶意活动、未经授权行为)并输出分析结果,从而提升用户告警、事件检测准确
威胁情报数据源及可信IP列表,导入后服务将优先关联检测您导入的情报内的IP地址或域名进行威胁检测。 前提条件 Plaintext格式的威胁情报已上传至对象存储服务,上传威胁情报至对象存储服务的具体方法请参见上传文件。 情报:也称作黑名单,指受访问时被禁止的IP或域名,目前只能新增
如果30秒内,账户暴力破解次数达到5次及以上,HSS就会拦截该源IP,禁止其再次登录。 根据账户暴力破解告警详情,如“攻击源IP”、“攻击类型”和“拦截次数”,您能够快速识别出该源IP是否为可信IP,如果为可信IP,您可以通过手动解除拦截的方式,解除拦截的可信IP。 账户异常登录 登录或获取token的成功率突变或总次数突增,触发威胁告警。
您可对白名单信息进行导入、删除,通过导入Plaintext格式的可信IP列表,导入后服务将优先对白名单内的IP地址或域名进行忽略,删除后将取消白名单信息的忽略规则。 支持区域:“华南-广州”、“华东-上海一”、“华北-北京四”。 导入白名单 删除白名单 查看白名单信息 数据同步 威胁检测服务告警结果默认保存
数据联动 威胁检测服务支持导入第三方STIX,CSV格式威胁情报及可信IP列表至OBS,异步同步到威胁检测服务,上传后检测服务将优先关联检测名单库中的IP和域名,及时发现(情报)/忽略(白名单)名单库中IP/域名地址的活动,减少检测响应时间,减轻服务运行负载;同时支持将检测结果
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
