检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
威胁检测服务购买后如何使用? 您完成创建威胁检测引擎和配置追踪器两步操作后,即可正常使用。 步骤一:创建威胁检测引擎 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图 威胁检测服务首页所示。 图1
步骤二:配置追踪器 在创建威胁检测引擎时,默认开启了CTS服务日志检测,但是此时MTD服务不能正常获取CTS服务的日志数据源,为了保证威胁检测服务能正常获取CTS服务的日志数据源,您需要配置追踪器。 本章节将介绍配置追踪器的详细操作。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。
None 操作指导 威胁检测服务 MTD 配置追踪器 02:02 配置追踪器 云容器引擎 CCE 熟悉云容器引擎控制台 07:25 熟悉云容器引擎控制台
步骤二:配置追踪器 在创建威胁检测引擎时,默认开启了CTS服务日志检测,但是此时MTD服务不能正常获取CTS服务的日志数据源,为了保证威胁检测服务能正常获取CTS服务的日志数据源,您需要配置追踪器。 本章节将介绍配置追踪器的详细操作。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。
什么是威胁检测服务? 此服务集成了AI智能引擎、威胁情报、规则基线三种检测方式,智能检测来自多个云服务(包含IAM服务、DNS服务、CTS服务、OBS服务、VPC服务)日志数据中的访问行为,去发现是否存在潜在威胁,对可能存在威胁的访问行为生成告警信息,输出告警结果。您可通过告警描述对告警信息进行核查
查看告警类型详情 IAM告警类型详情 CTS告警类型详情 DNS告警类型详情 OBS告警类型详情 VPC告警类型详情
查看告警示例及统计 IAM告警类型详情 CTS告警类型详情 DNS告警类型详情 OBS告警类型详情 VPC告警类型详情
威胁检测服务的检测源头是什么? 威胁检测服务的检测源头是日志,当前支持对接入的IAM日志、VPC日志,DNS日志、OBS日志和CTS日志进行分析,暂不支持其他类型的文件分析。 父主题: 产品咨询
修改记录 2022-10-26 第七次正式发布。 优化步骤一:购买和创建威胁检测引擎章节内容。 2022-01-14 第六次正式发布。 增加检查VPC能力,优化内容描述。 将步骤一:购买和创建威胁检测引擎和步骤二:配置追踪器合入威胁检测服务快速使用流程。 修改查看告警示例及统计。 2021-12-13
2022-05-06 第九次正式发布。 增加设置告警通知章节,说明告警通知设置方式。 2022-01-14 第八次正式发布。 增加检查VPC能力,优化内容描述。 将步骤一:购买和创建威胁检测引擎和步骤二:配置追踪器合入威胁检测服务使用。 修改查看告警类型详情。 2021-12-13
刷新应用场景章节,新增威胁事件告警、协同服务相关描述。 2022-03-08 第八次正式发布。 修改什么是威胁检测服务。 2022-01-14 第七次正式发布。 增加检查VPC能力,优化内容描述。 2021-11-17 第六次正式发布。 增加细粒度授权,修改MTD权限管理。 2021-10-30 第五次正式发布。
TS日志、OBS日志、VPC日志,持续实时监控日志中访问者的IP或域名是否存在潜在的恶意活动和未经授权行为并进行告警。此服务集成了AI智能引擎、威胁情报、规则基线三种检测方式,智能检测来自多个云服务(包含IAM服务、DNS服务、CTS服务、OBS服务、VPC服务)日志数据中的访问
开启日志检测 前提条件 已购买威胁检测服务且已创建检测引擎。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图1所示。 图1 威胁检测服务首页 在左侧选择“设置 > 检测设置”,进入“检测设置”界面。
发现与历史情报相似的洋葱网络IP访问。 默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 Zombie 发现与历史情报相似的恶意网站、僵尸网络IP访问。 默认严重级别:中危
发现与历史情报相似的洋葱网络IP访问。 默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 Zombie 发现与历史情报相似的恶意网站、僵尸网络IP访问。 默认严重级别:中危
的账户中的安全组、路由和ACL的网络访问权限。 严重级别:非固定,MTD根据告警实际威胁程度定级。 数据源:CTS日志。 此调查结果通知您,发现与历史情报相似的恶意IP尝试调用一个API,该API通常用于更改您的账户中的安全组、路由和ACL的网络访问权限。 修复建议: 如果此IP
的账户中的安全组、路由和ACL的网络访问权限。 严重级别:非固定,MTD根据告警实际威胁程度定级。 数据源:CTS日志。 此调查结果通知您,发现与历史情报相似的恶意IP尝试调用一个API,该API通常用于更改您的账户中的安全组、路由和ACL的网络访问权限。 修复建议: 如果此IP
版本规格说明所示。威胁检测服务有两种日志检测量计算方式,检测DNS和VPC服务日志按流量计算,检测CTS、IAM和OBS服务日志按事件(一个日志为一个事件)计算。 表1 版本规格说明 版本规格 DNS和VPC日志检测量 CTS日志检测事件数 IAM日志检测事件数 OBS日志检测事件数
版本规格说明所示。威胁检测服务有两种日志检测量计算方式,检测DNS和VPC服务日志按流量计算,检测CTS、IAM和OBS服务日志按事件(一个日志为一个事件)计算。 表1 版本规格说明 版本规格 DNS和VPC日志检测量 CTS日志检测事件数 IAM日志检测事件数 OBS日志检测事件数
挖掘数据特性,创新算法架构 在算法方面,分析DNS域名格式特点,创新的结合BERT思想构造三通道CNN模型,相比传统直接将域名输入到神经网络的方法具有更好的检测效果,在业界内较先采用。 多模型协同检测,准确识别威胁 威胁检测服务除威胁情报和规则基线检测外,还提供4类基于AI智能
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
