检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
创建或复制安全报告 操作场景 安全云脑提供安全报告功能。您可以通过创建安全报告,及时掌握资产的安全状况数据。 本章节主要介绍如何新建安全报告,以及如何通过复制已创建的报告快速创建报告。 约束与限制 单账号单workspace内,最多可创建10个安全报告(包含日报、周报和月报)。 前提条件
管理剧本版本 操作场景 本章节将介绍如何执行预览剧本版本、编辑剧本版本、激活/失活剧本版本、复制剧本版本、删除剧本版本等操作。 预览剧本版本 草稿版本暂不支持预览。 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster
新增应急策略 操作场景 应急策略作为告警一键阻断的止血手段,可根据告警来源选择相应的类型对攻击者进行阻断。表1中为推荐设置,除此之外,您也可以结合对多条告警的综合调查结果,对单个攻击源采用多种类型进行阻断。 表1 推荐阻断策略 告警类型 对应防线 推荐阻断策略 HSS告警 主机防线
值班响应大屏 操作场景 在现场讲解汇报、实时监控等场景下,为了获得更好的演示效果,通常需要将安全云脑服务的分析结果展示在大型屏幕上。如果只是单纯将控制台界面放大显示,视觉效果并不是很理想。此时可以利用安全大屏,展示专为大型屏幕设计的服务界面,获得更清晰的态势信息和更好的视觉效果。
关键运维操作实时通知 剧本说明 安全云脑提供的关键运维操作实时通知剧本,基于运维操作,对关键运维操作进行邮件实时通知。 “关键运维操作实时通知”剧本已匹配“关键运维操作实时通知”流程,该流程是通过消息通知服务,当有关键运维操作时,发送通知给运营人员。 图1 关键运维操作实时通知流程
威胁态势大屏 操作场景 在现场讲解汇报、实时监控等场景下,为了获得更好的演示效果,通常需要将安全云脑服务的分析结果展示在大型屏幕上。如果只是单纯将控制台界面放大显示,视觉效果并不是很理想。此时可以利用安全大屏,展示专为大型屏幕设计的服务界面,获得更清晰的态势信息和更好的视觉效果。
启用剧本 剧本是处理一类安全问题的方法描述,是安全云脑在安全编排系统中的形式化表述。 安全云脑默认提供了“告警指标提取”、“主机告警状态同步”、“重复告警自动关闭”等剧本。其中,多个剧本已默认启用,无需手动启用。默认已启用以下剧本: 主机告警状态同步、高危漏洞自动通知、主机防线告警关联历史处置信息
漏洞管理 漏洞是攻击者入侵企业系统的主要手段之一,攻击者可以利用漏洞获取系统权限、窃取敏感信息或者破坏系统功能。完成漏洞整改可以有效地提高系统的安全性,预防潜在的攻击。 安全云脑提供漏洞修复帮助用户针对配置隐患和系统漏洞进行排查。安全云脑的漏洞管理分为Linux漏洞、Windows
日志字段含义 如果您通过控制台接入了WAF、HSS、Anti-DDoS、CFW、OBS、CTS、APIG、IPS、DBSS、DSC等服务日志数据时,安全云脑会将日志来源、时间戳等信息以Key-Value对的形式添加到日志中。 本章节将介绍各字段的含义。 通用字段:通用字段含义。 sec-waf-attack
处理检查结果 本章节介绍如何处理检查结果,请根据您的需要进行选择: 修复风险项:根据检测结果修复风险检查项。 反馈检查结果:检查项中的手动检查项,您在线下执行检查后,需要在控制台上反馈检查结果,以便计算检查项合格率。 忽略检查项:如果您对某个检查项有其他检查要求(例如,“会话超时策略检查
管理资产连接 操作场景 含义:资产连接是安全编排流程中,每个插件节点需要使用到的连接域名和鉴权参数。 作用:用于在安全编排的流程执行过程中,每个插件节点运行时,传入需要连接的域名信息,以及在访问该域名时,需要使用到的用户鉴权信息,如用户名/密码、账号AK/SK等。 资产连接与插件的关系
管理遵从包 本章节介绍如何管理遵从包,包括:查看遵从包、添加自定义遵从包、导入遵从包、导出遵从包。 约束与限制 导入遵从包数据时,有以下限制条件: 支持导入.xlsx格式的文件。 一次仅支持导入一个文件,且单次导入数据条不超过100条。 查看遵从包 登录管理控制台。 单击管理控制台左上角的
管理检查项 基线检查提供了内置检查项,详细说明请参见内置检查项。 本章节介绍管理检查项,包括:查看检查项、创建自定义检查项、导入检查项、导出检查项。 约束与限制 自定义检查项创建成功后,暂不支持对新增的单个检查项进行检查,需要执行立即检查或检查该检查项绑定的遵从包,才可以查看自定义检查项的检查结果
更新告警规则 功能介绍 Update alert rule 调用方法 请参见如何调用API。 URI PUT /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/{rule_id} 表1 路径参数 参数 是否必选
新增节点 操作场景 本章节将介绍如何新增以及编辑节点即如何安装组件控制器(isap-agent)。 安装路径建议为“/opt/cloud”,本章节也以此路径为例进行介绍。如需安装在其他自定义路径中,请根据路径修改,例如,如果安装路径为“/tmp”,则将该章节操作步骤中的安装路径改为
管理流程版本 操作场景 本章节将介绍如何复制流程版本、编辑流程版本、提交流程版本、激活/失活流程版本、删除流程版本。 复制流程版本 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面
查询与分析日志 操作场景 数据收集成功后,您可以在查询分析页面对收集到的日志数据进行实时查询分析。 本章节将介绍如何对日志数据进行查询分析,请根据您的需要选择查询分析方式: 方式一:输入查询条件进行查询分析 方式二:使用已有字段进行查询分析 方式三:创建快速查询 操作查询分析结果
基线检查 安全云脑支持根据基线检查计划检查您的服务基线配置是否存在风险,提供了“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”、“华为云安全配置基线”几大风险类别遵从包。 护网/重保期间推荐使用“安全上云合规检查1.0”和“护网检查”两个规范。 检查之后分类呈现云服务配置检测结果
综合态势感知大屏 操作场景 在现场讲解汇报、实时监控等场景下,为了获得更好的演示效果,通常需要将安全云脑服务的分析结果展示在大型屏幕上。如果只是单纯将控制台界面放大显示,视觉效果并不是很理想。此时可以利用安全大屏,展示专为大型屏幕设计的服务界面,获得更清晰的态势信息和更好的视觉效果
启用安全模型 在智能建模页面安全云脑内置了基于应用、网络、主机多维度的安全分析模型,自动化的完成数据汇聚、分析和报警。 护网/重保期间建议使用全量内置的模板创建告警模型并启用模型。 通过模型汇聚分析筛选告警,降低误报率,提升值班人员分析处理效率。同时,也可以结合用户场景编辑模型进行模型调整
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
