正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
boolean true 否 enableMetric 表4 udp连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 端口 port number 1025 是 采集节点端口好 解码类型 codec string plain 是 解码类型 plain:读取原始内容
sec-nginx-access 按需开启 -- -- 应用-疑似存在dos攻击风险 sec-nginx-access 按需开启 -- -- 应用-python恶意爬虫 sec-nginx-access 按需开启 -- -- 应用-用户异常登录疑似爆破 sec-nginx-access
在数据管道检索页面,单击右上角“索引配置”,页面右侧展示索引配置页面。 在索引配置页面中,配置索引参数。 开启索引状态。 索引状态默认开启,索引状态关闭时,将无法索引和查询采集到的日志。 配置索引参数,参数配置说明如表1所示。 表1 索引配置参数说明 参数名称 参数说明 字段名称
在组件管理页面中,单击待查看组件右上角“编辑配置”,右侧将弹出该组件的配置管理页面。 在节点配置栏中,单击节点列表左上角“添加”,并在弹出的“添加节点”框中选择节点后,单击“确认”。 单击页面右下角“保存并应用”。 等待一段时间,当组件状态为“应用完成”时,表示在当前节点上采集器Logstash已经安装完成。 图3
配置剧本 操作场景 本章节介绍如何配置剧本。配置后,当攻击者通过层层攻击到主机之后,进行告警,通知运营人员进行处置。 前提条件 已在安全云脑工作空间的“设置 > 数据集成”页面中接入来源为HSS和WAF的告警数据。 接入HSS和WAF攻击数据,并开启自动转告警开关,详细操作请参见数据集成。
配置剧本 操作场景 本章节介绍如何启用剧本,通过HSS恶意文件隔离查杀进行恶意软件和勒索软件告警处置。 前提条件 已在安全云脑工作空间的“设置 > 数据集成”页面中接入HSS告警数据,并开启自动转告警开关,详细操作请参见数据集成。 图1 接入HSS告警 配置并启用剧本 在安全云脑
DDoS防护策略配置: DDoS原生高级防护配置请参考:配置防护策略。 DDoS高防配置请参考:配置防护策略。 CFW防护策略配置请参考:配置入侵防御策略、管理基础防御规则。 WAF防护策略配置请参考:新增防护策略。 HSS防护策略配置请参考:开启主机防护、创建策略组、安全配置。 父主题:
检查项目 检查内容 主机高危端口暴露检查 HSS提供资产管理功能,主动检测主机中的开放端口,及时发现主机中含有风险的各项资产。 如果检测到开放了危险端口或者开放了不必要的端口,需要排查这些端口是否是正常业务使用,如果不是正常业务端口,建议关闭端口。对于危险端口建议进一步检查程序文件,如果存在风险建议删除或者隔离源文件。
(可选)配置并启用流程 操作场景 安全云脑默认提供了“WAF一键解封”、“主机告警状态同步”、“告警指标提取”等流程,且流程的初始版本(V1)也已启用,无需手动启用。 同时,还支持对已有流程进行自定义编辑,使用自定义流程。本章节将介绍如何配置并启用自定义版本的流程。 启用自定义版本的流程
(可选)配置并启用剧本 安全云脑默认提供了“告警指标提取”、“主机告警状态同步”、“重复告警自动关闭”等剧本。其中,多个剧本已默认启用,无需手动启用。默认已启用以下剧本: 主机告警状态同步、高危漏洞自动通知、主机防线告警关联历史处置信息、云脑WAF地址组关联策略、应用防线告警关联
Logtash组件配置项说明 租户采集Logstash采集器是安全云脑经过定制化处理的。其在不同传输场景可进行不同程度的优化配置,此处主要提供日志配置log4j2.properties、jvm.options运行内存优化配置。 jvm运行内存配置 图1 jvm.options 表1
忽略/取消忽略漏洞 操作场景 某些漏洞只在特定条件下存在风险,比如某漏洞必须通过开放端口进行入侵,如果主机系统并未开放该端口,则该漏洞不存在危害。如果评估后确认某些漏洞无害,可以忽略该漏洞,无需修复。忽略后,下次HSS漏洞扫描后仍然会对该漏洞进行告警,安全云脑也将同步漏洞信息。同
高危操作!请根据您的需要谨慎处理。 主机高危端口暴露检查 HSS提供资产管理功能,主动检测主机中的开放端口,及时发现主机中含有风险的各项资产。 如果检测到开放了危险端口或者开放了不必要的端口,需要排查这些端口是否是正常业务使用,如果不是正常业务端口,建议关闭端口。对于危险端口建议进一步检查程序文件,如果存在风险建议删除或者隔离源文件。
选择该指标的粒度,可选择以下粒度:首次发现、自产数据、需购买、外网直接查询。 其他参数 根据选择的不同类型,还需要配置对应的参数信息,请根据界面显示进行填写。 例如,当“类型”选择“ipv6”时,还需要配置IP地址、邮箱账户、地区等信息。 单击“确认”。 编辑情报指标 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
安全云脑的基线检查功能支持检测云服务关键配置项,通过执行扫描任务,检查云服务基线配置风险状态,分类呈现云服务配置检测结果,告警提示存在安全隐患的配置,并提供相应配置加固建议和帮助指导。 针对华为云服务关键配置项,安全云脑内置了“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”、“华为云安全配置基线”
单击待运行组件右上角“运行节点”,右侧将弹出该组件的运行节点信息。 查看配置: 单击待查看组件右上角“查看配置”,右侧将弹出该组件的详细配置信息。 编辑配置: 单击待查看组件右上角“编辑配置”,右侧将弹出该组件的配置管理页面。 在节点配置栏中,编辑节点配置信息。 添加节点:单击节点列表左上角“添加”,并
NIP攻击日志 网络-高危端口对外暴露 排查源IP对系统中的高危端口连接是否为业务需要。如果为业务需要,可修改模型脚本将该源IP过滤掉;如果非业务需要,则可修改相应安全组入方向规则,禁止高危端口暴漏公网,或者对源ip进行封堵拦截。同时为保证系统安全,尽量关闭不必要的端口。 侦察阶段典型告警
安全云脑支持检测云上资产遭受的各类攻击,并进行客观的呈现。 但是,如果您的云上资产在互联网上的暴露面非常少(所谓“暴露面”是指资产可被攻击或利用的风险点,例如,端口暴露和弱口令都可能成为风险点),那么遭受到攻击的可能性也将大大降低,所以,安全云脑可能会显示您的系统当前遭受的攻击程度较低。 如果您认为安
图表设置完成后,左侧可预览配置后的数据分析情况。 相关操作 下载日志:配置后,如需导出当前查询分析数据,可单击表格右上角“下载日志”,系统将下载当前查询分析日志数据至本地。 收起配置:图表配置完成后,在“预览图表”右侧单击“收起配置”,页面将不显示图表配置参数。 展开配置:图标配置收起后,如需
堵”流程,配置该剧本,需要对流程及流程中的插件进行适配。 图1 高危告警自动化安全封堵 前提条件 已在安全云脑工作空间的“设置 > 数据集成”页面中接入WAF访问日志或WAF攻击日志,详细操作请参见数据集成。 图2 接入WAF日志数据 有可用的微步次数。 步骤一:配置资产连接 使