检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在所有操作页签,勾选“选择所有操作”。 图3 选择所有操作 单击“确定”。 步骤二:给用户的用户组授权 在统一身份认证服务中,左侧导航栏选择“用户组”。 在目标子账号所属的用户组所在行的“操作”列,单击“权限配置”。 图4 权限配置 在弹出的“授权记录”界面,单击“授权”。 图5 授权 在授权界面, “在以下作用范围”选择“区域级项目”。
None 操作指导 威胁检测服务 MTD 配置追踪器 02:02 配置追踪器 云容器引擎 CCE 熟悉云容器引擎控制台 07:25 熟悉云容器引擎控制台
查看服务简介。服务简介包含威胁检测服务的服务简介,包含服务介绍和架构。 当您所在的Region未购买威胁检测服务时,服务简介下方会出现未购买服务的提示,如图2所示,您可以单击“立即购买”进入服务购买界面,购买该服务。 图2 未购买服务 当您所在的Region已购买威胁检测服务,服务
威胁检测服务续费是在原已购买的服务规格的基础上,延长使用时间,因此续费操作不能变更服务规格。续费后,您可以继续使用威胁检测服务。 服务到期前,系统会以短信或邮件的形式提醒您服务即将到期,请您收到提醒后及时完成续费操作。 服务到期后,如果您没有按时续费,华为云将提供一定的资源保留期,保留期结
如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。 Adware 发现与历史情报相似的广告软件访问。 默认严重级别:中危。 数据源:DNS日志。 此调查结果通知您,发现一个与历史情报相似的恶意广告软件访问。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。 CnC 发现与历史情报相似的CNC服务器访问。
如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。 Adware 发现与历史情报相似的广告软件访问。 默认严重级别:中危。 数据源:DNS日志。 此调查结果通知您,发现一个与历史情报相似的恶意广告软件访问。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。 CnC 发现与历史情报相似的CNC服务器访问。
除MTD的权限,控制员工对MTD资源的使用范围。 如果账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用MTD的其它功能。 IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》。
该章节指导您删除导入的威胁情报文件。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图1所示。 图1 威胁检测服务首页 在左侧选择“设置 > 威胁情报”,进入“威胁情报”界面。 在待删除的威胁情报
删除白名单 该章节指导您删除上传的白名单文件。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图1所示。 图1 威胁检测服务首页 在左侧选择“设置 > 威胁情报”,进入“威胁情报”界面。
该章节指导您关闭Region下的服务日志检测,关闭后停止对服务新产生的日志数据的检测,不影响历史已检测的数据及结果。 前提条件 已购买威胁检测服务且已创建检测引擎。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图1所示。
威胁情报”,进入“威胁情报”界面。 查看威胁情报的详细信息,如表1所示。 表1 威胁情报 参数 说明 文件名称 威胁情报文件的名称。 类型 威胁情报文件的类型,包括“IP”和“域名”。 格式 威胁情报文件的格式,目前仅支持Plaintext格式的文件,详情请参见如何编辑Plaintext格式的对象?。 上传时间
在页签“日志数据源”,可查看开启/未开启日志数据源的检测服务,如图2所示,单击对应服务的开关可关闭/开启对应服务的日志数据源检测,相关参数说明如表1所示。 图2 日志数据源 表1 日志检测 参数 说明 开关状态 是否开启该服务的日志检测。 :开启状态 :关闭状态 累计流量 从开启服务日志检测到当前,累计的日志检测总量。
修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件,如有必要,建议您终止当前ECS,根据需要使用新ECS来做代替。 Cryptomining 在租户侧网络场景下,检测到某些ECS可能正在访问与挖矿活动相关联的IP,可能从事非法活动。 默认严重等级:高危。
选择“白名单”页签,查看白名单的详细信息,如表1所示。 表1 白名单 参数 说明 文件名称 白名单文件的名称。 类型 白名单文件的类型,包括“IP”和“域名”。 格式 白名单文件的格式,目前仅支持Plaintext格式的文件,详情请参见如何编辑Plaintext格式的对象?。 上传时间 白名单文件的上传时间。
修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件,如有必要,建议您终止当前ECS,根据需要使用新ECS来做代替。 Cryptomining 在租户侧网络场景下,检测到某些ECS可能正在访问与挖矿活动相关联的IP,可能从事非法活动。 默认严重等级:高危。
期时长等信息请参考资源停止服务或逾期释放说明。 如果您所购买的服务规格到期,且未进行续购,MTD将根据您的使用情况按需计费。 欠费 如果存在月检测量超出您所购买的服务规格的情况,检测量“叠加包”的按需购买可能会导致您的账号欠费。 欠费后,您可以在管理控制台费用中心查询欠费详情。为
单击“存储至OBS桶”后的开启转存,如图2所示,将检测结果按照指定的频率存储至OBS桶,相关参数说明如表1所示。 图2 存储至OBS桶 表1 存储检测结果 参数名称 参数说明 取值样例 结果更新频率 威胁检测服务是实时检测的方式,你可自定义将检测结果数据存储到OBS桶的频率。 每30分钟更新一次
设置告警通知 MTD可以将检测出的异常行为(潜在的恶意活动、未经授权行为等)通过短信或邮件的方式发送给用户。 设置告警通知需要联动态势感知服务(SA)对接消息通知服务(SMN)来实现,具体操作方法见本章节进行处理。 前提条件 已购买MTD并创建威胁检测引擎,具体操作请参见购买和创建威胁检测引擎。
威胁检测服务快速使用流程 在华为云控制台通过购买威胁检测服务,创建威胁检测引擎,配置追踪器实现威胁检测服务的使用,配置流程如图1所示。 图1 威胁检测配置使用流程 步骤一:购买和创建威胁检测引擎 步骤二:配置追踪器
导入白名单 该章节指导您导入Plaintext格式的可信IP列表,导入后服务将基于您情报内的IP地址或域名进行威胁检测。 前提条件 Plaintext格式的白名单已上传至对象存储服务,上传白名单至对象存储服务的具体方法请参见上传文件。 目前只能新增1个白名单文件,文件内可容纳10000条IP或域名记录。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
