检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
idents/search 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目id workspace_id 是 String 工作空间id 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是
strings 表达式内容列表 响应参数 状态码: 200 表6 响应Header参数 参数 参数类型 描述 X-request-id String 请求ID,格式为:request_uuid-timestamp-hostname 表7 响应Body参数 参数 参数类型 描述 code String
合规基线日志 secmaster-baseline 7~10 天 对象存储服务(Object Storage Service,OBS) 访问日志 obs-access 7~10 天 入侵防御系统(Intrusion Prevention System,IPS) 攻击日志 nip-attack
set=UTF-8 响应参数 状态码: 200 表4 响应Header参数 参数 参数类型 描述 X-request-id String 请求ID,格式为:request_uuid-timestamp-hostname 表5 响应Body参数 参数 参数类型 描述 code String
表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID workspace_id 是 String 工作空间ID version_id 是 String 剧本版本ID 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token
/v1/{project_id}/subscriptions/orders 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。
情况进行排查处理。 系统行为异常/高危命令执行 数据来源 主机安全告警日志 告警呈现 【dangercmd】【HSS】主机:{{ipList}}执行dangercmd,{{__time}} 监控场景主机执行 高危命令 告警对应字段 高危命令在安全云脑的告警中对应的字段查看方法如下:
seline/search 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目id workspace_id 是 String 工作空间id 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是
set=UTF-8 响应参数 状态码: 200 表4 响应Header参数 参数 参数类型 描述 X-request-id String 请求ID,格式为:request_uuid-timestamp-hostname 表5 响应Body参数 参数 参数类型 描述 code String
在目标管道中,查看投递的日志信息。 投递到OBS桶 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 单击页面左上方的,选择“存储 > 对象存储服务”,默认进入桶列表管理页面。 在桶列表页面中,单击新增数据投递时选择的OBS桶的名称,进入目标OBS桶详情页面。 在OBS桶详情页面,查看投递的日志信息。
在分类映射管理页面中,单击“创建”,进入创建分类映射页面。 在创建分类映射页面中,配置分类映射参数信息。 图3 创建分类映射 在左侧“基本信息配置”栏中,配置分类映射的基本信息,参数说明如表1所示。 表1 配置基本信息 参数名称 参数说明 名称 自定义分类映射名称。 数据类 选择对应的数据类。 描述 自定义分类映射描述信息。
IPv6:源地址为::/0 OBS桶服务端加密检查 OBS服务端加密是在上传对象到桶时,将数据在服务端加密成密文后存储。再次下载加密对象时,存储的密文会先在服务端解密为明文,再反馈给用户。将数据加密后存储到OBS桶中,提高数据的安全性。 检查所有OBS桶是否开启服务端加密。 OBS桶的ACL权限检查
IPv6:源地址为::/0 OBS桶服务端加密检查 OBS服务端加密是在上传对象到桶时,将数据在服务端加密成密文后存储。再次下载加密对象时,存储的密文会先在服务端解密为明文,再反馈给用户。将数据加密后存储到OBS桶中,提高数据的安全性。 检查所有OBS桶是否开启服务端加密。 OBS桶的ACL权限检查
体操作,请参见初始化数据盘。 进行磁盘分区操作。 登录到当前安装isap-agent节点,执行如下命令,查看当前节点的磁盘情况: lsblk 图3 查看节点磁盘大小情况 执行如下命令,进行磁盘分区: sh /opt/cloud/isap-agent/action/agent_controller_linux
在新增资产连接面板中,配置资产连接参数,参数说明如表1所示。 表1 资产连接参数说明 参数名称 说明 连接名称 输入资产连接名称。名称规则如下: 可输入英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(_)。 长度不能超过64个字符。 描述 可选参数,输入资产描述,描述信息长度不能超过64个字符。
输入查询分析语句,设置时间范围,并单击“查询/分析”。 在下方选择“图表统计”页签,并在图表统计页面右侧的“图表类型”中选择。 配置饼图参数。 表1 饼图参数配置 参数类别 参数名称 参数说明 基本配置 标题 自定义线图标题名称。 图表配置 分类 数据分类。 数列值 分类数据对应的数值。 图例配置 显示图例
出告警有风险,就可以通过告警详情页面,单击右上角“一键阻断”,对攻击IP进行阻断。 配置阻断信息。 图5 一键阻断 表1 一键阻断 参数名称 参数说明 阻断对象 告警攻击IP。 (可选)标签 自定义应急策略的标签。 操作连接 选择该策略的操作连接,具体请参见表2。 阻断老化 确认是否老化该条阻断。
或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS)或云日志服务(LTS),才可在OBS桶或LTS日志组里面查看
请在HSS漏洞管理页面,对Sudo漏洞进行修复处理。 OBS桶服务端加密检查 OBS服务端加密是在上传对象到桶时,将数据在服务端加密成密文后存储。再次下载加密对象时,存储的密文会先在服务端解密为明文,再反馈给用户。将数据加密后存储到OBS桶中,提高数据的安全性。 请在OBS中开启服务端加密。 CTS启用检查
旨在帮助企业快速发现和响应安全事件,实现对云负载、各类应用及数据的安全保护。 支持接入的云产品和日志 安全云脑支持集成WAF、HSS、OBS等多种华为云云产品的日志数据。集成后,可以检索并分析所有收集到的日志,且默认存储7天。 具体支持接入的云服务日志请参见支持接入的日志。 约束与限制
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
