检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
您在某个区域(Region)启用威胁检测服务时,将在该区域(Region)生成一个检测器,威胁检测服务的所有检测结果都与检测器关联。 数据源 数据源是指威胁检测服务分析、处理的各类服务日志。为了检测各种未经授权的恶意活动,威胁检测服务会获取您授权开启检测的服务(包含IAM、DNS
Algorithm域名生成算法)是一种使用时间,字典,硬编码的常量利用一定的算法生成的域名。 DGA生成的域名具有微随机性,用于中心结构的僵尸网络中与C&C服务器的连接,以逃避域名黑名单检测技术。 父主题: 产品咨询
由浅入深,带您玩转MTD 弹性云服务器一 01 了解 了解威胁检测服务的功能特性和应用场景,有助于您更准确的匹配实际业务,有效配置云上安全威胁防护策略。 产品介绍 什么是威胁检测服务 功能特性 产品优势 应用场景 03 入门 通过创建威胁检测引擎和配置追踪器开启威胁检测服务,帮您实时检测目标区域中各服务的日志数据源。
检测设置”,进入“检测设置”界面。 选择需要开启检测的服务日志,单击,服务日志下的图标变为,表示目标服务的日志实时检测已开启,如图2所示。 图2 已开启服务日志检测 首次开启CTS的服务日志会出现需配置追踪器的提示框,需要您手动配置追踪器,威胁检测服务才能正常对接日志进行威胁检测。 单击提示框中
访问通过算法生成的域。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。 默认严重级别:高危。 数据源:DNS日志。 此调查结果通知您,发现一台虚拟机访问通过算法生成的域。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。
访问通过算法生成的域。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。 默认严重级别:高危。 数据源:DNS日志。 此调查结果通知您,发现一台虚拟机访问通过算法生成的域。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。
再次单击“云审计服务日志(CTS)”后的,开启CTS日志检测,页面右上角提示“设置成功!”,如图 开启云审计服务日志所示。 图7 开启云审计服务日志 在页面左上角选择“检测结果”进入检测结果页面,此时页面中“以下服务无法直接获取日志数据,需要您进行配置”的提示框已关闭,并且显示已开启云审计服务日志数据检测,表示配置追踪器成功。如图
作请参见同步检测结果。 单击右上角“关闭”后,“流程引导”模块将不再默认显示。 当您未在当前Region创建检测引擎并开启全部的日志检测时,流程引导模块会默认开启且无法关闭。 关闭后,可单击界面上方的“流程引导”,再次显示流程引导模块的内容。 查看规格包详情。页面右上角会显示购买
再次单击“云审计服务日志(CTS)”后的,开启CTS日志检测,页面右上角提示“设置成功!”,如图 开启云审计服务日志所示。 图5 开启云审计服务日志 在页面左上角选择“检测结果”进入检测结果页面,此时页面中“以下服务无法直接获取日志数据,需要您进行配置”的提示框已关闭,并且显示已开启云审计服务日志数据检测,表示配置追踪器成功。如图
再次单击“云审计服务日志(CTS)”后的,开启CTS日志检测,页面右上角提示“设置成功!”,如图 开启云审计服务日志所示。 图5 开启云审计服务日志 在页面左上角选择“检测结果”进入检测结果页面,此时页面中“以下服务无法直接获取日志数据,需要您进行配置”的提示框已关闭,并且显示已开启云审计服务日志数据检测,表示配置追踪器成功。如图
检测主机异地登录行为并进行告警。 异地登录检测信息包括“登录源IP”、“登录时间”,攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录,则触发安全事件告警。 若账户暴力破解成功,登录到云主机,则触发安全事件告警。 异常行为 识别分布式暴破攻击 有效检测通过HTTP隧道使用随机公网IP
于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对MTD服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。
None 操作指导 威胁检测服务 MTD 配置追踪器 02:02 配置追踪器 云容器引擎 CCE 熟悉云容器引擎控制台 07:25 熟悉云容器引擎控制台
和大小的数据。用户根据需要可开启数据转存,可将威胁检测结果存储至OBS,满足合规要求,详情请参见同步检测结果。 与消息通知服务的关系 消息通知服务(Simple Message Notification,简称SMN)提供消息通知功能。威胁检测服务开启通知设置后,如果检测到恶意活动
要,建议您终止当前ECS,根据需要使用新ECS来做代替。 DDoSTcp 在租户侧网络场景下,检测到某些ECS可能正被用于TCP协议进行DoS攻击,使入口 | 出口流量会瞬间暴增。 默认严重等级:高危。 数据源:VPC流日志。 此调查结果通知您,检测到某些ECS可能正被用于TCP协议进行DoS攻击,使入口
要,建议您终止当前ECS,根据需要使用新ECS来做代替。 DDoSTcp 在租户侧网络场景下,检测到某些ECS可能正被用于TCP协议进行DoS攻击,使入口 | 出口流量会瞬间暴增。 默认严重等级:高危。 数据源:VPC流日志。 此调查结果通知您,检测到某些ECS可能正被用于TCP协议进行DoS攻击,使入口
此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 CnC 发现与历史情报相似的CNC服务器IP访问。 默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议:
此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 CnC 发现与历史情报相似的CNC服务器IP访问。 默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议:
在页签“日志数据源”,可查看开启/未开启日志数据源的检测服务,如图2所示,单击对应服务的开关可关闭/开启对应服务的日志数据源检测,相关参数说明如表1所示。 图2 日志数据源 表1 日志检测 参数 说明 开关状态 是否开启该服务的日志检测。 :开启状态 :关闭状态 累计流量 从开启服务日志检测到当前,累计的日志检测总量。
选择需要停止检测的服务日志数据源,单击,服务日志下的图标变为,表示目标服务的日志实时检测已关闭,如图2所示。 图2 已关闭服务日志数据源 关闭开关后,状态显示为“未开启”,MTD将停止对该服务新产生的日志进行检测,但现有的检测结果将会为您保留,且不受影响。 父主题: 日志检测管理
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
