检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
、Mysql等)是否存在的漏洞,将存在风险的结果上报至管理控制台,并为您提供漏洞告警。 Windows系统漏洞检测 通过订阅微软官方更新,判断服务器上的补丁是否已经更新,并推送微软官方补丁,将存在风险的结果上报至管理控制台,并为您提供漏洞告警。 Web-CMS漏洞检测 通过对We
一键阻断/解封 操作场景 应急策略作为告警一键阻断的止血手段,可根据告警来源选择相应的类型对攻击者进行阻断。表1中为推荐设置,除此之外,您也可以结合对多条告警的综合调查结果,对单个攻击源采用多种类型进行阻断。 表1 推荐阻断策略 告警类型 对应防线 推荐阻断策略 HSS告警 主机防线
新增/编辑应急策略 操作场景 应急策略作为告警一键阻断的止血手段,可根据告警来源选择相应的类型对攻击者进行阻断。表1中为推荐设置,除此之外,您也可以结合对多条告警的综合调查结果,对单个攻击源采用多种类型进行阻断。 表1 推荐阻断策略 告警类型 对应防线 推荐阻断策略 HSS告警 主机防线
数据采集概述 安全云脑的数据采集功能,提供了将第三方(非华为云)日志数据接入安全云脑的能力。它使用Logstash通过多种方式采集各类日志数据,采集后,可以快速实现历史数据分析比对、数据关联分析、以及未知威胁发现等相关分析。 图1 数据采集 数据采集原理 数据采集的基本原理是安全
内置剧本 安全编排根据需求内置了剧本,可以根据需要直接进行使用。 内置剧本 默认已启用以下剧本: 主机告警状态同步、高危漏洞自动通知、主机防线告警关联历史处置信息、云脑WAF地址组关联策略、应用防线告警关联历史处置信息、网络防线告警关联历史处置信息、重复告警自动关闭、告警ip指标
步骤九:配置连接器 本章节将介绍如何配置日志来源、接收目的的参数信息。请根据场景选择操作步骤: 将第三方日志接入安全云脑 将安全云脑日志转出至第三方系统或产品 将第三方日志接入安全云脑 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
计费因子:剧本执行时,流程节点(包括开始、结束节点,不包括判断节点)的执行次数。 包周期、按需计费 包周期:安全分析 安全编排分析次数/天 * 购买时长 按需:剧本执行时,流程节点(包括开始、结束节点,不包括判断节点)的执行次数 舆情监测 如果有需要掌握舆情动态,对潜在的各类
购买和使用安全云脑专业版 操作场景 安全云脑(SecMaster)是华为云原生的新一代安全运营中心,旨在为用户提供一站式的云上安全管理解决方案。通过安全云脑,用户可以实现对云上资产、安全态势、安全信息和事件的集中管理,从而提升安全运营效率和响应速度。 本文档将以首次在华北-北京四
关键运维操作实时通知 剧本说明 安全云脑提供的关键运维操作实时通知剧本,基于运维操作,对关键运维操作进行邮件实时通知。 “关键运维操作实时通知”剧本已匹配“关键运维操作实时通知”流程,该流程是通过消息通知服务,当有关键运维操作时,发送通知给运营人员。 图1 关键运维操作实时通知流程
更新告警 功能介绍 编辑告警,根据实际修改的属性更新,未修改的列不更新 调用方法 请参见如何调用API。 URI PUT /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/{alert_id} 表1 路径参数 参数 是否必选
创建告警 功能介绍 创建告警 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目id
创建事件 功能介绍 创建事件 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/soc/incidents 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String
更新事件 功能介绍 编辑事件,根据实际修改的属性更新,未修改的列不更新 调用方法 请参见如何调用API。 URI PUT /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/{incident_id} 表1 路径参数 参数
新增/编辑节点 操作场景 本章节将介绍如何新增/编辑节点。 安装路径建议为“/opt/cloud”,本章节也以此路径为例进行介绍。如需安装在其他自定义路径中,请根据路径修改,例如,如果安装路径为“/tmp”,则将该章节操作步骤中的安装路径改为“/tmp”。 新增节点前准备 创建IAM最小权限账号
使用安全云脑纳管华北-北京一Region资源 场景说明 由于“华北-北京一”region已转存量维护局点,存在无资源部署的问题。在此情况下,可以通过安全云脑实现资源纳管,支撑用户使用安全云脑进行安全运营。 支持纳管以下资源: 资产: 主机、网站、数据库、VPC、EIP 日志: H
获取告警详情 功能介绍 获取告警详情 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/{alert_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id
获取事件详情 功能介绍 获取事件详情 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/{incident_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id
如果从备份恢复或解密数据都不可行,请评估在新环境中重新开始的可能性。 事故后活动。 通过整个告警处理流程中分析告警发生详细信息,持续运营优化模型,提升模型告警准确率。如判断是业务相关的,无风险的告警可以直接通过模型进行筛选。 通过溯源告警发生,更好的了解事件的整个流程,持续优化资产防护策略,降低资源风险,收缩攻击面。
搜索告警列表 功能介绍 搜索告警列表 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/search 表1 路径参数 参数 是否必选 参数类型 描述 project_id
搜索事件列表 功能介绍 搜索事件列表 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/search 表1 路径参数 参数 是否必选 参数类型 描述 project_id
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
