检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
自定义设置数据来源描述信息。 端口 保持缺省值即可,未与其他来源使用的端口号重复即可。 解码类型 如果原始日志格式不是Json,则建议选择Plain。 报文标签 无需配置。 设置完成后,单击页面右下角“确认”。 新增数据连接目的。 在“连接管理”页面中,单击“新增”,进入选择数据连接页面。 配置数据连接目的参数。
警名称。 图8 默认不选择任何参数输出结果 图9 只选择severity参数输出结果 实现效果 告警名称个性化处理前: 图10 处理前 对原有webshell告警名称进行个性化处理后,效果如下所示: 图11 处理后 父主题: 剧本说明
在剧本管理页面中,单击“高危告警自动化安全封堵”剧本所在行的“操作”列的“启用”。 在弹出的确认框中,选择初始剧本版本v1后,单击“确定”。 实现效果 此处以封堵在WAF中为例进行展示。 封堵成功会在WAF黑名单里看到此IP已被封堵。查看方法如下: 登录WAF控制台,进入“防护策略”页面后,单击目标防护策略名称。
add_field hash -- 否 添加字段 添加Tag add_tag array -- 否 添加tag 移除字段 remove_field array -- 否 移除字段 移除Tag remove_tag array -- 否 移除tag id标记 id string -- 否 id标记
在剧本管理页面中,单击“高危告警自动通知”剧本所在行的“操作”列的“启用”。 在弹出的确认框中,选择初始剧本版本v1后,单击“确定”。 实现效果 高危告警触发剧本,触发如下邮件通知: 图6 告警通知邮件 父主题: 剧本说明
在剧本管理页面中,单击“攻击链路分析告警通知”剧本所在行的“操作”列的“启用”。 在弹出的确认框中,选择初始剧本版本v1后,单击“确定”。 实现效果 攻击链路分析告警通知剧本完成之后,对应HSS告警会将与之关联的网站资产影响的WAF来源的告警关联: 图7 关联告警 对应告警评论增加剧本评论:
SELECT users, tag FROM Orders, LATERAL TABLE(unnest_udtf(tags)) t AS tag; 若表函数返回了空结果,将会保留相对应的外部行并用空值填充 1 2 SELECT users, tag FROM Orders LEFT
er、CreateRole、AssumeRole*、Get*Token、Attach*Policy、*Image*、*Provider、Tag*、Create*、Delete*、Update*等。 删除现有华为云资源。 修改现有华为云资源。 根据上一步的结果,确定是否有任何应用程
在剧本管理页面中,单击“关键运维操作实时通知”剧本所在行的“操作”列的“启用”。 在弹出的确认框中,选择初始剧本版本v1后,单击“确定”。 实现效果 当有关键运维操作时会触发剧本,触发如下邮件通知,以对等连接操作通知举例: 图9 操作通知 父主题: 剧本说明
Integer 事件次数。 severity Integer 严重级别。 attack_phase Integer 攻击阶段。 attack_tag Integer 攻击标识。 confidence Integer 置信度。 action Integer 动作类型。 detect_module
String 数据投递后,被委托用户的region_id workspace_id String 当前的工作空间id labels String 标签,仅展示 environment environment object 告警产生的环境坐标信息 data_source data_source
String 数据投递后,被委托用户的region_id workspace_id String 当前的工作空间id labels String 标签,仅展示 environment environment object 事件产生的环境坐标信息 data_source data_source
数据投递后,被委托用户的region_id workspace_id 否 String 当前的工作空间id labels 否 String 标签,仅展示 environment 否 environment object 事件产生的环境坐标信息 data_source 否 data_source
String 数据投递后,被委托用户的region_id workspace_id String 当前的工作空间id labels String 标签,仅展示 environment environment object 事件产生的环境坐标信息 data_source data_source
String 区域ID,如cn-north-4 domain_id 是 String domainId tag_list 否 Array of TagInfo objects 计费标签 product_list 否 Array of ProductPostPaid objects 商品列表
在HSS中进行手动执行漏洞检测,查看漏洞修复结果。 自动验证 如果您未进行手动验证,HSS每日凌晨进行全量检测,您修复后需要等到次日凌晨检测后才能查看修复效果。 相关操作 如果您评估某些漏洞对您的业务不会产生影响,并且不想在漏洞列表中看到该漏洞,您可以将该漏洞加入白名单,加入白名单后,针对漏洞列
数据投递后,被委托用户的region_id workspace_id 否 String 当前的工作空间id labels 否 String 标签,仅展示 environment 否 environment object 告警产生的环境坐标信息 data_source 否 data_source
String 数据投递后,被委托用户的region_id workspace_id String 当前的工作空间id labels String 标签,仅展示 environment environment object 告警产生的环境坐标信息 data_source data_source
按需:(服务版本+配额单价) * 计费时长 配额数(必选) 增值包(可选) 安全大屏 如有现场讲解汇报、实时监控等场景,希望获得更好的演示效果,需要将安全云脑服务的分析结果展示在大型屏幕上的需求,可以额外单独购买安全大屏。 计费因子:安全大屏-安全态势指标、Astro Canvas大屏、Astro
联网连接,以最大限度地减少感染传播的机会,或最大限度地减少攻击者访问这些资源的机会。 请注意,由于连接跟踪,有时修改安全组可能不会达到预期效果。 评估ECS实例是否需要恢复。如果该实例属于弹性伸缩组,则请从组中移除该实例。此外,如果事件与主机操作系统中的漏洞有关,请更新系统并确保已修补漏洞。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
