检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
新增应急策略 操作场景 应急策略作为告警一键阻断的止血手段,可根据告警来源选择相应的类型对攻击者进行阻断。表1中为推荐设置,除此之外,您也可以结合对多条告警的综合调查结果,对单个攻击源采用多种类型进行阻断。 表1 推荐阻断策略 告警类型 对应防线 推荐阻断策略 HSS告警 主机防线
数据投递概述 操作场景 安全云脑支持将数据实时投递至其他管道或其他华为云产品中,便于您存储数据或联合其它系统消费数据。配置数据投递后,安全云脑将定时将采集到的数据投递至其他管道或对应的云产品。 根据投递目的地选择操作场景: 投递日志数据至其他数据管道:投递日志数据到其他数据管道。
查看告警信息 操作场景 在安全云脑的告警管理页面,可以通过查看告警列表了解近360天的告警威胁的统计信息列表,列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件,如告警名称、告警等级和发生时间等,快速查询到相应告警事件的统计信息。 本章节主要介绍如何查看告警信息。
管理流程 操作场景 本章节将介绍如何查看流程、导出流程、删除流程、禁用流程。 查看流程 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空间
自定义页面布局 查看布局 查看布局模板 父主题: 安全编排
安全遵从包规格说明 安全治理提供两大类的安全遵从包,您可以根据不同遵从包的判定指引来选择所需的安全遵从包。 安全标准遵从包 隐私保护遵从包 安全标准遵从包 当前可选择的安全标准遵从包如表1所示,用户依据判定指引选择并订阅安全遵从包。 表1 安全标准遵从包一览 遵从包名称 描述 适用区域
查看安全合规总览 操作场景 订阅安全遵从包后,在合规总览界面可查看当前已订阅的安全遵从包的法规、标准条款遵从概况和策略扫描概况。 前提条件 已订阅安全遵从包,详细操作请参见订阅或取消订阅安全遵从包。 查看法规、标准条款遵从概况 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
查看安全报告 操作场景 本章节介绍如何查看已创建的安全报告及其展示的信息。 查看安全报告 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空
导入或导出资产 操作场景 安全云脑支持导入云外各种资产,导入后,可以呈现资产的安全状态。同时,还可以将资产信息导出。 本章节介绍如何导入或导出资产。 前提条件 已购买安全云脑标准版或专业版,且在有效使用期内。 约束与限制 仅支持导入.xlsx格式的文件,单次导入文件大小不超过5MB,且单次导入数据不超过100条。
资源规划 账户 具有安全云脑数据采集管理权限,且非管理员的IAM账户。 ECS规格要求 安装采集器(isap-agent + Logstash)的租户云服务器(ECS)规格要求如下表: 表1 ECS规格 CPU内核数 内存大小 系统磁盘存储大小 数据磁盘存储大小 采集器参考处理能力
操作流程 本章节介绍如何将第三方(非华为云)安全日志接入安全云脑,同时,也支持将安全云脑日志转出至第三方系统/产品。具体流程如下: 图1 日志接入或转出流程图 本章节将介绍日志数据接入或转出的操作流程进行简要说明。 表1 日志接入或转出流程说明 操作步骤 操作说明 (可选)步骤一:购买ECS
实施步骤 (可选)步骤一:购买ECS (可选)步骤二:购买数据磁盘 (可选)步骤三:挂载数据磁盘 步骤四:创建非管理员IAM账户 步骤五:网络连通配置 步骤六:安装组件控制器(isap-agent) 步骤七:安装日志采集组件(Logstash) (可选)步骤八:创建日志存储管道 步骤九:配置连接器
查看布局 操作场景 布局中已有多个页面布局,例如告警列表、情报详情、漏洞详情等。 本章节主要介绍如何查看布局。 查看已有布局 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
查看数据类 安全编排与响应中的剧本和流程的运行都需要绑定数据类,由数据对象(数据类的实例)触发剧本。数据类支持如下操作: 查看数据类 查看数据类 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
管理告警类型 操作场景 本章节介绍如何管理告警类型,详细操作如下: 查看已有告警类型:查看已有的告警类型及其详细信息。 新增告警类型:介绍如何自定义新增告警类型。 告警类型关联布局:介绍如何将自定义新增的告警类型关联已有布局。 编辑已有告警类型:介绍如何编辑自定义新增的告警类型。
管理分类&映射 分类和映射是对云服务告警进行类型匹配和字段映射。 本章节介绍如何查看已有分类映射、创建分类映射、复制已有的分类映射、编辑分类映射、启用、禁用或删除分类映射。 约束与限制 单账号单workspace内,分类&映射模板 ≤ 50个。 单账号单workspace内,分类和映射的映射关系规格为1:100。
资产大屏 操作场景 在现场讲解汇报、实时监控等场景下,为了获得更好的演示效果,通常需要将安全云脑服务的分析结果展示在大型屏幕上。如果只是单纯将控制台界面放大显示,视觉效果并不是很理想。此时可以利用安全大屏,展示专为大型屏幕设计的服务界面,获得更清晰的态势信息和更好的视觉效果。 安
导入或导出情报指标 操作场景 本章节主要介绍如何导入、导出情报指标。 约束与限制 仅支持导入.xlsx格式的文件,单次导入文件大小不超过5MB,且单次导入数据不超过100条。 最多支持导出9999条情报指标信息。 导入指标 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
常见告警处置建议 目前安全云脑在数据集成时,可以设置将接入的云服务日志自动转告警。针对转入的告警提供以下处理建议,请根据实际情况进行排查处理。 系统行为异常/高危命令执行 数据来源 主机安全告警日志 告警呈现 【dangercmd】【HSS】主机:{{ipList}}执行dangercmd,{{__time}}
创建或复制安全报告 操作场景 安全云脑提供安全报告功能。您可以通过创建安全报告,及时掌握资产的安全状况数据。 本章节主要介绍如何新建安全报告,以及如何通过复制已创建的报告快速创建报告。 约束与限制 单账号单workspace内,最多可创建10个安全报告(包含日报、周报和月报)。 前提条件
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
