检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在告警管理列表中,勾选您需要导出的告警,并单击告警列表左上角的“更多 > 导出”,弹出导出对话框。 在导出告警对话框中,配置参数。 表1 导出告警 参数名称 参数说明 导出格式 默认导出excel格式的告警列表。 自定义导出列 选择导出表格中,需要导出的参数。 单击“确定”。 系统将自动下载告警excel表格到本地。
评估影响范围,如果已经有其他机器沦陷,需要同步处理所有影响主机。 从事故中恢复。 确定从备份执行的所有还原操作的还原点。 查看备份策略,以确定是否可以恢复所有对象和文件,这取决于在资源上应用的生命周期策略。 使用取证方法确认数据在恢复之前是安全的,然后从备份中恢复数据,或者恢复到ECS实例的早期快照。 如
评估影响范围,如果已经有其他机器沦陷,需要同步处理所有影响主机。 从事故中恢复。 确定从备份执行的所有还原操作的还原点。 查看备份策略,以确定是否可以恢复所有对象和文件,这取决于在资源上应用的生命周期策略。 使用取证方法确认数据在恢复之前是安全的,然后从备份中恢复数据,或者恢复到ECS实例的早期快照。 如
> 智能建模”,进入智能建模的可用模型页面。 图6 可用模型页面 在模型列表中,勾选所有需要启动的模型,然后单击列表左上角的“启用”。 当模型状态更新为启用,则表示启动模型成功。 步骤三:配置并启用剧本 在安全云脑中,默认“关键运维操作实时通知”流程的初始版本(V1)也已启用,无
t时,如果出现如图1所示的提示信息时,则表示当前ECS的/opt目录磁盘空间不够。 图1 磁盘空间不够 由于安装组件控制器(isap-agent)的ECS目录磁盘至少挂载100G,因此需要先执行提示中的命令执行进行分区,确保目录磁盘大小充足。 此时,需要对租户采集磁盘进行分区操作,具体操作步骤如下:
事件管理页面 在事件管理页面,勾选您需要导出的事件,并单击列表右上角的,弹出导出对话框。 在导出事件对话框中,配置参数。 表1 导出事件 参数名称 参数说明 导出格式 默认导出excel格式的事件列表。 自定义导出列 选择导出表格中,需要导出的参数。 单击“确定”。 系统将自动下载事件excel表格到本地。
参数名称 参数说明 子类型/子类型标识 告警子类型的名称和标识。 关联布局 告警类型已关联的布局。 启用状态 告警类型的启用状态。 启用:当前类型已启用。 禁用:当前类型已被禁用。 SLA 告警类型的SLA处理时间。 描述 告警类型的描述信息。 操作 可以对告警类型进行编辑、删除等操作。
参数说明 类型名称 事件类型的名称。 子类型/子类型标识 事件子类型的名称和标识。 关联布局 事件类型已关联的布局。 启用状态 事件类型的启用状态。 启用:当前类型已启用。 禁用:当前类型已被禁用。 SLA 事件类型的SLA处理时间。 描述 事件类型的描述信息。 操作 可以对事件类型进行编辑、删除等操作。
如果是首次订阅,请单击流程引导“订阅安全遵从包”中的“订阅”按钮,进入订阅安全遵从包页面。 在订阅安全遵从包页面中,选择需要订阅的安全遵从包,单击右下角的“确认订阅”。 安全遵从包详细介绍请参见安全遵从包规格说明。 在弹出的订阅成功确认框中单击“返回”,可以返回订阅列表页面,查看已订阅的安全遵从包的详细信息。 如果
面。 在需要退订的实例所在行,单击“操作”列中的“退订资源”,进入“退订资源”页面。 确认待退订资源信息,选择退订原因,并勾选退订确认。 单击“退订”,在退订管理页面确认退订。 退订成功后,返回版本管理窗口,包周期计费的资产配额已取消。 按需计费资源 对于按需计费模式的资源,例如
将资产的风险情况标识出来,例如:是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务(例如:ECS上应该安装HSS的Agent、域名应纳入到WAF的防护策略中)。 更多详细介绍及操作请参见资产管理。 检查并清理不安全的配置 在安全运营过程中,最常见的“脆弱性”是不安全的配置。
当前账号所有区域的所有已购版本中,可以升级的资源数量。 将到期版本 当前账号所有区域的所有已购的版本和增值包中,即将到期的规格及增值包数量。 总配额 当前账号所有区域中,已购买的总配额数量。 已购资源列表 各区域具体购买安全云脑资源的详细情况。 如果版本或区域较多,可以使用搜索功能,通过区域、版本或订单号进行搜索,查看指定资源购买信息。
区别:剧本和流程之间也存在一定的区别。首先,剧本更侧重于定义和描述安全运营的流程和规程,它关注的是整体的框架和策略;而流程则更侧重于具体的操作和执行步骤,它关注的是如何将剧本中的要求转化为实际的行动。其次,剧本具有较大的灵活性和可扩展性,可以根据需要进行修改和扩展;而流程则相对固
漏洞TOP5排行 TOP5是根据受漏洞影响的资产数量的多少来进行排序,影响资产越多排序越靠前。 “漏洞编号”页签中,显示TOP5的漏洞的编号及受影响资产数量。 “漏洞类型”页签中,显示TOP5的漏洞的名称、漏洞危险等级及受影响资产。 风险资产TOP5排行 呈现TOP5的风险资产。 漏洞列表 在下
项目ID可以通过调用查询指定条件下的项目信息API获取。 获取项目ID的接口为“GET https://{Endpoint}/v3/projects”,其中{Endpoint}为IAM的终端节点,可以从地区和终端节点获取。接口的认证鉴权请参见认证鉴权。 响应示例如下,其中projects下的“id”即为项目ID。
选择该条指标最近一次发生的具体时间。 (可选)失效时间 选择该指标的失效时间。 是否失效 选择是否失效该条指标。默认为“否”。 粒度 选择该指标的粒度,可选择以下粒度:首次发现、自产数据、需购买、外网直接查询。 其他参数 根据选择的不同类型,还需要配置对应的参数信息,请根据界面显示进行填写。
寻系统漏洞、违反安全策略的行为和网络攻击模式,这些有可能帮助防止将来发生类似的入侵。 SOC的类型 企业/组织有几种不同的方式来设置其SOC。一些企业/组织选择构建具有全职员工的专用SOC。这种类型的SOC可以是内部的,具有物理的本地位置,也可以是虚拟的,员工使用数字工具远程协调
知、高危告警自动通知 如果需要使用某个未启用剧本,可以启用剧本的初始版本(V1,默认已激活),或者对剧本进行修改后再启用。 本章节主要介绍配置并启用剧本。 场景一:系统默认激活剧本的初始版本(V1),仅开启剧本启用即可,参考启用剧本。 场景二:如果需要使用某个未启用剧本,支持对剧
告警管理 威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因,对信息系统造成危害的事件,或对社会造成负面影响的威胁。对于安全云脑来讲,威胁告警泛指根据大数据分析检测出的,对用户资产产生威胁的安全事件。 事件 事件是一个广泛的概念,可以包括告警,但不限于此,它可以
租户数据上报安全云脑,安全云脑数据转储到租户的能力。 解析器:Logstash配置的基础概念,主要为Logstash的filter部分,安全云脑解析器是对其filter部分的无码化封装和定制,用户只需在页面上配置解析器规则即可生成原生的filter配置脚本,从而轻松实现将原始日志转化为目标格式。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
