检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
区域与可用区 什么是区域和可用区? 威胁检测服务可以跨区域使用吗?
因MTD服务添加的情报/白名单是从OBS桶添加至MTD服务,因此在MTD服务添加情报/白名单时,需要添加的情报/白名单对象文件需已上传至OBS桶中,OBS桶上传对象操作详情请参见上传文件。 由于MTD添加的情报/白名单仅支持Plaintext格式,因此OBS桶上传的对象需按照Plain
修订记录 发布日期 修改说明 2022-02-15 第三次正式发布。 2021-07-10 第二次正式发布。 2021-05-27 第一次正式发布。
功能类 如何编辑Plaintext格式的对象? 威胁检测服务是否支持自动防御措施? 如何通过主账号对子账号赋予MTD权限?
产品咨询 什么是威胁检测服务? 威胁检测服务的检测源头是什么? 威胁检测服务的检测对象是什么? 威胁检测服务能够解决什么其他安全服务解决不了的问题? 威胁检测服务可以检测哪些风险? 威胁检测服务购买后如何使用? 什么是DGA域名生成算法?
中存在关联的白名单信息进行忽略。 IP 桶名称 对象文件所在的OBS桶名称。 说明: 如果没有可选择的OBS桶,可单击“查看/创建桶”,进入对象存储服务管理控制台,查看/创建OBS桶,更多详细操作请参见创建桶。 obs-mtd-bejing4 对象名称 桶内存储情报信息的对象名称。
根据企业的业务组织,在您的账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用MTD资源。 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 将MTD资源委托给更专业、高效的其他账号或者云服务,这些账号或者云服务可以根据权限进行代运维。 如果账号
格式威胁情报及可信IP列表至OBS,异步同步到威胁检测服务,上传后检测服务将优先关联检测名单库中的IP和域名,及时发现(情报)/忽略(白名单)名单库中IP/域名地址的活动,减少检测响应时间,减轻服务运行负载;同时支持将检测结果存储至对象存储服务(OBS),满足等保合规要求。
数据源是指威胁检测服务分析、处理的各类服务日志。为了检测各种未经授权的恶意活动,威胁检测服务会获取您授权开启检测的服务(包含IAM、DNS、CTS、OBS、VPC)的日志数据,这些日志数据就是威胁检测服务的数据源。
权限”,单击右上方的“+创建自定义策略”。 图1 创建自定义策略 在“创建自定义策略”页面配置相关参数。 “策略名称”:自定义。 “作用范围”:“项目级服务”。 “策略配置方式”:“可视化视图” “策略内容”:“允许”,选择“允许”。 在“允许”页签下选择“允许”。 在“云服务”页签,在搜索框中输入“MTD”搜索,选择“威胁检测服务
告警信息支持转储满足合规要求 MTD检测到的告警结果默认存储最近30天数据,为满足等保合规要求,您可将MTD告警结果转存至OBS,实现数据的更长时间存储。 名单库管理策略 您可自定义上传和添加情报/白名单到OBS桶,异步同步到威胁检测服务,上传后检测服务将优先关联检测名单库中的IP和域名,及时发现(情报)/
威胁检测服务如何收费? 根据您选择的服务规格、使用时长和超出服务规格的检测量进行收费。 威胁检测服务提供包年/包月的计费方式,包年/包月支持入门包、初级包、基础包、高级包4种服务规格,您可以根据业务需求进行选购。同时,威胁检测服务还提供检测叠加包,当检测的日志数据源容量超过您所购
前提条件 Plaintext格式的威胁情报已上传至对象存储服务,上传威胁情报至对象存储服务的具体方法请参见上传文件。 情报:也称作黑名单,指受访问时被禁止的IP或域名,目前只能新增1个情报文件,文件内可容纳10000条IP或域名记录。 Plaintext格式:您的可信IP列表和情报列
设置告警通知 MTD可以将检测出的异常行为(潜在的恶意活动、未经授权行为等)通过短信或邮件的方式发送给用户。 设置告警通知需要联动态势感知服务(SA)对接消息通知服务(SMN)来实现,具体操作方法见本章节进行处理。 前提条件 已购买MTD并创建威胁检测引擎,具体操作请参见购买和创建威胁检测引擎。
设置告警通知后,MTD检测到潜在的恶意活动和未经授权行为将通过短信或邮件的方式通知您。 商用 设置告警通知 2021年11月 序号 功能名称 功能描述 阶段 相关文档 1 支持细粒度授权 您可以通过细粒度授权的方式对MTD实施精细的权限管理。 商用 创建用户组并授权使用MTD 2021年10月
NS日志、CTS日志、OBS日志、VPC日志,持续实时监控日志中访问者的IP或域名是否存在潜在的恶意活动和未经授权行为并进行告警。此服务集成了AI智能引擎、威胁情报、规则基线三种检测方式,智能检测来自多个云服务(包含IAM服务、DNS服务、CTS服务、OBS服务、VPC服务)日志
与对象存储服务的关系 对象存储服务(Object Storage Service,简称OBS)提供海量、安全、高可靠、低成本的数据存储能力,可供用户存储任意类型和大小的数据。用户根据需要可开启数据转存,可将威胁检测结果存储至OBS,满足合规要求,详情请参见同步检测结果。 与消息通知服务的关系 消息通知服务(Simple
版本规格说明所示。威胁检测服务有两种日志检测量计算方式,检测DNS和VPC服务日志按流量计算,检测CTS、IAM和OBS服务日志按事件(一个日志为一个事件)计算。 表1 版本规格说明 版本规格 DNS和VPC日志检测量 CTS日志检测事件数 IAM日志检测事件数 OBS日志检测事件数 入门包 1G/月
版本规格说明所示。威胁检测服务有两种日志检测量计算方式,检测DNS和VPC服务日志按流量计算,检测CTS、IAM和OBS服务日志按事件(一个日志为一个事件)计算。 表1 版本规格说明 版本规格 DNS和VPC日志检测量 CTS日志检测事件数 IAM日志检测事件数 OBS日志检测事件数 入门包 1G/月
效率和准确性。 智能化威胁响应 MTD可以通过联动态势感知服务(SA)对接消息通知服务(SMN),在发现威胁的情况下,迅速通过短信或邮件的方式直接触达用户,高效率完成从威胁检测发现到告知安全运维人员的响应闭环。 黑/白名单汇集 可将MTD服务或其它所有服务历史发现的情报通过纯文本
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
