检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
操作。同时,配置阻断时将设置某个IP地址或IP地址段/或IAM用户,如果该阻断已不适用,可以进行批量取消阻断操作。 本章节介绍如何执行批量阻断、批量取消阻断操作。 约束与限制 将IP或IP地址段或IAM用户配置为黑名单后,来自该IP或IP地址段的访问,CFW/WAF/VPC/IAM将不会做任何检测,直接拦截。
安全云脑的基线检查功能支持检测云服务关键配置项,通过执行扫描任务,检查云服务基线配置风险状态,分类呈现云服务配置检测结果,告警提示存在安全隐患的配置,并提供相应配置加固建议和帮助指导。 针对华为云服务关键配置项,安全云脑内置了“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”、“华为云安全配置基线”
安全云脑的策略管理功能可以简化您在多个账户和资源上的管理和维护任务,以实现各种保护,包括WAF、CFW、VPC安全组、IAM。同时,支持统一展示所有策略信息、人工管理七层防线策略、查看人工/自动化拦截记录等操作。 约束与限制 应急策略目前仅支持CFW/WAF/VPC安全组/IAM的黑名单策略。 单用户单工作空间内
单击待运行组件右上角“运行节点”,右侧将弹出该组件的运行节点信息。 查看配置: 单击待查看组件右上角“查看配置”,右侧将弹出该组件的详细配置信息。 编辑配置: 单击待查看组件右上角“编辑配置”,右侧将弹出该组件的配置管理页面。 在节点配置栏中,编辑节点配置信息。 添加节点:单击节点列表左上角“添加”,并
图表设置完成后,左侧可预览配置后的数据分析情况。 相关操作 下载日志:配置后,如需导出当前查询分析数据,可单击表格右上角“下载日志”,系统将下载当前查询分析日志数据至本地。 收起配置:图表配置完成后,在“预览图表”右侧单击“收起配置”,页面将不显示图表配置参数。 展开配置:图标配置收起后,如需
将资产的风险情况标识出来,例如:是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务(例如:ECS上应该安装HSS的Agent、域名应纳入到WAF的防护策略中)。 更多详细介绍及操作请参见资产管理。 检查并清理不安全的配置 在安全运营过程中,最常见的“脆
数据同步或数据一致性相关问题 为什么WAF、HSS中的数据和SecMaster中的数据不一致? 由于SecMaster中汇聚了WAF、HSS上报的所有历史告警数据,而WAF和HSS中展示的是实时告警数据,导致存在SecMaster与WAF、HSS中数据不一致的情况。 因此,建议您前往对应服务(WAF或HSS)进行查看并处理。
安全云脑支持根据基线检查计划检查您的服务基线配置是否存在风险,提供了“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”、“华为云安全配置基线”几大风险类别遵从包。 护网/重保期间推荐使用“安全上云合规检查1.0”和“护网检查”两个规范。 检查之后分类呈现云服务配置检测结果,告警提示存在安
在组件管理页面中,单击待查看组件右上角“编辑配置”,右侧将弹出该组件的配置管理页面。 在配置管理界面的节点配置栏中,单击节点列表左上角“添加”,并在弹出的“添加节点”框中选择(可选)步骤一:购买ECS购买/准备的节点后,单击“确认”。 在配置管理界面,单击页面右下角“保存并应用”。 等待一段时间,当组件配置状态为“
风险控制 操作场景 支持通过应急策略功能进行风险控制。 安全云脑的应急策略功能可以联动CFW/WAF/VPC安全组对源IP进行封堵和解封。 当护网和重保过程中有情报需要进行单个IP或多个IP进行批量阻断时候,可以通过该功能进行全策略封堵。 操作步骤 登录安全云脑控制台,并进入目标工作空间管理页面。
(可选)首次投递到目的投递类型需要进行授权,如果已经授权,请跳过该步骤。 在弹出的授权提示中,确认无误后,单击“确定”,完成授权。 在新增投递配置页面中,配置数据投递相关参数。 投递名称:自定义数据投递名称。 账号类型:此处请选择“本账号”。投递到LTS服务仅支持投递本账号内的日志数据。 投递类型:此处请选择“LTS”。
1 (可选)配置并启用流程 启用需要的安全云脑内置的流程。 安全云脑默认提供了“WAF一键解封”、“主机告警状态同步”、“告警指标提取”等流程,且流程的初始版本(V1)也已启用,无需手动启用。 同时,如果需要对某个流程进行编辑,可以复制初始版本进行处理。 2 (可选)配置并启用剧本
新增数据连接来源。 在“连接管理”页面中,单击“新增”,默认进入选择数据连接来源页面。 配置数据连接来源参数。 连接方式:选择“来源”。 连接类型:选择数据源的类型。 其他参数配置:根据选择的连接类型进行参数配置,详细参数说明请参见源连接器。 设置完成后,单击页面右下角“确认”。 新增数据连接目的。
机漏洞情况。 基线检查 云服务基线 - SecMaster:针对华为云服务关键配置项,从“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”风险类别,了解云服务风险配置的所在范围和风险配置数目。 HSS:不支持该功能。 主机基线 - SecMaster:不支持该功能。
判剧本来降低合法事件的干扰。通过威胁及资产画像,与威胁告警环环关联,还原整个攻击链,配置自动化处置剧本进行响应,简化操作、提升安全性,提升了处理告警和事件的效率。 灵活的环境集成与作战协同 可通过配置连接到所有安全服务,进行数据对接或者联动操作;也可以定义您自己的模型、研判/处置
应用-分布式url遍历攻击 sec-waf-access 推荐开启 开箱即用已开启 -- 应用-源ip对域名进行爆破攻击 sec-waf-attack 推荐开启 开箱即用已开启 -- 应用-源ip进行url遍历 sec-waf-access 推荐开启 开箱即用已开启 -- 应用-WAF关键攻击告警 sec-waf-attack
在告警管理列表中,单击目标告警所在行“操作”列的“更多 > 一键阻断”,右侧弹出一键阻断配置页面。 同时,还可以在某条告警详情页面,单击页面右上角的“一键阻断”。 在一键阻断配置页面中,配置阻断策略信息。 表2 一键阻断 参数名称 参数说明 阻断对象 当阻断对象类型选择IP时,输
开启显示图例时须配置。 图例在图表中的位置,可以配置为上、下、左和右。 图表设置完成后,左侧可预览配置后的数据分析情况。 相关操作 下载日志:配置后,如需导出当前查询分析数据,可单击表格右上角“下载日志”,系统将下载当前查询分析日志数据至本地。 收起配置:图表配置完成后,在“预览
类型进行阻断。 表1 推荐阻断策略 告警类型 对应防线 推荐阻断策略 HSS告警 主机防线 建议优先采用VPC策略阻断 WAF告警 应用防线 建议优先采用WAF策略阻断 CFW告警 网络防线 建议优先采用CFW策略阻断 IAM告警 身份防线 建议优先采用IAM策略阻断 OBS/DBSS告警
HSS不支持扫描如用友、金蝶等商用软件的漏洞,因此商用软件漏洞您需要自行排查。 如果Web服务器的应用漏洞无法修复,您可以通过配置安全组规则,限制只可内网访问,或使用WAF防护(只能降低风险,通过内网渗透或规则绕过依然有被入侵的风险)。 如下是近两年在攻防演练中被红队利用最频繁且对企业危害
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
