检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
应值,该接口是唯一不需要认证的接口。 API同时支持使用AK/SK认证,AK/SK认证是使用SDK对请求进行签名,签名过程会自动往请求中添加Authorization(签名认证信息)和X-Sdk-Date(请求发送的时间)请求头。 AK/SK认证的详细说明请参见AK/SK认证。
步骤二:日志采集策略调整 日志作为安全运营提供重要数据支撑,护网/重保期间推荐使用一键接入功能接入全部日志,并调整自动转告警功能,结合模型和安全服务攻击日志,通过“告警管理”统一进行跟踪监控。 操作步骤 登录安全云脑控制台,并进入目标工作空间管理页面。 在左侧导航栏选择“设置 >
系统内置告警类型默认处于启用状态,无需手动启用。 暂不支持禁用或删除系统内置告警类型。 暂不支持删除系统内置告警类型。 表4 管理已有告警类型 操作 操作说明 启用 在告警类型管理页面中,选择需要启用的告警类型,并单击类型列表左上角“批量启用”。 也可以直接单击需要启用的告警类型所在行“启用状态”所在列的禁用按钮。
系统内置漏洞类型默认处于启用状态,无需手动启用。 暂不支持禁用或删除系统内置漏洞类型。 表4 管理已有漏洞类型 操作 操作说明 启用 在漏洞类型管理页面中,选择需要启用的类型,并单击类型列表左上角“批量启用”。 也可以直接单击需要启用的漏洞类型所在行“启用状态”所在列的禁用按钮。
内置剧本 安全编排根据需求内置了剧本,可以根据需要直接进行使用。 内置剧本 默认已启用以下剧本: 主机告警状态同步、高危漏洞自动通知、主机防线告警关联历史处置信息、云脑WAF地址组关联策略、应用防线告警关联历史处置信息、网络防线告警关联历史处置信息、重复告警自动关闭、告警ip指标
系统内置事件类型默认处于启用状态,无需手动启用。 暂不支持禁用或删除系统内置事件类型。 表4 管理已有事件类型 操作 操作说明 启用 在事件类型管理页面中,选择需要启用的类型,并单击类型列表左上角“批量启用”。 也可以直接单击需要启用的事件类型所在行“启用状态”所在列的禁用按钮。
在模型列表中,勾选所有需要启动的模型,然后单击列表左上角的“启用”。 当模型状态更新为启用,则表示启动模型成功。 步骤三:配置并启用剧本 在安全云脑中,默认“关键运维操作实时通知”流程的初始版本(V1)也已启用,无需手动启用。默认“关键运维操作实时通知”剧本的初始版本(V1)也已激活,只需要启用就可以进行使用。 在左侧导航栏选择“安全编排
API概览 通过使用安全云脑提供的接口,您可以完整的使用安全云脑的所有功能。 类型 说明 告警API接口 告警的接口,包括创建、删除、转事件等接口。 事件API接口 事件的接口,包括创建、更新、获取等接口。 威胁情报API接口 威胁情报的接口,包括创建、更新、获取等接口。 剧本API接口
在类型管理页面,选择“自定义类型”页签,进入自定义类型页面后,选择“主机”类型。 在主机类型页面中,勾选“物理机”和“虚拟机”后单击“批量启用”,在弹出的确认框中,单击“确认”。 图3 启用主机类型 自定义导入主机资产。 在左侧导航栏选择“资产管理 > 资产管理”,进入资产管理页面。 图4 资产管理 在
(安全大屏、智能分析、安全编排)功能需分别退订/取消。 当资产配额(专业版或标准版)被全部退订/取消后,当前为基础版时,您再执行退订/取消增值包功能操作。 由于增值包功能依赖服务版本,当专业版或标准版的退订/取消后,未退订/取消增值包功能,对应功能将无数据支撑,无法使用。因此,如
已有遵从包总数及不同状态遵从包数量。遵从包状态包含启用和未启用两种。 内置遵从包数量 安全云脑内置的遵从包数量。 自定义遵从包数量 用户自定义新增的遵从包数量 遵从包及其详细信息 展示所有遵从包及其基本信息。 在遵从包列表中,可以查看遵从包的类型、状态、包含的检查项目数量等信息,还可以对遵从包进行启用、停用、删除(自定义新增的遵从包)操作。
风险控制 操作场景 支持通过应急策略功能进行风险控制。 安全云脑的应急策略功能可以联动CFW/WAF/VPC安全组对源IP进行封堵和解封。 当护网和重保过程中有情报需要进行单个IP或多个IP进行批量阻断时候,可以通过该功能进行全策略封堵。 操作步骤 登录安全云脑控制台,并进入目标工作空间管理页面。
架构要求:当前日志采集组件控制器(isap-agent)仅支持运行在Linux系统和Arm64架构的ECS主机上,后续更多环境适配持续更新中。 操作系统(镜像):无限制,建议Huawei Cloud EulerOS。 日志量应当与机器规格成比例放大,建议按表中规格比例进行放大。如果机器压力较大,
主机资产防护状态说明 主机防护状态 说明 未防护 ECS主机未开启防护,被威胁入侵的风险较高,建议您尽快为主机开启防护。开启防护步骤如下: 购买防护配额。 安装Agent。 开启主机防护。 开启防护后,建议优化主机防护配置,开启恶意软件云查,并通过精细化策略配置,提升主机防护能力,详细操作请参见优化主机安全防护配置。
(可选)配置并启用流程 启用需要的安全云脑内置的流程。 安全云脑默认提供了“WAF一键解封”、“主机告警状态同步”、“告警指标提取”等流程,且流程的初始版本(V1)也已启用,无需手动启用。 同时,如果需要对某个流程进行编辑,可以复制初始版本进行处理。 2 (可选)配置并启用剧本 启用需要的安全云脑内置的剧本。
更多 > 数据消费”,进入数据消费页面。 图3 进入数据消费页面 在数据消费页面中,单击当前状态后的,开启数据消费。 开启后,将显示消费配置信息,具体说明如表1所示。 图4 开启数据消费 表1 数据消费参数说明 参数名称 参数说明 当前状态 当前管道中数据消费配置状态。 管道名称
订阅终端:输入订阅终端邮箱地址,如username@example.com 步骤二:配置并启用剧本 在安全云脑中,默认“攻击链路分析告警通知”流程的初始版本(V1)也已启用,无需手动启用。默认“攻击链路分析告警通知”剧本的初始版本(V1)也已激活,只需要启用就可以进行使用。 在页面左上角单击,选择“安全与合规 >
使用流程 安全分析功能使用具体流程如表1所示。 表1 使用流程 子流程 说明 新增工作空间 新增工作空间,用于资源隔离和控制。 数据集成 配置需要接入的数据源。 安全云脑支持集成存储、管理与监管、安全等多种华为云云产品的日志数据。集成后,可以检索并分析所有收集到的日志。 (可选)新增数据空间
使用流程 安全治理功能的使用流程如表1所示。 表1 使用流程 子流程 说明 服务授权 使用安全治理功能前,需要获取访问云服务资源的权限,授权后,才能通过策略扫描帮您快速识别云上资产的安全遵从情况。 订阅安全遵从包 安全云脑提供有不同的安全遵从包,您可以选择所需的安全遵从包。 自评估
威胁,而造成数据泄露等安全风险。当主机资产数量增加后,请及时增加配额数。 安全大屏 开启 确认是否需要使用安全云脑提供的“安全大屏”功能,是否需要增配“日志审计”、“安全分析”或“安全编排”功能。如果需要购买,请根据您的需要设置对应的购买量。 增值包说明、配置推荐详细介绍请参见增值包说明。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
