检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
的“操作”列的“启用”。 在弹出的确认框中,选择初始剧本版本v1后,单击“确定”。 验证剧本 “自动更改告警名称”剧本启用成功后,可以对剧本运行情况进行验证。 本部分将介绍如何对已配置剧本进行验证。 在左侧导航栏选择“威胁运营 > 告警管理”,进入告警管理页面。 图7 告警管理页面
b6-a9eb-07a8e18ca62f,事件ID为909494e3-558e-46b6-a9eb-07a8e18ca621,告警状态为已关闭,是否标记为证据为否。 { "ids" : [ "909494e3-558e-46b6-a9eb-07a8e18ca62f" ],
数组长度:0 - 999 remediation remediation object 补救措施 verification_state String 验证状态,标识事件的准确性。可选类型如下: Unknown – 未知 True_Positive – 确认 False_Positive – 误报
数组长度:0 - 999 remediation remediation object 补救措施 verification_state String 验证状态,标识事件的准确性。可选类型如下: Unknown – 未知 True_Positive – 确认 False_Positive – 误报
数组长度:0 - 999 remediation remediation object 补救措施 verification_state String 验证状态,标识事件的准确性。可选类型如下: Unknown – 未知 True_Positive – 确认 False_Positive – 误报
999 remediation 否 remediation object 补救措施 verification_state 否 String 验证状态,标识事件的准确性。可选类型如下: Unknown – 未知 True_Positive – 确认 False_Positive – 误报
999 remediation 否 remediation object 补救措施 verification_state 否 String 验证状态,标识事件的准确性。可选类型如下: Unknown – 未知 True_Positive – 确认 False_Positive – 误报
999 remediation 否 remediation object 补救措施 verification_state 否 String 验证状态,标识事件的准确性。可选类型如下: Unknown – 未知 True_Positive – 确认 False_Positive – 误报
999 remediation 否 remediation object 补救措施 verification_state 否 String 验证状态,标识事件的准确性。可选类型如下: Unknown – 未知 True_Positive – 确认 False_Positive – 误报
-h命令,检查磁盘/opt目录下是否预留100G以上的磁盘空间,CPU核数需要2核以上,内存需要4G以上。 图1 检查磁盘 如果内存不足,请关闭一些高内存占用的应用程序或扩充内存容量后再进行安装。扩容操作详情请参见变更服务器规格。 为了磁盘/opt目录下有超过100G的剩余磁盘空间
在待取消接入云产品的“审计相关日志”列,单击,关闭接入的云服务日志。 单击“保存”。 编辑数据接入生命周期 在待编辑云产品的“生命周期”列,输入生命周期时间。 单击“保存”。 取消自动转告警 在待取消云产品的“自动转告警”列,单击,关闭告警映射。 单击“保存”。 父主题: 数据集成
数组长度:0 - 999 remediation remediation object 补救措施 verification_state String 验证状态,标识事件的准确性。可选类型如下: Unknown – 未知 True_Positive – 确认 False_Positive – 误报
如果加固建议中提供了跳转链接,可以直接单击链接,跳转至对应页面进行处理。 图3 检查项加固建议 修改之后单击操作列“立即检查”对修改结果进行验证。 部分关键风险项清理加固建议如下表所示: 表2 加固建议 检查项名 加固建议 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。
数组长度:0 - 999 remediation remediation object 补救措施 verification_state String 验证状态,标识事件的准确性。可选类型如下: Unknown – 未知 True_Positive – 确认 False_Positive – 误报
选择数据源产品的名称。 数据源类型 选择数据源所属类型,可选择以下类型:云服务、第三方产品、租户私有产品。 状态 选择指标状态,可选择以下状态:打开、关闭、作废。 (可选)置信度 填选指标的可信度,范围为80~100。 (可选)责任人 选择该条指标的主要责任人。 (可选)标签 自定义指标的标签。
查看情报指标信息 参数名称 参数说明 情报类型 呈现所有类型情报指标总数及对应类型下情报指标数量。 超期情报 呈现已超过威胁情报指标设置的失效时间,且还未关闭的威胁情报指标总数。 情报状态 呈现不同状态的情报指标总数及对应状态下情报指标数量。 威胁度 呈现不同威胁程度对应的情报指标数量。 情报管理列表
配置采集通道 配置连接通道,并与节点进行关联,下发Logstash的pipeline配置,完成整个数据采集的配置。 6 采集结果验证 配置完成采集通道之后,验证数据是否采集。 如果是日志接入到安全云脑管道,可以在安全云脑“安全分析”页面查询结果。 数据采集移除流程 图4 数据采集移除流程
脑。 升级说明 升级只支持从态势感知升级至安全云脑,不支持从安全云脑变更至态势感知。 升级时,需要将态势感知配额分配到不同区域,以及后续会关闭态势感知购买通道,请提前做好配合规划。 升级后,态势感知和安全云脑的生命周期共享,如果订单为按需类型,则仍需在原态势感知页面处理。 升级完
”、“重复告警自动关闭”等剧本。其中,多个剧本已默认启用,无需手动启用。默认已启用以下剧本: 主机告警状态同步、高危漏洞自动通知、主机防线告警关联历史处置信息、云脑WAF地址组关联策略、应用防线告警关联历史处置信息、网络防线告警关联历史处置信息、重复告警自动关闭、告警ip指标打标
内置的剧本已激活默认版本,仅需启用对应剧本即可。建议启用以下剧本: 表1 启用剧本 剧本名称 描述 重复告警自动关闭 将近7日内第二次及第二次以上出现的告警状态置为关闭,并关联7日内同名告警 高危告警自动通知 对威胁级别为High或者Fatal的告警进行邮件或者短信通知 操作步骤
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
