检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
空间管理”,进入工作空间管理页面。 图1 工作空间管理页面 在工作空间界面,查看已有工作空间的信息。 当工作空间较多时,可以通过搜索功能快速查询指定工作空间。 图2 工作空间详情 表1 工作空间参数说明 参数名称 参数说明 名称 工作空间的名称。 类型 工作空间的类型。分为“自有”、“托管视图”、“已托管”类型。
索与安全云脑数据采集相关的VPC终端节点。 查看是否还有安全云脑创建的用于数据采集的未释放的VPC终端节点。 无:继续执行4.g。 图3 删除VPCEP 有:确认需删除后,单击目标VPC终端节点所在行“操作”列的“删除”,并在弹出的确认框中单击“是”。 图4 删除VPCEP 删除完成后,继续执行4
自定义阻断策略的标签。 操作连接 选择该阻断策略的操作连接。 阻断老化 确认是否老化该条阻断策略。 如果选择是,请设置策略老化时间,如设置为180天,即该策略在设置后的180天内有效,180天后将不再继续阻断设置的IP地址或IP地址段。 如果选择否,则该策略将一直有效,阻断设置的IP地址或IP地址段。
进入目标工作空间管理页面 在左侧导航栏选择“安全态势 > 任务中心”,默认进入我的待办页面。 图2 我的待办 在目标待办任务所在行“操作”列,单击“审批”。 不同业务类型,审批方式不同: 剧本发布:右侧弹出“剧本发布”界面,填写“审核意见”,并根据页面提示进行审批。 流程发布:右侧弹出“流程发布”界
如需批量接受授权,可以勾选所有需要授权的任务,然后单击列表左上角的“接受”。 图5 数据投递授权 授权授予后,目标投递任务授权状态更新为“已授权”,更新后,可前往投递目的地查看投递情况。 步骤三:在LTS中查看投递数据 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 单击页面左上方的,选择“管理与监管
在左侧导航栏选择“威胁运营 > 情报管理”,进入情报管理页面。 图2 情报管理页面 在情报管理页面中,对情报进行关闭或删除操作。 表1 管理情报 操作 操作说明 关闭情报 在情报管理页面,单击目标情报所在行“操作”列的“关闭”,弹出关闭情报确认框。 在弹出的关闭情报确认框中,选择“关闭原因”,并填写评论信息。
数据源配置中,显示当前管道数据的详细信息,无需配置。 表2 数据源参数说明 参数名称 参数说明 投递类型 数据投递类型,默认显示为PIPE。 区域 当前管道所在区域。 工作空间 当前管道所属的工作空间。 数据空间 当前管道所属的数据空间。 管道 管道的名称 数据位置策略 当前管道中数据位置的策略。 读取身份
空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。 图1 进入目标工作空间管理页面 在左侧导航栏选择“安全态势 > 安全报告”,进入安全报告页面。 图2 进入安全报告页面 在已创建的目标安全报告模块,单击“编辑”,进入报告基本信息配置页面。 创建/复制安全报
String 企业项目名称 is_view Boolean 是否是视图 region_id String 区域id view_bind_id String 视图绑定的空间id view_bind_name String 视图绑定的空间名称 workspace_agency_list Array
事件管理”,进入事件管理页面。 图2 事件管理页面 在事件管理页面中,对事件进行关闭或删除操作。 表1 管理事件 操作 操作说明 关闭事件 单击目标事件所在行“操作”列的“关闭”,弹出关闭事件确认框。 如果需要关闭多条事件,可以在事件列表中勾选需要关闭的事件,并单击列表上方“批量关闭”。
需费用的明细,如下所示: 图1 配置费用示例 配置费用将包括以下部分: 专业版:根据所选版本和设置配额数量计算的费用。 安全大屏-安全态势指标:购买安全云脑安全大屏的费用。 安全分析包:基于实际使用的安全分析数据量计算的费用。 安全数据采集:根据实际使用的数据采集量计算的费用。
(可选)步骤三:挂载数据磁盘 本章节将介绍如何挂载数据磁盘到符合条件的ECS上。 需要将符合条件的数据磁盘挂载在已有的符合条件的ECS上,保障日志采集器有足够的运行空间。若满足以下任一场景则无需执行此步骤: 场景一:参考(可选)步骤一:购买ECS时已经了购买符合条件的ECS和数据磁盘,且磁盘已挂载到ECS,则无需执行此步骤。
查看数据类 安全编排与响应中的剧本和流程的运行都需要绑定数据类,由数据对象(数据类的实例)触发剧本。数据类支持如下操作: 查看数据类 查看数据类 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
如果不再需要某个工作空间,可以参照本章节进行删除。 工作空间删除后,相关的资产会存在风险,且会影响资产的风险预防和处理,安全性能降低,删除后不可恢复,请谨慎操作。 约束与限制 删除时,工作空间内运行的剧本、流程、引擎等将立即停止。 选择永久删除,工作空间内的所有内容将永久删除无法恢复。 删除工作空间 登录管理控制台。
如需批量启动模型,可以勾选所有需要启动的模型,然后单击列表左上角的“启用”。 当模型状态更新为启用,则表示启动模型成功。 停用模型 在模型列表中,单击目标模型所在行“操作”列的“停用”。 说明: 如需批量暂停模型,可以勾选所有需要暂停的模型,然后单击列表左上角的“停用”。 当告警模型状态更新为“停用”,表示停用成功。
节点的名称/ID。 健康状态 节点的健康状态。 区域 节点所在区域。 IP地址 节点的IP地址。 CPU使用率 节点的CPU使用率。 内存使用率 节点的内存使用率。 磁盘使用率 节点的磁盘使用率。 网络速率 节点的网络速率。 标签 节点的标签信息。 心跳过期失联标识 节点是否心跳过期失联。 1
如果存在尽快修补漏洞,并更新相关软件或库的版本。 对系统进行全面的检查,确认是否存在其他的漏洞或后门,以保证系统的安全性。 限制系统的访问权限,例如禁用root账户、限制访问来源IP等,以减少攻击者可能的入侵路径等。 系统行为异常/进程异常行为 根据告警对应的影响资产,对受影响资产、服务、业务等有基本定位。
业务类型 任务属于的类型。 流程发布 剧本发布 剧本-节点审核 关联对象 对应的剧本/流程名称。 创建人 创建任务的用户。 备注 该条任务的备注信息。 审核人 该剧本/流程的审核人员。 审核意见 该条任务的审核意见。 描述 该条任务的描述信息。 创建时间 该剧本/流程的创建时间。 更新时间
参数说明 类型名称/类型标识 威胁情报的名称和标识。 关联布局 威胁情报已关联的布局。 启用状态 威胁情报的启用状态。 启用:当前类型已启用。 禁用:当前类型已被禁用。 失效时间 威胁情报的失效时间。 内置 是否为系统内置的威胁情报。 描述 威胁情报的描述信息。 操作 可以对威胁情报进行编辑、删除等操作。
在检查结果页面中,查看检查项的检查结果,参数说明如表1所示。 图4 查看检查结果 表1 查看检查结果 参数名称 参数说明 风险资源及风险等级 最近一次支持基线检查的检查结果中,风险资源总数、不同风险等级的不合格检查项目数据和对应的风险资源的数量。 风险等级分为:致命、高危、中危、低危、提示几个级别。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
