检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
参考本实践的操作步骤处理即可 第三方(非华为云)日志接入安全云脑 参考本实践的操作步骤处理即可 日志采集原理 日志采集器节点作为中间节点,负责在安全云脑和租户服务器之间收集、上传、下发日志。 图1 安全云脑日志采集原理 基本概念 本部分介绍日志采集中涉及的基本概念的描述及其作用。 日志采集组件(Logstash):用于日志采集、日志传输。
“故障”,并且该服务器的CPU使用率或内存使用率即将达到100%。 图1 采集节点故障 图2 采集通道故障 可能原因 用户配置的连接器或解析器在语法或者语义上存在错误,导致采集器无法正常运行,不断重启导致CPU、内存被占满。 问题定位 远程登录采集节点所在的ECS。 您可以登录弹
以下两种方案,选择其中一种执行漏洞修复: 方案一:创建新的虚拟机执行漏洞修复 为需要修复漏洞的ECS主机创建镜像,详细操作请参见通过云服务器创建整机镜像。 使用该镜像创建新的ECS主机,详细操作请参见通过镜像创建云服务器。 在新启动的主机上执行漏洞修复并验证修复结果。 确认修复完成之后将业务切换到新主机。
什么是安全运营中心 安全运营中心(Security Operations Center,SOC)一个集中式功能或团队,负责全天候检测端点、服务器、数据库、网络应用程序、网站和其他系统的所有活动,以实时发现潜在的威胁;对网络安全事件进行预防、分析和响应,以改进企业的网络安全态势。SO
数据盘是否已挂载在ECS中。 使用IAM管理员账号登录管理控制台。 单击管理控制台左上角的,选择区域或项目后,单击页面左上方的,选择“计算 > 弹性云服务器 ECS”。 在弹性云服务器页面中,单击符合条件的ECS名称,进入ECS详情页面。 选择“云硬盘”页签后,在云硬盘页面中查看是否已挂载符合要求的数据盘。
SecMaster”,进入安全云脑管理页面。 在总览页面中,单击右上角“购买安全云脑”,进入购买安全云脑页面。 (可选)购买访问授权。 首次购买需要进行访问授权,获取账号中的ECS主机资产信息。在弹出的访问授权页面中,勾选同意授权并单击“确认”。 在购买安全云脑页面,配置购买参数。 表1 包周期购买专业版参数说明
弹性负载均衡(Elastic Load Balance,ELB)定期向后端服务器发送请求健康检查,通过健康检查来判断后端服务器是否可用。 如果判断出后端服务器健康检查异常,ELB会将异常后端服务器的流量分发到正常后端服务器。 当异常后端服务器恢复正常运行后,ELB会自动恢复其承载业务流量能力。 检
中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。 护网/重保期间需要保证所有ECS主机均接入HSS,尤其是绑定了EIP、以及Web业务所在ECS,以提高主机安全风险防御能力。 查看方法如下: 登录安全云脑控制台,并进入目标工作空间管理页面。
在资源列表中找到用于采集数据ECS资源,并在目标ECS资源所在行“操作”列的“更多 > 退订”或“更多 > 删除”。 图1 退订ECS 在弹出的确认框中,根据界面提示进行退订/删除ECS资源处理,完成ECS资源释放操作。 释放用于连通和管理采集节点的VPC终端节点资源。 在页面左上角单击,选择“安全与合规
查看告警信息 操作场景 告警是运维中的一种异常信号的通知,通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如,当服务器的CPU使用率超过90%时,系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性,能够明确指出
SecMaster”,进入安全云脑管理页面。 在总览页面中,单击右上角“购买安全云脑”,进入购买安全云脑页面。 (可选)购买访问授权。 首次购买需要进行访问授权,获取账号中的ECS主机资产信息。在弹出的访问授权页面中,勾选同意授权并单击“确认”。 在购买安全云脑页面,配置购买参数,参数说明如下所示: 表1 购买安全云脑参数说明
建告警模型页面。 在新增告警模型页面中,配置告警模型信息。 管道名称:选择该告警模型的执行管道。 模型对应管道可以从模型描述中的使用约束中获取,须与约束中的管道信息保持一致,也可以参考执行管道进行填写。 图2 基础配置 其他参数、设置保持默认值即可。 设置完成后,单击“确定”,完成创建。
如需查看某条款的详细信息,在左侧目录树中选中该条款,右侧将展示该条款的详细内容,包括条款内容、遵从状态、改进建议等内容。 如需查看该条款的基本信息和历史记录,可单击该条款名称,右侧将弹出该条款的详细信息。 如需对指定法规进行自评估,请参照以下步骤进行处理: 在左边目录树选择需要自评估的条款。
索并分析所有收集到的日志。 × √(仅支持集成云服务告警) √ 目录定制 支持自定义目录,可以根据需要对目录进行定制。 表12 目录定制功能说明 功能模块 功能描述 基础版 标准版 专业版 目录定制 支持查看已有目录及更换布局等操作。 × √ √ 赠送规格说明 安全云脑增值包中的
如果是永久IAM用户凭证,请在IAM控制台,删除用户凭证,具体操作请参见删除IAM用户。 如果是通过IAM获取的临时安全凭证,则会关联到IAM角色。您可以通过如下方法禁用这些功能: 撤销所有当前角色会话。如果攻击者获取新的临时安全凭证,并继续攻击,跳转到2.a.ii.2。 删除添加到该角色的所有IAM
请选择与(可选)步骤一:购买ECS中ECS相同的区域。 可用区 请选择与(可选)步骤一:购买ECS中ECS相同的可用区。 挂载到云服务器 请选择“立即挂载”,并单击“选择云服务器”,再选择(可选)步骤一:购买ECS中已购买的ECS或当前已有的可用ECS后,单击“确定”。 计费模式
资产安全风险修复后,为降低安全评分的风险等级,需手动忽略或处理告警事件,刷新告警列表中告警事件状态。 安全评分显示为历史扫描结果,非实时数据,如需获取最新数据及评分,可单击“重新检测”,获取最近的数据。 安全监控 “安全监控”板块展示待处理威胁告警、待修复漏洞、合规检查问题的安全监控统计数据。 表2 安全监控参数说明
执行基线检查 为了解最新的云服务基线配置状态,您需要执行扫描任务,扫描结束后才能获取云服务基线的风险配置。基线检查功能支持定期自动检查和立即检查: 定期自动检查:根据安全云脑提供的默认基线检查计划或您自定义的基线检查计划,定时自动执行基线检查。 立即检查:支持立即检查所有检查规范
“自动更改告警名称”剧本已匹配“自动更改告警名称”流程,配置该剧本,需要对流程及流程中的插件进行适配。 “自动更改告警名称”流程共四个插件节点:获取告警类型id、获取告警详情、SecMasterBiz、告警名称更新。本流程只需配置SecMasterBiz插件节点,该节点用来定制告警名称的。 图1
立即执行基线检查 操作场景 为了解最新的云服务基线配置状态,您需要执行扫描任务,扫描结束后才能获取云服务基线的风险配置。基线检查功能支持定期自动检查和立即检查: 定期自动检查:根据安全云脑提供的默认基线检查计划或您自定义的基线检查计划,定时自动执行基线检查。 立即检查:支持立即检
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
