检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
威胁检测服务总览 该任务指导您通过“检测结果”界面查看威胁检测服务的概况,包括服务简介、流程引导和告警信息。 前提条件 已成功购买威胁检测服务。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图1所示。
图4 告警可信度单条反馈 批量告警反馈。选中多条告警信息最左侧的复选框,单击复选框上方“反馈可信度”,在弹出窗口中确认反馈的告警信息的准确性,告警结果可信单击“准确”,告警结果与实际情况存在偏差单击“不准确”,如图5所示。 图5 告警可信度批量反馈
主机安全服务(HSS) Anti-DDoS流量清洗(Anti-DDOS) Web应用防火墙(WAF) 云堡垒机(CBH) 容器安全服务(CGS) 漏洞扫描服务(VSS) 检测/分析数据源 统一身份认证服务(IAM)全量日志 云解析服务(DNS)全量日志 云审计服务(CTS)全量日志 全局服务的虚拟私有云服务(VPC)全量日志
威胁检测服务购买后如何使用? 您完成创建威胁检测引擎和配置追踪器两步操作后,即可正常使用。 步骤一:创建威胁检测引擎 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图 威胁检测服务首页所示。 图1
前ECS,根据需要使用新ECS来做代替。 PortScan VPC侦测到ECS存在端口扫描访问数量异常。 默认严重等级:中危。 数据源:VPC流日志。 此调查结果通知您,检测到某些ECS正在扫描远程资源的出站端口,可能从事非法活动。 修复建议:如果此事件为异常行为,则您的ECS有
图5 告警可信度单条反馈 批量告警反馈。选中多条告警信息最左侧的复选框,单击复选框上方“反馈可信度”,在弹出窗口中确认反馈的告警信息的准确性,告警结果可信单击“准确”,告警结果与实际情况存在偏差单击“不准确”,如图6所示。 图6 告警可信度批量反馈 告警类型详情 威胁检测服务
续费管理”,进入费用中心“续费管理”页面。 在“续费管理”页面,选择“手动续费项”页签。 选中“产品类型”为“威胁检测服务”的所有待续费项,单击“批量续费”,跳转至“续费”页面。 配置“续费时长”,如选择“9个月”。 单击“去支付”,跳转至支付页面,完成付款。 返回续费管理页面,可查看威胁检测服务已续费成功,确认倒计时天数。
如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。 Exploit 发现与历史情报相似的漏洞利用域名访问。 默认严重级别:中危。 数据源:DNS日志。 此调查结果通知您,发现一个与历史情报相似的漏洞利用域名访问。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。
如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。 Exploit 发现与历史情报相似的漏洞利用域名访问。 默认严重级别:中危。 数据源:DNS日志。 此调查结果通知您,发现一个与历史情报相似的漏洞利用域名访问。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。
同步检测结果 威胁检测服务告警结果默认保存30天,按照等保合规要求数据至少需要存储180天,为了满足等保合规要求对于MTD数据的存储要求,需将MTD数据转存至OBS桶满足等保合规要求。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规
此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 Exploit 发现与历史情报相似的漏洞利用IP访问。 默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议:
此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 Exploit 发现与历史情报相似的漏洞利用IP访问。 默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议:
开启日志检测 前提条件 已购买威胁检测服务且已创建检测引擎。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图1所示。 图1 威胁检测服务首页 在左侧选择“设置 > 检测设置”,进入“检测设置”界面。
关闭日志检测 该章节指导您关闭Region下的服务日志检测,关闭后停止对服务新产生的日志数据的检测,不影响历史已检测的数据及结果。 前提条件 已购买威胁检测服务且已创建检测引擎。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 >
查看日志检测信息 您可以查看当前正在检测中的服务日志。 前提条件 已购买威胁检测服务且已创建检测引擎。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图1所示。 图1 威胁检测服务首页
步骤一:购买和创建威胁检测引擎 创建威胁检测引擎后,威胁检测服务将实时检测目标Region中接入的各类服务日志数据。 前提条件 已通过主账号对子账号赋予MTD权限。详细操作请参见如何通过主账号对子账号赋予MTD权限?。 当您使用子账号对服务进行创建检测引擎或其它操作时,需要您通过主账号对子账号
步骤一:购买和创建威胁检测引擎 创建威胁检测引擎后,威胁检测服务将实时检测目标Region中接入的各类服务日志数据。 前提条件 已通过主账号对子账号赋予MTD权限。详细操作请参见如何通过主账号对子账号赋予MTD权限?。 当您使用子账号对服务进行创建检测引擎或其它操作时,需要您通过主账号对子账号
步骤二:配置追踪器 在创建威胁检测引擎时,默认开启了CTS服务日志检测,但是此时MTD服务不能正常获取CTS服务的日志数据源,为了保证威胁检测服务能正常获取CTS服务的日志数据源,您需要配置追踪器。 本章节将介绍配置追踪器的详细操作。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。
步骤二:配置追踪器 在创建威胁检测引擎时,默认开启了CTS服务日志检测,但是此时MTD服务不能正常获取CTS服务的日志数据源,为了保证威胁检测服务能正常获取CTS服务的日志数据源,您需要配置追踪器。 本章节将介绍配置追踪器的详细操作。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。
名单库策略提升检测效率 场景说明 MTD服务支持添加所有服务发现的情报/白名单IP或域名至名单库,添加后MTD将优先关联检测名单库中的IP或域名,及时发现(情报)/忽略(白名单)名单库中IP/域名地址的活动,降低检测响应时间,提升检测效率,减轻MTD运行负载。 如果目标IP或域名