检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
SSL证书对服务器端口是否有限制? 没有限制。SSL证书是绑定域名或者纯IP使用的,和服务器端口没有任何关系。 父主题: 证书咨询
安全云脑可以免费使用吗? 可以。 安全云脑提供基础版、标准版和专业版三个服务版本。 用户可长期免费使用基础版。 标准版和专业版按需计费,且增值包功能需额外购买。 基础版、标准版与专业版在功能上的差异,请参见产品功能。 有关标准版和专业版价格参考,请参见安全云脑价格计算器。 父主题:
用于读取ES集群的数据,配置规则请参见表7。 表2 tcp连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 端口 port number 1025 是 采集节点端口号 解码类型 codec string plain 是 编码格式 plain:读取原始内容 json:处理json格式内容
节点不同,您可以从地区和终端节点中查询服务的终端节点。 基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。
创建用户并授权使用SecMaster 如果您需要对您所拥有的SecMaster进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),通过IAM,您可以: 根据企业的业务组织,在您的账号中,给企业中不同职能部门的员工
某些漏洞只在特定条件下存在风险,比如某漏洞必须通过开放端口进行入侵,如果主机系统并未开放该端口,则该漏洞不存在危害。如果评估后确认某些漏洞无害,可以忽略该漏洞,无需修复。忽略后,下次HSS漏洞扫描后仍然会对该漏洞进行告警,安全云脑也将同步漏洞信息。同时,如果某个漏洞仍然需要关注,可以执行取消忽略操作。 本章节介绍如何忽略和取消忽略某个漏洞。
ELB证书有效性检查 弹性负载均衡(Elastic Load Balance,ELB)支持两种类型的证书,服务器证书和CA证书。配置HTTPS监听器时,需要为监听器绑定服务器证书,如果开启双向认证功能,还需要绑定CA证书。 检查所有ELB中的证书是否有效可用。如果SSL证书过期且
安全云脑支持跨账号使用吗? 支持。 安全云脑服务的空间托管功能支持跨账号安全运营,可实现Workspace委托集中安全运营查看统一资产风险、告警和事件等。 详细操作请参见空间托管。 父主题: 权限管理
选择安全云脑的计费模式。 包周期:一种预付费模式,即先付费再使用,按照订单的购买周期进行结算。购买周期越长,享受的折扣越大。 按需:一种后付费模式,即先使用再付费,按照实际使用时长计费,秒级计费,按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用,无需提前预置资源,从而降低预置过多或不足的风险。
调查事件 告警转成事件后,就可以在事件管理中查看到生成的事件,事件生成后可以进行调查分析,分析后对事件发起应急响应。您可以在事件上关联与可疑行为相关的实体:资产(如:VM)、情报(如:攻击源IP)、账号(如:泄露的账号)、进程(如:木马)等;也可以关联历史上相似的其他告警或事件。
查看事件信息:告警转成事件后,就可以在事件管理中查看到生成的事件,事件生成后可以进行调查分析,分析后对事件发起应急响应。您可以在事件上关联与可疑行为相关的实体:资产(如:VM)、情报(如:攻击源IP)、账号(如:泄露的账号)、进程(如:木马)等;也可以关联历史上相似的其他告警或事件。
排除。 监测主题配置 输入监测主题。也可以直接单击“打开主题库”,并在主题库中选择监测主题。 监测主题包含中文、字母、数字及特殊字符“+,空格”,且不能以“+,空格”开头和结尾,字符要求在2到50个字符内。 可以输入多个关键词,关键词之间可以用加号“+”和逗号“,”连接。 关键词
[ ALL ] | Intersect | Except query 语法说明 UNION返回多个查询结果的并集。 Intersect返回多个查询结果的交集。 Except返回多个查询结果的差集。 注意事项 集合运算是以一定条件将表首尾相接,所以其中每一个SELECT语句返回的
的日志。通过设置筛选条件,可以帮助您快速、有效地查询到所需日志。 本章节将介绍查询语句以及使用示例。 语法 查询语句有两种形式: 仅为*,表示不进行筛选,返回全量数据。 由一个或多个查询子句组成,子句间通过“NOT”、“AND”、“OR”连接,并支持使用“()”提高括号内查询条件的优先级。
的日志。通过设置筛选条件,可以帮助您快速、有效地查询到所需日志。 本章节将介绍查询语句以及使用示例。 语法 查询语句有两种形式: 仅为*,表示不进行筛选,返回全量数据。 由一个或多个查询子句组成,子句间通过“NOT”、“AND”、“OR”连接,并支持使用“()”提高括号内查询条件的优先级。
风险控制 操作场景 支持通过应急策略功能进行风险控制。 安全云脑的应急策略功能可以联动CFW/WAF/VPC安全组对源IP进行封堵和解封。 当护网和重保过程中有情报需要进行单个IP或多个IP进行批量阻断时候,可以通过该功能进行全策略封堵。 风险控制 登录安全云脑控制台,并进入目标工作空间管理页面。
NIP攻击日志 网络-命令注入告警 如果发现源端口或目的端口为4444、8686、7778等非常用端口(可疑端口一般为4个数字),需联系责任人确认业务场景。如果不是正常业务行为,可能是黑客正在进行命令注入攻击,需要结合业务及主机日志查看是否被成功入侵,同时也可以对攻击ip采取拦截封堵等措施。 入侵成功典型告警
高危操作!请根据您的需要谨慎处理。 主机高危端口暴露检查 HSS提供资产管理功能,主动检测主机中的开放端口,及时发现主机中含有风险的各项资产。 如果检测到开放了危险端口或者开放了不必要的端口,需要排查这些端口是否是正常业务使用,如果不是正常业务端口,建议关闭端口。对于危险端口建议进一步检查程序文件,如果存在风险建议删除或者隔离源文件。
模型页面。 在新增告警模型页面中,配置告警模型信息。 管道名称:选择该告警模型的执行管道。 模型对应管道可以从模型描述中的使用约束中获取,须与约束中的管道信息保持一致,也可以参考执行管道进行填写。 图2 基础配置 其他参数、设置保持默认值即可。 设置完成后,单击“确定”,完成创建。
更多详细介绍及操作请参见查看告警信息、告警转事件。 调查事件 告警转成事件后,就可以在事件管理中查看到生成的事件,事件生成后可以进行调查分析。您可以在事件上关联与可疑行为相关的实体:资产(如:VM)、情报(如:攻击源IP)、账号(如:泄露的账号)、进程(如:木马)等;也可以关联历史上相似的其他告警或事件。 更多详细介绍及操作请参见查看事件信息、编辑事件。
如需查看指定类型资产信息,如主机资产,请选择“主机资产”页签进行查看。 当资产较多时,可以通过搜索功能,可快速查询指定资产。 如果需要查看某个企业项目对应的资产信息,选择企业项目名称进行筛选,查询指定资产信息。 在资产列表中下方可以查看资产总条数。其中,使用翻页查看时最多可查看10000条资产信息,如果需要查看
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
