检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
购买安全云脑时提示权限不足怎么办? 当您在购买安全云脑时,页面提示权限不足时,请参照以下步骤进行处理。 操作步骤 登录管理控制台。 在页面左上角单击,选择“管理与监管 > 统一身份认证服务 IAM”,进入统一身份认证服务管理控制台。 (可选)创建用户组。 如果已创建“SecMaster_ops”用户组,请跳过此步骤。
创建用户并授权使用SecMaster 如果您需要对您所拥有的SecMaster进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),通过IAM,您可以: 根据企业的业务组织,在您的账号中,给企业中不同职能部门的员工
数据采集概述 安全云脑的数据采集功能,提供了将第三方(非华为云)日志数据接入安全云脑的能力。它使用Logstash通过多种方式采集各类日志数据,采集后,可以快速实现历史数据分析比对、数据关联分析、以及未知威胁发现等相关分析。 图1 数据采集 数据采集原理 数据采集的基本原理是安全
Logtash组件配置项说明 租户采集Logstash采集器是安全云脑经过定制化处理的。其在不同传输场景可进行不同程度的优化配置,此处主要提供日志配置log4j2.properties、jvm.options运行内存优化配置。 jvm运行内存配置 图1 jvm.options 表1
查看漏洞详情 操作场景 本章节介绍如何查看漏洞的详细信息。 前提条件 已购买安全云脑专业版,且在有效使用期内。 已在HSS中完成Agent安装操作,详细操作请参见安装Agent。 已接入HSS产品日志并已开启自动转告警设置,详细操作请参见数据集成。如果数据集成操作时接入了主机漏洞
新建/编辑模型 操作场景 安全云脑支持利用模型对管道中的日志数据进行监控,如果检测到有满足模型中设置触发条件的内容时,将产生告警提示。 每个Region的首个工作空间可自动启用当前Region中推荐使用的预置模型。后续新增的用于自定义运营的工作空间,不会自动加载启用,需要用户自定义新建。
什么是区域和可用区? 什么是区域、可用区? 我们用区域和可用区来描述数据中心的位置,您可以在特定的区域、可用区创建资源。 区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region
新增资产连接 操作场景 含义:资产连接是安全编排流程中,每个插件节点需要使用到的连接域名和鉴权参数。 作用:用于在安全编排的流程执行过程中,每个插件节点运行时,传入需要连接的域名信息,以及在访问该域名时,需要使用到的用户鉴权信息,如用户名/密码、账号AK/SK等。 资产连接与插件
安全编排 SecMaster的安全编排功能可以针对云上安全事件提供安全编排剧本,实现安全事件的高效、自动化响应处置。其主要功能如下: 剧本管理:内置自动响应的剧本,支持按需定义扩展。 编写剧本的过程就是将安全运营流程和规程转换为剧本,并在剧本中将各种应用编排到一起的过程,也是将人读安全运营流程转换为机读工作流的过程。
步骤二:日志采集策略调整 日志作为安全运营提供重要数据支撑,护网/重保期间推荐使用一键接入功能接入全部日志,并调整自动转告警功能,结合模型和安全服务攻击日志,通过“告警管理”统一进行跟踪监控。 操作步骤 登录安全云脑控制台,并进入目标工作空间管理页面。 在左侧导航栏选择“设置 >
数据同步或数据一致性相关问题 为什么WAF、HSS中的数据和SecMaster中的数据不一致? 由于SecMaster中汇聚了WAF、HSS上报的所有历史告警数据,而WAF和HSS中展示的是实时告警数据,导致存在SecMaster与WAF、HSS中数据不一致的情况。 因此,建议您
步骤四:创建非管理员IAM账户 本章节介绍如何创建非管理员IAM账户。 租户采集的鉴权采用的是IAM鉴权,因此需要创建拥有安全云脑接口访问权限的IAM最小权限账户(机机账户),同时禁止开启MFA。该账户主要用于租户侧日志采集器登录并访问安全云脑。 操作步骤 使用IAM管理员账号登录管理控制台。
查询与分析语法概述 本部分介绍安全分析使用的查询与分析语法。在安全云脑控制台上,具体输出查询与分析语法位置如下所示: 图1 输入查询与分析语法 基本语法 SQL由查询语句和分析语句组成,以竖线 | 分隔。查询语句可单独使用,分析语句必须与查询语句一起使用。 查询语句 | 分析语句
新增自定义检查计划 操作场景 安全云脑支持根据基线检查计划检查您的资产是否存在风险,默认每隔3天,每次在00:00~06:00对您账号下当前region所有资产按照“安全上云合规检查1.0”遵从包自动执行基线检查。另外,您还可以自定义自动检测周期及时间。 本文档将介绍如何新增自定义基线检查计划。
执行基线检查 为了解最新的云服务基线配置状态,您需要执行扫描任务,扫描结束后才能获取云服务基线的风险配置。基线检查功能支持定期自动检查和立即检查: 定期自动检查:根据安全云脑提供的默认基线检查计划或您自定义的基线检查计划,定时自动执行基线检查。 立即检查:支持立即检查所有检查规范
新增数据投递 操作场景 安全云脑支持将数据实时投递至其他管道或其他华为云产品中,便于您存储数据或联合其它系统消费数据。配置数据投递后,安全云脑将定时将采集到的数据投递至其他管道或对应的云产品。 目前支持投递到以下云产品中:对象存储服务(Object Storage Service,OBS)、云日志服务(Log
漏洞管理 漏洞是攻击者入侵企业系统的主要手段之一,攻击者可以利用漏洞获取系统权限、窃取敏感信息或者破坏系统功能。完成漏洞整改可以有效地提高系统的安全性,预防潜在的攻击。 安全云脑提供漏洞修复帮助用户针对配置隐患和系统漏洞进行排查。安全云脑的漏洞管理分为Linux漏洞、Window
风险控制 操作场景 支持通过应急策略功能进行风险控制。 安全云脑的应急策略功能可以联动CFW/WAF/VPC安全组对源IP进行封堵和解封。 当护网和重保过程中有情报需要进行单个IP或多个IP进行批量阻断时候,可以通过该功能进行全策略封堵。 操作步骤 登录安全云脑控制台,并进入目标工作空间管理页面。
安全编排使用流程 安全编排的使用流程如下: 图1 安全编排使用流程 表1 使用流程 序号 操作项 说明 1 (可选)配置并启用流程 启用需要的安全云脑内置的流程。 安全云脑默认提供了“WAF一键解封”、“主机告警状态同步”、“告警指标提取”等流程,且流程的初始版本(V1)也已启用,无需手动启用。
为什么Global级项目有region级的选择框显示? 安全云脑属于Global级项目,但是,在控制台上还是有Region级的选择框提示: 图1 region选择框 具体原因如下: 方便切换区域 如果您进入的region未部署安全云脑,可以在此处切换至已部署区域。 统一管理数据