检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
复制脚本。 图4 复制安装脚本 安装组件控制器。 使用远程管理工具(例如:Xftp、SecureFX、WinSCP、PuTTY、Xshell等)登录失联ECS节点。 粘贴复制的6.b复制的安装命令,以root权限执行,在ECS中安装Agent。 图5 安装agent 根据界面提示
(可选)步骤一:购买ECS (可选)步骤二:购买数据磁盘 (可选)步骤三:挂载数据磁盘 步骤四:创建非管理员IAM账户 步骤五:网络连通配置 步骤六:安装组件控制器(isap-agent) 步骤七:安装日志采集组件(Logstash) (可选)步骤八:创建日志存储管道 步骤九:配置连接器 (可选)步骤十:配置日志解析器
使用IAM管理员账号登录管理控制台。 单击管理控制台左上角的,选择区域或项目后,单击页面左上方的,选择“计算 > 弹性云服务器 ECS”。 在弹性云服务器ECS列表页面中,单击已有ECS名称,进入ECS详情页面。 查看已有ECS的可用区、规格、镜像、系统盘、数据盘信息。 图1 查看ECS信息 确认ECS系统盘是否大于等于50GB。
某IT员工反馈,通过SSH及其他类似方式无法访问ECS实例。 ECS实例创建正常,华为云的云监控(Cloud Eye)或其他监控工具也没有上报告警,但依然无法访问ECS实例。 由ECS实例的异常指标或异常日志触发生成一个工单在您的工单系统中。 ECS实例在华为云控制台或云监控的告警中上报网络异常问题。
进行确认,例如,查看日志记录、使用网络监控工具等。一旦确认存在异常连接行为,需要立即采取措施切断该异常连接,消除恶意软件,以避免进一步安全问题的发生。 横向移动典型告警 主机防线 主机安全日志 主机-虚拟机横向连接 建议通过堡垒机等审计记录查看该命令是程序执行还是人为操作,如果为
数据采集 数据采集概述 新增节点 配置组件 新增连接 创建解析器 新增采集通道 管理连接 管理解析器 管理采集通道 查看采集节点信息 管理节点和组件 磁盘分区 Logtash组件配置项说明 连接器规则说明 解析器规则说明 升级组件控制器 父主题: 设置
括事件触发和定时触发两种连接器类型。 公共库:是一个公共模块,包含在其他组件中会使用到的API调用和公共函数。 资产连接 资产连接是安全编排流程中,每个插件节点需要使用到的连接域名和鉴权参数。用于在安全编排的流程执行过程中,每个插件节点运行时,传入需要连接的域名信息,以及在访问该
-- 主机-虚拟机横向连接 sec-hss-log 推荐开启 开箱即用已开启 -- 网络-高危端口对外暴露 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-登录爆破告警 sec-nip-attack 推荐开启 开箱即用已开启 -- 主机-异常网络连接 sec-hss-alarm
下载安全报告 操作场景 使用自定义布局创建的安全报告支持下载报告至本地。 本章节将介绍如何下载报告至本地。 下载安全报告 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间
剧本编排”,进入剧本管理页面后,选择“资产连接”页签,进入资产连接管理页面。 图6 资产连接管理页面 在资产连接管理页面中,单击“新增”,右侧弹出新增资产连接面板。 在新增资产连接面板中,配置资产连接参数。 连接名称:输入资产连接名称。此处示例设置为“HSS-北京一”。 插件:选择资产连接所需的插件。此处示例选择为“HSS”。
在左侧导航栏选择“安全编排 > 剧本编排”,进入剧本管理页面后,选择“资产连接”页签,进入资产连接管理页面。 图4 资产连接管理页面 在资产连接管理页面中,单击“微步认证凭据”所在行的“操作”列的“编辑”。 在右侧弹出的编辑资产连接页面中,配置凭证信息。 freeApiKey,payApiKe
exportWorkflow 导入流程 workflow importWorkflow 创建资产连接 asset createAsset 创建资产连接 asset updateAsset 删除资产连接 asset deleteAsset 上传附件 component uploadAttachement
参考查看数据类。 告警:告警是运维中的一种异常信号的通知,通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如,当服务器的CPU使用率超过90%时,系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。告警通常有明确的指示性,能够明确指出异
输入需要阻断的单个(或多个)IP地址或IP地址段,如有多个IP地址或地址段,请使用英文逗号隔开。 标签 自定义应急策略的标签。 操作连接 选择该策略的操作连接。 阻断老化 确认是否老化该条阻断。 原因描述 自定义该策略的描述信息。 单击“确定”。 父主题: 步骤五:安全监控与应急响应
待安装组件控制器(isap-agent)的ECS服务器与存储Agent的OBS桶之间网络不通 ECS服务器的磁盘空间不足 调用iamtoken请求,获取iamtoken失败 workspaceId校验失败 组件控制器(isap-agent)已经安装,系统仍将重复安装 原因排查及解决方法
剧本编排管理 启用流程 启用剧本 管理流程 管理流程版本 管理剧本 管理剧本版本 管理资产连接 查看实例监控 父主题: 安全编排
rz:用于从本地计算机向远程主机上传文件,通常用于SSH会话中。 sz:用于从远程主机向本地计算机下载文件的命令,通常用于SSH会话中。 tcpdump:用于数据包嗅探,可以抓取流动在网卡上的数据包。 nmap:用于网络扫描和嗅探。 nc/ncat:全称netcat,实现很多网络相关功能,如监听、连接端口等。 Web攻击/SQL注入
以下两种方案,选择其中一种执行漏洞修复: 方案一:创建新的虚拟机执行漏洞修复 为需要修复漏洞的ECS主机创建镜像,详细操作请参见通过云服务器创建整机镜像。 使用该镜像创建新的ECS主机,详细操作请参见通过镜像创建云服务器。 在新启动的主机上执行漏洞修复并验证修复结果。 确认修复完成之后将业务切换到新主机。
到目标的other协议每秒新建连接数统计。 tcp_concur_con String 到目标的tcp并发连接数统计。 udp_concur_con String 到目标的udp并发连接数统计。 icmp_concur_con String 到目标的icmp并发连接数统计。 other_concur_con
在应急策略管理页面中,查看应急策略相关信息。 表1 查看应急策略信息 参数名称 参数说明 策略下发数量 统计近一周策略下发执行成功的数量。 操作连接TOP3 统计近一周策略下发执行成功的记录中,TOP3操作连接的数量。 阻断区域TOP5 统计近一周策略下发执行成功的记录中,TOP5阻断区域的数量。 应急策略列表 在应
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
