检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
示例:日志内容为:user:WAF日志用户张三。 关闭“包含中文”开关后,按照分词符半角冒号(:)进行拆分,日志会被拆分为user、WAF日志用户张三,您可以通过user或WAF日志用户张先生查找该日志。 开启“包含中文”开关后,日志服务后台分词器将日志拆分为user、WAF、日志、用户和张
t) 本章节介绍如何安装安全云脑组件控制器(isap-agent),将日志采集器节点(ECS)纳管到安全云脑。 安装组件控制器 在步骤五:网络连通配置执行后的页面中,单击页面右下角“下一步”,进入“脚本安装验证”页面。 单击复制安装组件控制器的命令。 图1 复制安装命令 安装组件控制器。
可扩展性,可以根据需要进行修改和扩展;而流程则相对固定,一旦设计完成,就需要按照规定的步骤执行。 示例:以一个具体的网络安全事件响应案例为例,当组织遭受到一次网络攻击时,安全编排系统会首先根据预设的剧本识别出攻击的类型和严重程度。然后,系统会根据剧本中定义的流程,自动触发相应的安
日志进行聚合分析,旨在帮助企业快速发现和响应安全事件,实现对云负载、各类应用及数据的安全保护。 支持接入的云产品和日志 安全云脑支持集成WAF、HSS、OBS等多种华为云云产品的日志数据。集成后,可以检索并分析所有收集到的日志,且默认存储7天。 具体支持接入的云服务日志请参见支持接入的云服务日志。
启用流程 流程是剧本触发时响应的方式,安全云脑默认提供了“WAF一键解封”、“主机告警状态同步”、“告警指标提取”等流程。流程的初始版本(V1)系统默认启用,无需手动启用。同时,还支持对已有流程版本进行自定义编辑,使用自定义流程。 本章节将介绍如何配置并启用自定义版本的流程: 复制流程版本
事件的目的是为了记录、分析、报告或审计,通常用于记录和报告系统的历史行为,以便于分析和审计。 告警 告警是运维中的一种异常信号的通知,通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如,当服务器的CPU使用率超过90%时,系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。
换的情况下,可自定义新增日志解析器(规则)。 方式一:使用模板进行创建 方式二:自定义新增解析器 方式一:使用模板进行创建 此处以“安恒WAF日志解析”为例进行介绍。 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
购买量 根据需要自定义配置。 确认参数配置无误后,单击“立即购买”。 在订单页面,根据界面提示完成购买操作。 购买完成后,不需要初始化,后续网络连通配置会自动进行初始化配置。 父主题: 实施步骤
对象存储 OBS obs 用于读取对象存储OBS桶的日志数据,配置规则请参见表4。 消息队列 KAFKA kafka 用于读取Kafka网络日志数据,配置规则请参见表5。 云脑管道 PIPE pipe 用于将安全云脑数据外发到租户侧,配置规则请参见表6。 Elasticsearch
根据需要选择符合要求的系统盘。 数据盘 最低要求数据磁盘100 GB。 单击“增加一块数据盘”,根据需要选择符合要求的数据盘。 开启备份 根据需要自定义配置。 网络 虚拟私有云 根据需要自定义配置。 配置后,请记录此处选择的虚拟私有云和主网卡信息,方便后续使用。 主网卡 安全组 根据需要自定义配置。 公网访问
同一个系统不同组件的安全功能按照一定的逻辑关系组合到一起,以完成某个特定的安全运营过程和规程。旨在帮助企业和组织的安全团队快速并高效地响应网络威胁,实现安全事故的高效自动化响应处置。主要内容包括运营对象管理、剧本编排管理、页面布局管理、插件管理。 设置:设置日志采集或日志接入相关配置,实现日志采集或日志接入安全云脑。
过关联账号维度查看成本分配。 使用成本单元进行成本分配 企业可以使用成本中心的“成本单元”来拆分公共成本。公共成本是指多个部门共享的计算、网络、存储或资源包产生的云成本,或无法直接通过企业项目、成本标签分配的云成本。这些成本不能直接归属于单一所有者,因此不能直接归属到某一类别。使
本章节介绍如何执行批量阻断、批量取消阻断操作。 约束与限制 将IP或IP地址段或IAM用户配置为黑名单后,来自该IP或IP地址段的访问,CFW/WAF/VPC/IAM将不会做任何检测,直接拦截。 批量阻断 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规
简而言之,SecMaster是呈现全局安全态势的服务,HSS是提升主机和容器安全性的服务。 服务功能区别 SecMaster通过采集全网安全数据(包括HSS、WAF、AntiDDoS等安全服务检测数据),提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力,帮助您实现一体化、自动化安全运营管理,满足您的安全需求。
页面中的部门信息不为空的资产。 TOP5 部门未防护统计 呈现TOP5的部门未覆盖防护策略情况,包括部门的名称、未覆盖策略数、DBSS、WAF、DDoS、HSS、CFW。 TOP5是从部门索引取值,按未防护资产数降序排序。 表3 部门未防护统计 参数名称 统计周期 更新频率 说明
HSS不支持扫描如用友、金蝶等商用软件的漏洞,因此商用软件漏洞您需要自行排查。 如果Web服务器的应用漏洞无法修复,您可以通过配置安全组规则,限制只可内网访问,或使用WAF防护(只能降低风险,通过内网渗透或规则绕过依然有被入侵的风险)。 如下是近两年在攻防演练中被红队利用最频繁且对企业危害较高的应用漏洞,HS
基础版 标准版 专业版 事件管理 集中呈现事件详情,支持人工转事件、自动化转事件。 × √ √ 告警管理 通过集成云服务告警,包含HSS、WAF、DDoS等,集中呈现并管理告警信息。 × √ √ 情报管理 支持基于告警和事件自定义规则提取指标。 × × √ 智能建模 支持利用模型对
object 告警分类,详细定义参考《告警类型定义》 network_list Array of network_list objects 网络信息 resource_list Array of resource_list objects 受影响资源 remediation remediation
object 事件分类,详细定义参考《告警事件类型定义》 network_list Array of network_list objects 网络信息 resource_list Array of resource_list objects 受影响资源 remediation remediation
object 告警分类,详细定义参考《告警类型定义》 network_list Array of network_list objects 网络信息 resource_list Array of resource_list objects 受影响资源 remediation remediation
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
