检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置剧本 操作场景 本章节介绍如何配置剧本。配置后,当攻击者通过层层攻击到主机之后,进行告警,通知运营人员进行处置。 前提条件 已在安全云脑工作空间的“设置 > 数据集成”页面中接入来源为HSS和WAF的告警数据。 接入HSS和WAF攻击数据,并开启自动转告警开关,详细操作请参见数据集成。
sec-waf-attack:WAF攻击日志字段含义。 sec-waf-access:WAF访问日志字段含义。 sec-obs-access:OBS访问日志字段含义。 sec-nip-attack:IPS攻击日志字段含义。 sec-iam-audit:IAM审计日志字段含义。 sec-hss-vul:HSS主机漏洞扫描结果字段含义。
实现效果 此处以封堵在WAF中为例进行展示。 封堵成功会在WAF黑名单里看到此IP已被封堵。查看方法如下: 登录WAF控制台,进入“防护策略”页面后,单击目标防护策略名称。 在防护策略详情页面,单击“防护配置”栏中的“黑白名单设置”,可以看到IP已被成功封堵在WAF黑名单中的地址组里。
数据同步或数据一致性相关问题 为什么WAF、HSS中的数据和SecMaster中的数据不一致? 由于SecMaster中汇聚了WAF、HSS上报的所有历史告警数据,而WAF和HSS中展示的是实时告警数据,导致存在SecMaster与WAF、HSS中数据不一致的情况。 因此,建议您前往对应服务(WAF或HSS)进行查看并处理。
将云上资产从不同租户、不同Region汇集到一个视图中。 将云外资产导入到安全云脑中,并标记其所属的环境。 将资产的风险情况标识出来,例如:是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务(例如:ECS上应该安装HSS的Agent、域名应纳入到WAF的防护策略中)。 更多详细介绍及操作请参见资产管理。
安全云脑的策略管理功能可以简化您在多个账户和资源上的管理和维护任务,以实现各种保护,包括WAF、CFW、VPC安全组、IAM。同时,支持统一展示所有策略信息、人工管理七层防线策略、查看人工/自动化拦截记录等操作。 约束与限制 应急策略目前仅支持CFW/WAF/VPC安全组/IAM的黑名单策略。 单用户单工作空间内
华北-北京四、华南-广州、华东-上海一、华北-北京一、华北-北京二、华东-上海二、华东-青岛、西南-贵阳一、华东二 应用安全 Web应用防火墙(WAF) 租户侧云服务 waf-attack WAF攻击日志 华北-北京四、华南-广州、华东-上海一、华北-北京一、华北-北京二、华东-乌兰察布一、华东-上海
安全云脑中的日志存储时间是多久? 安全云脑支持接入WAF、HSS、OBS等云产品的日志数据,接入后可以对数据进行查询分析、智能建模等。 对于已接入安全云脑的日志数据的具体存储时长如下所示: 表1 支持接入的日志 云服务 日志描述 日志 日志生命周期范围 Web应用防火墙(Web Application
)。 方式一:使用模板进行创建 方式二:自定义新增解析器 方式一:使用模板进行创建 此处以“安恒WAF日志解析”为例进行介绍。 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空间管
(可选)配置并启用剧本 安全云脑默认提供了“告警指标提取”、“主机告警状态同步”、“重复告警自动关闭”等剧本。其中,多个剧本已默认启用,无需手动启用。默认已启用以下剧本: 主机告警状态同步、高危漏洞自动通知、主机防线告警关联历史处置信息、云脑WAF地址组关联策略、应用防线告警关联
风险控制 操作场景 支持通过应急策略功能进行风险控制。 安全云脑的应急策略功能可以联动CFW/WAF/VPC安全组对源IP进行封堵和解封。 当护网和重保过程中有情报需要进行单个IP或多个IP进行批量阻断时候,可以通过该功能进行全策略封堵。 风险控制 登录安全云脑控制台,并进入目标工作空间管理页面。
(可选)配置并启用流程 操作场景 安全云脑默认提供了“WAF一键解封”、“主机告警状态同步”、“告警指标提取”等流程,且流程的初始版本(V1)也已启用,无需手动启用。 同时,还支持对已有流程进行自定义编辑,使用自定义流程。本章节将介绍如何配置并启用自定义版本的流程。 启用自定义版本的流程
在数据管道检索页面,单击右上角“索引配置”,页面右侧展示索引配置页面。 在索引配置页面中,配置索引参数。 开启索引状态。 索引状态默认开启,索引状态关闭时,将无法索引和查询采集到的日志。 配置索引参数,参数配置说明如表1所示。 表1 索引配置参数说明 参数名称 参数说明 字段名称
日志流:选择目的LTS日志流。如果无可用日志流,需进行创建,详细操作请参见创建LTS日志流。 其他配置参数,系统默认生成,无需配置。 在“访问授权”中,查看7中授予的权限。 投递请求需要获取访问您云资源的读写权限,授权后,投递任务才能拥有对您云资源相应的访问权限。 单击“确定”。 数据投递授权 在数据投递管理页
索与安全存储。 配置WAF地理位置访问策略 用户可以通过WAF配置地理位置访问控制规则,以实现对指定国家、地区的来源IP的自定义访问控制。 配置WAF回源IP(源站服务器部署在ELB) 回源IP是WAF用来代理客户端请求服务器时用的源IP,在服务器看来,接入WAF后所有源IP都会
本章节主要介绍安全云脑与其他云服务之间的关系。 与安全服务的关系 安全云脑从主机安全(Host Security Service,HSS)、Web应用防火墙(Web Application Firewall,WAF)、Anti-DDoS流量清洗(Anti-DDoS)等安全防护服务中获取必要的安全事件记录,进行大数据挖
HSS功能特性 Web应用防火墙(WAF) 应用安全 WAF服务对网站业务流量进行多维度检测和防护,防御常见攻击,阻断恶意流量攻击,防止对网站造成威胁。相关入侵日志、告警数据等同步给SecMaster,呈现全网Web风险态势。 保障Web应用程序的可用性、安全性。 WAF功能特性 数据库安全服务(DBSS)
向全部阻断,同时关闭告警 Alert 应用安全 云脑WAF地址组关联策略 将安全云脑指定WAF地址组(黑IP地址组)绑定WAF所有企业项目全部策略的黑白名单 CommonContext WAF删除空防护策略 每周一9点查询WAF防护策略,对空防护策略进行删除 CommonContext
应用-分布式url遍历攻击 sec-waf-access 推荐开启 开箱即用已开启 -- 应用-源ip对域名进行爆破攻击 sec-waf-attack 推荐开启 开箱即用已开启 -- 应用-源ip进行url遍历 sec-waf-access 推荐开启 开箱即用已开启 -- 应用-WAF关键攻击告警 sec-waf-attack
和自定义的安全检测规则对多来源的告警及日志进行聚合分析,旨在帮助企业快速发现和响应安全事件,实现对云负载、各类应用及数据的安全保护。 支持接入的云产品和日志 安全云脑支持集成WAF、HSS、OBS等多种华为云云产品的日志数据。集成后,可以检索并分析所有收集到的日志,且默认存储7天。