检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
资源规划 账户 具有安全云脑数据采集管理权限,且非管理员的IAM账户。 ECS规格要求 安装采集器(isap-agent + Logstash)的租户云服务器(ECS)规格要求如下表: 表1 ECS规格 CPU内核数 内存大小 系统磁盘存储大小 数据磁盘存储大小 采集器参考处理能力
事件响应方案:勒索主机隔离剧本 针对勒索软件,安全云脑提供的“勒索主机隔离”剧本,自动隔离勒索主机。当触发勒索软件告警时,该剧本通过将受影响主机添加到安全组,并阻止所有入向和出向流量来将其隔离,这种隔离方式对于防止勒索软件在网络内传播至关重要。 图1 主机隔离-恶意软件 事件响应流程
如何自定义导入主机资产? 安全云脑的资产管理页面中,支持自定义导入主机资产。 本章节将介绍如何自定义导入主机资产。 自定义导入主机资产 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
安全云脑(SecMaster)是华为云原生的新一代安全运营中心,集华为云多年安全经验,基于云原生安全,提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力,可以鸟瞰整个云上安全,精简云安全配置、云防护策略的设置与维护,提前预防风险,同时,可以让威胁检测和响应更智
动转告警,则在“漏洞管理”将不会展示主机相关的漏洞扫描情况。 在待设置云产品的“自动转告警”列,单击,开启接入的云服务日志满足告警条件时,自动转为告警,并且在“告警管理”页面中进行展示。 此处示例,开启HSS“主机安全告警”、“主机漏洞扫描结果”转告警设置。 如果此处未开启自动转
成员还负责研究新出现的威胁并分析风险,这有助于他们领先于最新威胁。 持续监视 SOC团队使用安全分析解决方案全天候监视整个环境 - 本地、云、应用程序、网络和设备,来发现异常或可疑行为;其中这些解决方案包括安全信息企业管理(SIEM)解决方案、安全编排、自动化和响应(SOAR)解
主机配额配置说明如表1所示。 表1 主机配额参数说明 参数 说明 主机配额 主机资产支持防护的最大主机数量。 请根据当前账户下所有主机资产总数设置配额数,可设置最大主机配额需等于或大于当前账户下主机总数量,且不支持减少。 说明: 主机配额最大限制为10000台。 为避免主机资产在防护配额外,不能
为需要修复漏洞的ECS主机创建镜像,详细操作请参见通过云服务器创建整机镜像。 使用该镜像创建新的ECS主机,详细操作请参见通过镜像创建云服务器。 在新启动的主机上执行漏洞修复并验证修复结果。 确认修复完成之后将业务切换到新主机。 确定切换完成并且业务运行稳定无故障后,可以释放旧的主机。如果业务
请根据实际情况进行排查处理。 系统行为异常/高危命令执行 数据来源 主机安全告警日志 告警呈现 【dangercmd】【HSS】主机:{{ipList}}执行dangercmd,{{__time}} 监控场景主机执行 高危命令 告警对应字段 高危命令在安全云脑的告警中对应的字段查看方法如下:
在主机中安装Agent后,您的主机才能受到HSS的保护。 检查主机Agent是否为在线状态。 主机安全检测状态检查 主机安全服务(Host Security Service,HSS)将实时检测主机中的风险和异常操作,在每日凌晨将对主机执行全面扫描。执行配置检测后,您可以根据检测结果中的相关信息,修复主机中含有风险的配置项或忽略可信任的配置项。
请及时执行恶意程序云查杀,排查系统恶意程序。 如果您的主机被暴力破解,攻击源IP被HSS拦截,请参考如下措施,加固主机安全。 请及时确认登录主机的源IP的可信情况。 请及时登录主机系统,全面排查系统风险。 请根据实际需求升级HSS防护能力。 请根据实际情况加固主机安全组、防火墙配置。
操作过程中,如果提示权限不足,请参照添加权限进行处理。 约束与限制 配额数是授权检测主机的数量。主机配额最大限制为10000台。 在购买安全云脑时,选择的最大配额需等于或大于当前账户下主机总数量,且不支持减少。如果购买的最大配额小于主机数量,可能会造成未授权检测的主机被攻击后,不能及时感知威胁,造成数据泄露等风险。
升级组件控制器 操作场景 租户采集原组件控制器采用salt方案,考虑到业务的发展,在设计上采用了agent的方式,需要将原有agent进行升级操作,即将租户采集salt-minion升级到isap-agent。 升级不影响数据面。 升级前准备 租户采集鉴权采用IAM鉴权,因此,需
Database Service,RDS)、虚拟私有云(Virtual Private Cloud,VPC)、弹性公网IP(Elastic IP,EIP)。 云外资产:非华为云云上资产,如本地服务器、IDC服务器或第三方云厂商的服务器等。 安全云脑对云上或云外资产的管理支持如下操作: 管理云上资
恶意软件攻击是指通过电子邮件、远程下载、恶意广告等多种手段,向用户传播恶意软件(如病毒、蠕虫、木马、勒索软件等),并在目标主机上执行恶意程序,从而实现对远程主机的控制、攻击网络系统、窃取敏感信息或进行其他恶意行为。这类攻击对计算机系统、网络和个人设备的安全构成了严重威胁,可能导致数
日志接入或转出操作指导 方案概述 资源规划 操作流程 实施步骤
编排系统中的形式化表述。 安全云脑默认提供了“告警指标提取”、“主机告警状态同步”、“重复告警自动关闭”等剧本。其中,多个剧本已默认启用,无需手动启用。默认已启用以下剧本: 主机告警状态同步、高危漏洞自动通知、主机防线告警关联历史处置信息、云脑WAF地址组关联策略、应用防线告警关
列表中,选中目标ECS单击操作”列的“远程登录”登录主机,详细操作请参见在云服务器控制台上登录主机。 如果您的主机已经绑定了弹性IP,您也可以使用远程管理工具(例如:PuTTY、Xshell等)登录主机,并使用root账号在主机中安装组件控制器。 粘贴2复制的安装命令,并以root权限执行,在ECS中安装组件控制器。
系统内置的类型和子类型不支持关联布局、编辑、删除、启用和禁用。 其中,内置的IP和主机(物理机和虚拟机)类型可以执行启用和禁用操作,实现“资产管理”页面中展示类型的控制,详细操作请参见如何自定义导入主机资产?、如何让IP类型资产在资产管理页面中显示?。 查看已有的自定义类型/子类型
Alert 勒索主机隔离 当主机告警类型是勒索软件,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断 Alert 主机防线告警关联历史处置信息 针对主机类告警,关联HSS告警历史处置信息,并添加至该告警评论中 Alert 新增主机资产防护状态通知 新增主机资产为未防护状态,通知客户及时防护
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
