检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置完成后,便可以针对集成的数据执行资产管理、检测威胁、调查告警等操作。 准备工作 在购买SecMaster之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证,请忽略此步骤。 请保证账户有足够的资金,以免购买SecMaster失败。具体操作请参见账户充值。
下载安全报告 操作场景 使用自定义布局创建的安全报告支持下载报告至本地。 本章节将介绍如何下载报告至本地。 下载安全报告 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间
需配置。 升级方式 默认选择“版本升级”。 可选版本 此处选择“标准版”或“专业版”,升级版本功能。 标签 如果您需要使用同一标签标识多种云资源,即所有服务均可在标签输入框下选择同一标签,建议在TMS中创建预定义标签,也可以直接在此处创建标签。 确认参数配置无误后,在页面右下角单击“立即购买”。
安全编排概述 安全编排(Security Orchestration)是将企业和组织在安全运营过程中涉及的不同系统或者一个系统内部不同组件的安全功能按照一定的逻辑关系组合到一起,以完成某个特定的安全运营过程和规程。旨在帮助企业和组织的安全团队快速并高效地响应网络威胁,实现安全事件的高效、自动化响应处置。
新增节点 操作场景 本章节将介绍如何新增以及编辑节点即如何安装组件控制器(isap-agent)。 安装路径建议为“/opt/cloud”,本章节也以此路径为例进行介绍。如需安装在其他自定义路径中,请根据路径修改,例如,如果安装路径为“/tmp”,则将该章节操作步骤中的安装路径改为“/tmp”。
内置剧本 安全编排根据需求内置了剧本,可以根据需要直接进行使用。 内置剧本 默认已启用以下剧本: 主机告警状态同步、高危漏洞自动通知、主机防线告警关联历史处置信息、云脑WAF地址组关联策略、应用防线告警关联历史处置信息、网络防线告警关联历史处置信息、重复告警自动关闭、告警ip指标
设置对应的购买量。 增值包说明、配置推荐详细介绍请参见增值包规格说明。 日志审计 安全分析 安全编排 标签 如果您需要使用同一标签标识多种云资源,即所有服务均可在标签输入框下选择同一标签,建议在TMS中创建预定义标签,也可以直接在此处创建标签。 购买时长 根据需求选择购买时长,“按需”模式无需配置。
采集节点或采集通道故障,如何处理? 问题现象 采集节点状态和采集通道健康状态采用isap-agent定时上报机制,虽然存在一定的延迟(预计一分钟),但是在采集通道下发3分钟后,采集节点和采集通道的“健康状态”依然显示为“故障”,并且该服务器的CPU使用率或内存使用率即将达到100%。
TS日志流。 其他配置参数,系统默认生成,无需配置。 在“访问授权”中,查看7中授予的权限。 投递请求需要获取访问您云资源的读写权限,授权后,投递任务才能拥有对您云资源相应的访问权限。 单击“确定”。 步骤二:数据投递授权 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
管理告警类型 操作场景 本章节介绍如何管理告警类型,详细操作如下: 查看已有告警类型:查看已有的告警类型及其详细信息。 新增告警类型:介绍如何自定义新增告警类型。 告警类型关联布局:介绍如何将自定义新增的告警类型关联已有布局。 编辑已有告警类型:介绍如何编辑自定义新增的告警类型。
服务韧性 华为云SecMaster当前主要部署在国内,已部署数据中心都处于正常运营状态,无一闲置。数据中心互为灾备中心,如一地出现故障,系统在满足合规政策前提下自动将客户应用和数据转离受影响区域,保证业务的连续性。为了减少由硬件故障、自然灾害或其他灾难带来的服务中断,华为云SecMaster提供灾难恢复计划。
管理事件类型 操作场景 本章节介绍如何管理事件类型,详细操作如下: 查看已有事件类型:查看已有的事件类型及其详细信息。 新增事件类型:介绍如何自定义新增事件类型。 事件类型关联布局:介绍如何将自定义新增的事件类型关联已有布局。 编辑已有事件类型:介绍如何编辑自定义新增的事件类型。
管理漏洞类型 操作场景 本章节介绍如何管理漏洞类型,详细操作如下: 查看已有漏洞类型:查看已有的漏洞类型及其详细信息。 新增漏洞类型:介绍如何自定义新增漏洞类型。 漏洞类型关联布局:介绍如何将自定义新增的漏洞类型关联已有布局。 编辑已有漏洞类型:介绍如何编辑自定义新增的漏洞类型。
步骤九:配置连接器 本章节将介绍如何配置日志来源、接收目的的参数信息。请根据场景选择操作步骤: 将第三方日志接入安全云脑 将安全云脑日志转出至第三方系统或产品 将第三方日志接入安全云脑 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
启用安全模型 在智能建模页面安全云脑内置了基于应用、网络、主机多维度的安全分析模型,自动化的完成数据汇聚、分析和报警。 护网/重保期间建议使用全量内置的模板创建告警模型并启用模型。 通过模型汇聚分析筛选告警,降低误报率,提升值班人员分析处理效率。同时,也可以结合用户场景编辑模型进
组件控制器安装失败,如何处理? 数据采集时,需要在ECS上安装组件控制器(isap-agent),当出现安装失败等问题时,请参照本章节进行排查处理: 排查过程中,常用命令请参见组件控制器常用命令有哪些?。 可能原因 组件控制器(isap-agent)安装失败的可能原因如下: 待安
成员还负责研究新出现的威胁并分析风险,这有助于他们领先于最新威胁。 持续监视 SOC团队使用安全分析解决方案全天候监视整个环境 - 本地、云、应用程序、网络和设备,来发现异常或可疑行为;其中这些解决方案包括安全信息企业管理(SIEM)解决方案、安全编排、自动化和响应(SOAR)解
数据采集概述 安全云脑的数据采集功能,提供了将第三方(非华为云)日志数据接入安全云脑的能力。它使用Logstash通过多种方式采集各类日志数据,采集后,可以快速实现历史数据分析比对、数据关联分析、以及未知威胁发现等相关分析。 图1 数据采集 数据采集原理 数据采集的基本原理是安全
高危漏洞自动通知 剧本说明 安全云脑提供的高危漏洞自动通知剧本,当新增主机漏洞,且等级为高危时,自动通知运营人员。 “高危漏洞自动通知”剧本已匹配“高危漏洞自动通知”流程,该流程需要使用消息通知服务(Simple Message Notification,SMN)来创建安全云脑告
登录安全云脑控制台,并进入目标工作空间管理页面。 在左侧导航栏选择“设置 > 数据集成”,进入云服务日志接入页面。 图1 数据集成页面 护网期间,推荐接入当前region所有云产品日志,请直接单击“一键接入服务日志”前的按钮,一键接入当前region所有云服务日志。 在“主机漏洞扫描结果”、“DDoS攻击日志”、“
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
