检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
攻击链路分析告警通知 剧本介绍 配置剧本 父主题: 剧本说明
业项目和Region,可支撑不同场景下的工作空间运营模式。 数据空间 数据空间是进行数据分组、负载、流控单元。同一数据空间的数据共享同一负载均衡策略。 数据管道 数据传输消息主题和存储索引组合为数据管道。 父主题: 基本概念
管理数据空间 数据空间是进行数据分组、负载、流控单元。同一数据空间的数据共享同一负载均衡策略。 本章节介绍管理数据空间的相关操作: 新增数据空间:如果需要使用安全云脑提供的安全分析、数据分析、智能建模等功能时,需要新增数据空间。 查看数据空间详情:通过管理控制台查看数据空间信息,包括名称、类型和创建时间等。
问Internet,如果资源只配置了私网IP,就无法直接访问Internet。弹性公网IP可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 安全云脑的资产管理功能会自动完成云EIP资产的梳理。针对EIP资产,支持通过Anti-DDoS通
营模式。在使用安全云脑的基线检查、告警管理、安全分析、安全编排等功能前,需要先创建工作空间,它可以将资源划分为各个不同的工作场景,避免资源冗余查找不便,影响日常使用。 查看工作空间:用户通过管理控制台查看已有工作空间的信息,包括名称、类型和创建时间等。 编辑工作空间:工作空间新增
检测风险项检查项目 检查项目 检查内容 ELB健康状态检查 弹性负载均衡(Elastic Load Balance,ELB)定期向后端服务器发送请求健康检查,通过健康检查来判断后端服务器是否可用。 如果判断出后端服务器健康检查异常,ELB会将异常后端服务器的流量分发到正常后端服务器。
了不安全的配置和漏洞,接下来就是识别可疑活动和威胁。 安全云脑可提供多种内置的由安全专家和分析团队根据已知威胁、常见攻击媒介和可疑活动上报链设计的模板,使您能够执行某些对应操作时收到此类威胁的通知。启用这些模板后,它们将自动在整个环境中搜索可疑活动。同时,可以根据需要自定义模板,以搜索或筛选出活动。
功能介绍 在使用安全云脑的基线检查、告警管理、安全分析、安全编排等功能前,需要创建工作空间,它可以将资源划分为各个不同的工作场景,避免资源冗余查找不便,影响日常使用。 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces 表1
击邮件正文的“订阅确认”链接,会弹出订阅成功页面。 步骤二:配置并启用剧本 在安全云脑中,默认“攻击链路分析告警通知”流程的初始版本(V1)也已启用,无需手动启用。默认“攻击链路分析告警通知”剧本的初始版本(V1)也已激活,只需要启用就可以进行使用。 在页面左上角单击,选择“安全与合规
模式。 在使用安全云脑的基线检查、告警管理、安全分析、安全编排等功能前,需要先创建工作空间,它可以将资源划分为各个不同的工作场景,避免资源冗余查找不便,影响日常使用。 本章节介绍如何新增工作空间。 约束与限制 付费版本安全云脑:单账号单Region内最多创建5个工作空间。 免费版
用于使用OBS插件场景,查询、上传、下载对象。 ELB ReadOnlyAccess 弹性负载均衡服务只读权限 SecMaster_Agency 用于同步ELB信息,补全告警受影响资产信息的场景使用。 用于剧本流程中执行基线检查功能获取租户ELB资产信息。 CFW FullAccess 云防火墙所有权限
剧本介绍 背景说明 攻击链路在网络安全领域中是一个重要的概念,它主要指的是攻击者为了达成攻击目的,在目标网络或系统中采取的一系列攻击步骤和路径。这些步骤和路径构成了攻击链路,通过它们,攻击者能够逐步深入目标系统,最终实现其攻击目标。 攻击链路对目标网络或系统的危害是巨大的。一旦攻
剧本说明 勒索事件响应方案 攻击链路分析告警通知 HSS文件隔离查杀 自动更改告警名称 高危漏洞自动通知 高危告警自动通知 高危告警自动化安全封堵 关键运维操作实时通知
自动同步主机告警状态 Alert 高危漏洞自动通知 对威胁等级为High的漏洞进行邮件或者短信通知 Vulnerability 攻击链路分析告警通知 针对攻击链路进行分析,如果主机产生告警,就会查看关联主机所属的网站,如果有对应网站信息且有告警,就进行告警通知 Alert 主机资产风险统计通知
中,以便他们能够及时履行其沟通职责。如果地方或联邦法规要求报告此类事件,请通知有关当局,并向其法律顾问或执法部门寻求关于收集证据和保存监管链的指导。如果法规没有要求,向开放数据库、政府机构或非政府组织报告此类事件也可能有助于推进响应此事件。 控制事件。 尽早检测异常用户行为或网络
证。 data_source_fields Object 数据源自定义信息,最多支持50个key/value对,约束条件: 该对象不能包含冗余数据,并且不能与已定义的事件格式字段冲突。 字段名称可以包含字母数字字符、空格和以下符号:_ . / = + \ - @。 示例: "data_source_fields":
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
