检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
述,按照告警等级由高到低的优先级进行处理。 受影响资源 受到威胁攻击的资源个数。 发生次数 该告警产生的次数,可单击切换排序。 首次发生 该告警首次发生的具体时间,可单击切换排序。 最近发生 该告警最近一次发生的具体时间,可单击切换排序。 单击“标题”列的值可查看“结果详情”,如
Attacker 发现与历史情报相似的恶意攻击IP访问。 默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 BlackList 发现与历史情报相似的黑名单IP访问。
Attacker 发现与历史情报相似的恶意攻击IP访问。 默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 BlackList 发现与历史情报相似的黑名单IP访问。
设置告警通知 MTD可以将检测出的异常行为(潜在的恶意活动、未经授权行为等)通过短信或邮件的方式发送给用户。 设置告警通知需要联动态势感知服务(SA)对接消息通知服务(SMN)来实现,具体操作方法见本章节进行处理。 前提条件 已购买MTD并创建威胁检测引擎,具体操作请参见购买和创建威胁检测引擎。
PI通常用于更改您的账户中的安全组、路由和ACL的网络访问权限。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 ResourcePermissions 发现与历史情报相似的恶意IP尝试调用一个API,该API通常用于更改您的账户中各种资源的安全访问策略。 严
PI通常用于更改您的账户中的安全组、路由和ACL的网络访问权限。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 ResourcePermissions 发现与历史情报相似的恶意IP尝试调用一个API,该API通常用于更改您的账户中各种资源的安全访问策略。 严
DGA(Domain Generate Algorithm域名生成算法)是一种使用时间,字典,硬编码的常量利用一定的算法生成的域名。 DGA生成的域名具有微随机性,用于中心结构的僵尸网络中与C&C服务器的连接,以逃避域名黑名单检测技术。 父主题: 产品咨询
如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。 Adware 发现与历史情报相似的广告软件访问。 默认严重级别:中危。 数据源:DNS日志。 此调查结果通知您,发现一个与历史情报相似的恶意广告软件访问。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。 CnC 发现与历史情报相似的CNC服务器访问。
如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。 Adware 发现与历史情报相似的广告软件访问。 默认严重级别:中危。 数据源:DNS日志。 此调查结果通知您,发现一个与历史情报相似的恶意广告软件访问。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。 CnC 发现与历史情报相似的CNC服务器访问。
威胁检测服务可以跨区域使用吗? 不可以。 威胁检测服务是Region级服务,您只能在购买时选择的Region下使用。 父主题: 区域与可用区
该章节指导您删除导入的威胁情报文件。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图1所示。 图1 威胁检测服务首页 在左侧选择“设置 > 威胁情报”,进入“威胁情报”界面。 在待删除的威胁情报
TD服务不能正常获取CTS服务的日志数据源,为了保证威胁检测服务能正常获取CTS服务的日志数据源,您需要配置追踪器。 本章节将介绍配置追踪器的详细操作。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面。
TD服务不能正常获取CTS服务的日志数据源,为了保证威胁检测服务能正常获取CTS服务的日志数据源,您需要配置追踪器。 本章节将介绍配置追踪器的详细操作。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面。
删除白名单 该章节指导您删除上传的白名单文件。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图1所示。 图1 威胁检测服务首页 在左侧选择“设置 > 威胁情报”,进入“威胁情报”界面。
找到“追踪器类型”为“管理事件”的唯一默认追踪器,如图 管理事件追踪器所示。 “追踪器类型”为“管理事件”的追踪器无需创建,系统默认生成。 图4 管理事件追踪器 单击目标追踪器“操作”列的“配置”,在弹出的“配置追踪器”窗口中,单击“事件分析”后的,开启事件分析,如图 开启事件分
该章节指导您关闭Region下的服务日志检测,关闭后停止对服务新产生的日志数据的检测,不影响历史已检测的数据及结果。 前提条件 已购买威胁检测服务且已创建检测引擎。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图1所示。
威胁情报”,进入“威胁情报”界面。 查看威胁情报的详细信息,如表1所示。 表1 威胁情报 参数 说明 文件名称 威胁情报文件的名称。 类型 威胁情报文件的类型,包括“IP”和“域名”。 格式 威胁情报文件的格式,目前仅支持Plaintext格式的文件,详情请参见如何编辑Plaintext格式的对象?。 上传时间
在页签“日志数据源”,可查看开启/未开启日志数据源的检测服务,如图2所示,单击对应服务的开关可关闭/开启对应服务的日志数据源检测,相关参数说明如表1所示。 图2 日志数据源 表1 日志检测 参数 说明 开关状态 是否开启该服务的日志检测。 :开启状态 :关闭状态 累计流量 从开启服务日志检测到当前,累计的日志检测总量。
选择“白名单”页签,查看白名单的详细信息,如表1所示。 表1 白名单 参数 说明 文件名称 白名单文件的名称。 类型 白名单文件的类型,包括“IP”和“域名”。 格式 白名单文件的格式,目前仅支持Plaintext格式的文件,详情请参见如何编辑Plaintext格式的对象?。 上传时间 白名单文件的上传时间。
登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图1所示。 图1 威胁检测服务首页 在左侧选择“设置 > 检测设置”,进入“检测设置”界面。 选择需要开启检测的服务日志,单击,服务日志下的图标变为,表示目标服务的日志实时检测已开启,如图2所示。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
