检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如果有关联网站资产,则每条网站资产查询3小时前到现在这个时间段内对应的WAF告警数据(告警类型为XSS、SQL注入、命令注入、本地文件包含、远程文件包含、Webshell、漏洞攻击),同样的,最多查询3条告警数据。 如果有对应WAF告警,则将WAF告警数据与本条HSS告警数据进行关联,并通过SMN通知到邮箱。
String 文件路径/名称 file_content String 文件内容 file_new_path String 文件新路径/名称 file_hash String 文件hash file_md5 String 文件md5 file_sha256 String 文件sha256
String 文件路径/名称 file_content String 文件内容 file_new_path String 文件新路径/名称 file_hash String 文件hash file_md5 String 文件md5 file_sha256 String 文件sha256
gion云服务自动化处置。 此步骤以修改“HSS文件隔离查杀”流程为例进行介绍。 在左侧导航栏选择“安全编排 > 剧本编排”,进入剧本管理页面后,选择“流程”页签,进入流程管理页面。 图7 流程管理页面 复制流程版本 在“HSS文件隔离查杀”流程“操作”列,单击“版本管理”,弹出流程版本管理页面。
确认ECS系统盘是否大于等于50GB。 是:跳过(可选)步骤一:购买ECS,执行(可选)步骤二:购买数据磁盘。 否:继续执行2,购买弹性云服务器ECS。 返回弹性云服务器页面,单击页面右上角的“购买弹性云服务器”。 在购买页面配置ECS购买参数信息。 表1 ECS购买参数说明 参数名称 配置说明 基础配置
String 文件路径/名称 file_content String 文件内容 file_new_path String 文件新路径/名称 file_hash String 文件hash file_md5 String 文件md5 file_sha256 String 文件sha256
String 文件路径/名称 file_content String 文件内容 file_new_path String 文件新路径/名称 file_hash String 文件hash file_md5 String 文件md5 file_sha256 String 文件sha256
String 文件路径/名称 file_content String 文件内容 file_new_path String 文件新路径/名称 file_hash String 文件hash file_md5 String 文件md5 file_sha256 String 文件sha256
String 文件路径/名称 file_content String 文件内容 file_new_path String 文件新路径/名称 file_hash String 文件hash file_md5 String 文件md5 file_sha256 String 文件sha256
审计 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后,CTS可记录SecM
管理管道 数据传输消息主题和存储索引组合为数据管道。本章节介绍管理数据管道的相关操作: 创建管道:如果需要使用安全云脑提供的安全分析、数据分析、智能建模功能时,需要创建管道。 查看管道详情:指导用户通过管理控制台查看管道的信息,包括名称、所属数据空间和创建时间等。 编辑管道:管道
批量查询指标结果 功能介绍 批量查询指标结果 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/sa/metrics/hits 表1 路径参数 参数 是否必选 参数类型 描述 project_id
配置索引 安全分析中的索引是一种存储结构,用于对日志数据中的一列或多列进行排序。不同的索引配置,将会产生不同的查询和分析结果,请根据您的需求合理配置索引。 如果您需要使用分析功能,必须配置字段索引。配置字段索引后,您可以指定字段名称和字段值(Key:Value)进行查询,缩小查询
识别到网络攻击后,SOC会快速采取措施,在尽可能减少业务中断的情况下限制对企业/组织的损害。措施可能包括关闭或隔离受影响的客户端和应用程序、暂停被入侵的账户、移除遭到感染的文件,以及运行防病毒和反恶意软件。 发现和修正 在攻击之后,SOC负责将公司恢复到其原始状态。团队将擦除并重新连接磁盘、标识、电子邮件和客户端
表1 威胁态势大屏总览 参数名称 统计周期 更新频率 说明 网络日志攻击 次数 近7天 每小时 近7天弹性公网IP被攻击的次数。 较上周 近7天弹性公网IP被攻击次数,与近7-14天弹性公网IP被攻击次数的差值。 应用日志攻击 次数 近7天 每小时 近7天网站被攻击次数。 较上周 近
失陷的主机进行加固。 入侵成功典型告警 主机防线 主机安全日志 主机-进程和端口信息隐匿、主机-异常文件属性修改 及时判断是否是内部人员操作,是否为误操作。如果是异常进程,或文件存在恶意行为,执行相关命令结束进程。 防御绕过典型告警 主机防线 主机安全告警日志 主机-rootkit事件
脑通过订阅器进行消息分发。 消费者 是用来接收并处理数据的运行实体,负责通过订阅器把安全云脑管道中的消息进行消费并处理。 消息队列 是数据存储和传输的实际容器。 威胁检测模型 是一种被训练的AI智能识别算法模型。能针对特定威胁,自动化的完成数据汇聚、分析和报警,这种检测模式具备较
安全云脑支持集成存储、管理与监管、安全等多种华为云云产品的日志数据。集成后,可以检索并分析所有收集到的日志。 (可选)新增数据空间 创建用于存储收集日志数据的数据空间。 通过控制台接入的数据,系统将创建默认数据空间,无需再进行创建。 (可选)创建管道 创建用于日志数据的采集、存储和查询的数据管道。
步骤七:安装日志采集组件(Logstash) 配置日志采集进程。 (可选)步骤八:创建日志存储管道 将非华为云日志转入安全云脑场景时,需要执行此步骤。将华为云日志转出至第三方系统或产品场景,请跳过此步骤。 在安全云脑中创建日志存储位置(管道),用于日志存储、分析。 步骤九:配置连接器 配置日志来源、接收目的的参数信息。
数据集成 安全云脑中的日志存储时间是多久?
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
