检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
查看数据投递情况 操作场景 数据投递成功后,可以到投递目的地查看数据投递情况。请根据您的投递目的地选择对应操作: 投递到其他数据管道 投递到OBS桶 投递到LTS 前提条件 已完成数据投递操作,具体操作请参见新增数据投递。 投递到其他数据管道 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
需要进行选择: 表1 升级版本 操作场景 说明 版本升级 基础版升级为标准版或专业版:已开通基础版,支持升级到标准版或专业版。 标准版升级为专业版:已购买标准版,支持升级到专业版。 配额增加 同一版本,选择升级版本,支持仅增加配额,详细操作请参见增加配额。 升级版本并增加配额 标
剧本(Playbook):是安全运营流程在安全编排系统中的形式化表述,它是将安全运营流程和规程转换为机读工作流的过程。 剧本体现了安全防护的逻辑,指示如何调度安全能力。剧本具有灵活性和可扩展性,可以根据实际需求进行修改和扩展,以适应不断变化的安全威胁和业务需求。 流程(Workflow):是
SecMaster:显示漏洞的等级,等级是根据漏洞最高CVSS分值得出的,反应漏洞的严重程度。 漏洞等级主要分为高危、中危、低危、提示四个等级,您可以根据漏洞的严重程度(由高到低)进行修复。 父主题: 漏洞管理
如需查看某个资源的某个策略扫描情况,可先在上方筛选框中,选择对应资源,再在表格上方,选择对应遵从包。 图5 具体筛选 在下方策略表格中,单击具体策略“操作”列的“详情”,可进入到相应策略扫描结果界面,查看具体改进建议。 图6 策略扫描详情 每天凌晨1:30自动扫描一次并生成扫描结果。 父主题: 安全治理
全运营过程和规程。 安全编排是将安全运营相关的工具/技术、流程和人员等各种能力整合到一起的一种协同工作方式。 生产者 是用来构建并传输数据到服务端的逻辑概念,负责把数据放入消息队列。 订阅器 用于订阅安全云脑管道消息,一个管道可由多个订阅器进行订阅,安全云脑通过订阅器进行消息分发。
基本语法 语句类型 说明 查询语句 查询语句用于指定日志查询时的筛选条件,返回符合条件的日志。通过设置筛选条件,可以帮助您快速、有效地查询到所需日志。 分析语句 分析语句用于对查询结果进行计算和统计。 约束与限制 查询语句不支持数学运算,比如:(age + 100) ≤ 1000。
权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。 支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理
在数据管道检索页面,单击右上角“索引配置”,页面右侧展示索引配置页面。 在索引配置页面中,配置索引参数。 开启索引状态。 索引状态默认开启,索引状态关闭时,将无法索引和查询采集到的日志。 配置索引参数,参数配置说明如表1所示。 表1 索引配置参数说明 参数名称 参数说明 字段名称 日志字段名称(key)。 字段类型
SecMaster与其他安全防护服务区别,详细内容如表1。 表1 SecMaster与其他服务的区别 服务名称 服务类别 关联与区别 防护对象 功能差异 安全云脑(SecMaster) 安全管理 SecMaster着重呈现全局安全威胁攻击态势,统筹分析多服务威胁数据和云上安全威胁,并提供防护建议。
”页面中的部门信息不为空的资产),按照部门进行统计后取前五名的资产。 Top5 资产防护率 实时 每小时 不同部门资产开启防护的比例,由高到低前五名。 “资产管理”中部门信息不为空的资产,按照部门进行统计后取前五名的信息。 相关操作 如果需要对大屏展示页面进行编辑,请参照以下步骤进行处理。
U资源。 图3 运行状态 执行如下命令,查看采集器运行日志: docker logs isap-logstash -f 通过查看日志,定位到当前采集通道filter部分(解析器)配置有误,如下图所示: 图4 采集器运行日志 执行以下命令,进入采集通道配置文件所在路径。 cd /o
用于发送UDP协议日志,配置规则请参见表10。 消息队列 KAFKA kafka 用于将日志写入Kafka消息队列,配置规则请参见表11。 对象存储 OBS obs 用于写日志到对象存储OBS桶中,配置规则请参见表12。 云脑管道 PIPE pipe 用于将日志写入安全云脑管道中,配置规则请参见表13。 表9 tcp连接器配置规则
建议通过堡垒机等审计记录查看该命令是程序执行还是人为操作,如果为人为操作,需联系对应操作人确定,风格为非正常业务人员操作,需尽快确定该行为是否为异常恶意行为,是否危害到对应虚拟机,及时采取措施,保护计算机和系统的安全。 持久化控制典型告警 网络防线 NIP攻击日志 网络-后门 首先应该立即断开与互联网的连接
time作为时间戳。 ROWS 个数窗口。 RANGE 时间窗口。 注意事项 所有的聚合必须定义到同一个窗口中,即相同的分区、排序和区间。 当前仅支持 PRECEDING (无界或有界) 到 CURRENT ROW 范围内的窗口、FOLLOWING 所描述的区间并未支持。 ORDER
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
