检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
新增资产连接 操作场景 含义:资产连接是安全编排流程中,每个插件节点需要使用到的连接域名和鉴权参数。 作用:用于在安全编排的流程执行过程中,每个插件节点运行时,传入需要连接的域名信息,以及在访问该域名时,需要使用到的用户鉴权信息,如用户名/密码、账号AK/SK等。
同时,告警可以按照严重程度来进行分类,如紧急、重要、一般等,以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员,以便他们能够迅速响应并采取措施解决问题。
集成后,安全云脑中漏洞的等级和HSS中修复优先级的说明如下: HSS:显示漏洞的修复优先级,它是由漏洞最高CVSS分值、漏洞发布时间和漏洞影响的资产重要性进行加权计算得出,反映了漏洞修复的紧急程度。
重要性与紧急程度 告警: 告警一般需要立即评估和响应。 每条告警的紧急程度和重要性各不相同,取决于告警的类型、级别和影响的范围。一些告警可能只是简单的提醒或预警,而另一些告警则可能表示系统已经遭受严重攻击或面临重大故障风险。
图6 关闭告警 告警处置举例 此处以“【应用】源ip xx.xx.xx.xx 对域名demo.host.com进行了xx次攻击”告警为例进行说明。 收到告警: 图7 告警示例 分析思路: 源IP对域名进行爆破攻击,会对可能的子域名产生大量的枚举和测试。
MEDIUM:问题需要处理,但不紧急。 HIGH:问题必须优先处理。 FATAL:问题必须立即处理,以防止产生进一步的损害。 normalize_score Int 严重性评分,取值范围:0-100。
sec-waf-access url like '*actuator*' and response_code='200' | select *,count(x_forwarded_for) as num group by x_forwarded_for,remote_ip,http_host,url 某域名访问
无法创建独享引擎 SYS.SecMaster 独享引擎运行异常 紧急 一般是由于流量过大或者恶意流程,插件导致。 排查流程,插件执行是否占用资源过多。 查看实例监控,短期内是否实例数量暴增。
已防护 已购买WAF,且已在WAF中接入网站域名并开启防护。 -- 对应的安全防护产品(WAF)在该region不支持使用。
根据界面提示,输入步骤四:创建非管理员IAM账户中创建的机机账户域名、用户名、密码。 如果界面回显“install isap-agent successfully”信息时,则表示组件控制器安装成功。
MEDIUM:问题需要处理,但不紧急。 HIGH:问题必须优先处理。 FATAL:问题必须立即处理,以防止产生进一步的损害。
2: Medium – 问题需要处理,但不紧急。 3: High – 问题必须优先处理。
将资产的风险情况标识出来,例如:是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务(例如:ECS上应该安装HSS的Agent、域名应纳入到WAF的防护策略中)。 更多详细介绍及操作请参见资产管理。
执行管道 表1 模型的执行管道 模型名称 管道 是否开启 状态 备注 应用-分布式url遍历攻击 sec-waf-access 推荐开启 开箱即用已开启 -- 应用-源ip对域名进行爆破攻击 sec-waf-attack 推荐开启 开箱即用已开启 -- 应用-源ip进行url遍历
//{{SMN_ENDPOINT}}/v2/{{project_id}}/notifications/topics/urn:smn:{{region_id}}:{{project_id}}:SecMaster-Notification SMN_ENDPOINT:为SMN服务调用域名
2: Medium – 问题需要处理,但不紧急。 3: High – 问题必须优先处理。
2: Medium – 问题需要处理,但不紧急。 3: High – 问题必须优先处理。
响应方案 攻击者攻击域名成功之后会对后端服务器进行攻击,因此针对此链路攻击的路径,安全云脑提供了攻击链路分析告警通知剧本。当攻击者通过层层攻击到主机之后,进行告警,通知运营人员进行处置。
Endpoint: 指定承载REST服务端点的服务器域名或IP,不同服务不同区域的Endpoint不同,您可以从地区和终端节点获取。 例如IAM服务在“华北-北京四”区域的Endpoint为“iam.cn-north-4.myhuaweicloud.com”。
2: Medium – 问题需要处理,但不紧急。 3: High – 问题必须优先处理。