-
执行基线检查 - 安全云脑 SecMaster
执行基线检查 接入数据后,需要执行基线检查,以便检查云上资产的关键配置项。通过执行扫描任务,检查云服务基线配置风险状态,分类呈现云服务配置检测结果,告警提示存在安全隐患的配置,并提供相应配置加固建议和帮助指导。 建议启用以下检查规范:安全上云合规检查1.0 操作步骤 登录管理控制台。
-
执行手动检查 - 安全云脑 SecMaster
执行手动检查 操作场景 基线检查的“等保2.0三级要求”中所有的检查项目、“安全上云合规检查1.0”和“护网检查”中的一些检查项目为手动检查项,需要您在线下执行检查后,再在控制台上反馈检查结果,以便计算检查项合格率。 本章节介绍手动检查项目执行检查的操作。 前提条件 已购买安全云脑专业版,且在有效使用期内。
-
立即执行基线检查 - 安全云脑 SecMaster
立即检查:支持立即检查所有检查规范或某个检查计划,实时查看是否存在基线风险。 本章节介绍如何立即执行基线检查。 约束与限制 “立即检查”任务在10分钟内仅能执行一次。 手动立即执行“定期自动检查任务”在10分钟内仅能执行一次。 立即检查所有检查规范 登录管理控制台。 在页面左上角单击,选择“安全与合规
-
安全云脑的数据来源是什么? - 安全云脑 SecMaster
安全云脑基于云上威胁数据和华为云服务采集的威胁数据,通过大数据挖掘和机器学习,分析并呈现威胁态势,并提供防护建议。 一方面采集全网流量数据,以及安全防护设备日志等信息,通过大数据智能AI分析采集的信息,呈现资产的安全状况,并生成相应的威胁告警。 另一方面汇聚主机安全服务(Host Security
-
投递日志数据至LTS - 安全云脑 SecMaster
的云服务请参见数据集成。 集成后的日志还支持投递至云日志服务(Log Tank Service,简称LTS),方便用户快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。 本章节将介绍如何将集成的日志数据投递至LTS。 前提条件 已完成需投递日志的数据集成至安全云脑操作,详细操作请参见数据集成。
-
基线检查项目 - 安全云脑 SecMaster
应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 应能够对内部用户非授权联到外部网络的行为进行限制或检查。 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。 访问控制 应在网络边界或区域之间根据访问控
-
产品优势 - 安全云脑 SecMaster
式通道或安全设备漏洞。 智能高效的威胁检测与响应处置 专注于快速找到真正的威胁。通过每天对数十亿安全日志进行分析,利用华为云安全运营团队多年沉淀经验,内置模型和研判剧本来降低合法事件的干扰。通过威胁及资产画像,与威胁告警环环关联,还原整个攻击链,配置自动化处置剧本进行响应,简化操
-
值班监控 - 安全云脑 SecMaster
胁情报对攻击IP进行拦截。 尝试攻击典型告警 网络防线 NIP攻击日志 网络-检测黑客工具攻击、网络-登录爆破告警 请确认该操作是否为正常业务人员的行为,如果不是,可以参考以下处置建议: 切断网络连接:立即停止受攻击的设备或系统与网络的连接,以防止攻击者继续进行攻击或窃取数据。
-
查看资产信息 - 安全云脑 SecMaster
EIP 弹性公网IP(Elastic IP,EIP) DDoS原生基础防护服务(Anti-DDoS流量清洗,Anti-DDoS) 设备 用户线下设备资产 -- 说明: 资产信息同步至安全云脑后,在安全云脑控制台将展示资产的防护状态。防护状态说明如下: 如果资产的“防护状态”显示“
-
启用告警模型 - 安全云脑 SecMaster
数据接入后,可以利用模型对数据进行扫描,如果在模型设置范围内容,将产生告警提示。 需要使用以下内置的模板创建告警模型并启用模型: 应用-WAF关键攻击告警、主机-虚拟机横向连接、网络-高危端口对外暴露、网络-登录爆破告警、主机-疑似外联、网络-源ip对多个目标进行攻击、网络-命令注入告警、网络-恶意外联
-
服务委托授权 - 安全云脑 SecMaster
用于剧本中HTTP插件的执行 NAT ReadOnlyAccess NAT网关服务只读权限 SecMaster_Agency 用于资产管理获取NAT信息 VPC FullAccess 虚拟私有云所有权限 SecMaster_Agency 用于资产连接类剧本以及隔离类流程的执行,和在基线检查功能中获取租户VPC资产信息
-
查看实例监控 - 安全云脑 SecMaster
失败:剧本实例执行失败,单击操作列的重试可重新执行剧本。 运行中:剧本实例处于运行状态,单击操作列的终止可终止剧本。 重试中:剧本实例正在重试中。 终止中:剧本实例正在终止。 已终止:剧本实例已经成功终止。 上下文 实例的上下文信息。 实例创建时间 实例创建的具体时间。 实例结束时间 实例结束的具体时间。
-
(可选)配置并启用剧本 - 安全云脑 SecMaster
警状态同步”、“重复告警自动关闭”等剧本。其中,多个剧本已默认启用,无需手动启用。默认已启用以下剧本: 主机告警状态同步、高危漏洞自动通知、主机防线告警关联历史处置信息、云脑WAF地址组关联策略、应用防线告警关联历史处置信息、网络防线告警关联历史处置信息、重复告警自动关闭、告警i
-
告警处置建议 - 安全云脑 SecMaster
的告警提供以下处理建议,请根据实际情况进行排查处理。 系统行为异常/高危命令执行 数据来源 主机安全告警日志 告警呈现 【dangercmd】【HSS】主机:{{ipList}}执行dangercmd,{{__time}} 监控场景主机执行 高危命令 告警对应字段 高危命令在安全云脑的告警中对应的字段查看方法如下:
-
快速接入安全云脑 - 安全云脑 SecMaster
发,心跳数据上报的能力。 安装Agent前预检查。 执行如下命令,检查主机之前的salt-minion进程是否残留。 ps -ef | grep salt 如果有,请先关闭。 如果没有,请继续执行1.b。 图2 检查进程 执行如下命令,检查磁盘的根目录盘或者opt盘预留50G以上
-
风险控制 - 安全云脑 SecMaster
页面。 在新增策略页面中,配置策略信息。 表1 新增应急策略 参数名称 参数说明 阻断对象 输入需要阻断的单个(或多个)IP地址或IP地址段,如有多个IP地址或地址段,请使用英文逗号隔开。 标签 自定义应急策略的标签。 操作连接 选择该策略的操作连接。 阻断老化 确认是否老化该条阻断。
-
修复漏洞 - 安全云脑 SecMaster
参考以下两种方案,选择其中一种执行漏洞修复: 方案一:创建新的虚拟机执行漏洞修复 为需要修复漏洞的ECS主机创建镜像,详细操作请参见通过云服务器创建整机镜像。 使用该镜像创建新的ECS主机,详细操作请参见通过镜像创建云服务器。 在新启动的主机上执行漏洞修复并验证修复结果。 确认修复完成之后将业务切换到新主机。
-
自定义接入安全云脑 - 安全云脑 SecMaster
发,心跳数据上报的能力。 安装Agent前预检查。 执行如下命令,检查主机之前的salt-minion进程是否残留。 ps -ef | grep salt 如果有,请先关闭。 如果没有,请继续执行1.b。 图2 检查进程 执行如下命令,检查磁盘的根目录盘或者opt盘预留50G以上
-
资产管理概述 - 安全云脑 SecMaster
EIP 弹性公网IP(Elastic IP,EIP) DDoS原生基础防护服务(Anti-DDoS流量清洗,Anti-DDoS) 设备 用户线下设备资产 -- 说明: 资产信息同步至安全云脑后,在安全云脑控制台将展示资产的防护状态。防护状态说明如下: 如果资产的“防护状态”显示“
-
采集数据 - 安全云脑 SecMaster
如果有,请先关闭。 如果没有,请继续执行1.b。 图2 检查进程 执行如下命令,检查磁盘的根目录盘或者opt盘预留50G以上,CPU核数需要2核以上,内存需要4G以上。 df -h 图3 检查磁盘 如果内存不足,请关闭一些高内存占用的应用程序或扩充内存容量后再进行安装。扩容操作详情请参见变更服务器规格。