检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件,如有必要,建议您终止当前ECS,根据需要使用新ECS来做代替。 UnusualTrafficFlow 在租户侧网络场景下,检测到某些ECS生成大量的网络出口流量,此网络出口流量偏离了正常基线值,并全部流向到远程主机。
该章节指导您导入Plaintext格式的可信IP列表,导入后服务将基于您情报内的IP地址或域名进行威胁检测。 前提条件 Plaintext格式的白名单已上传至对象存储服务,上传白名单至对象存储服务的具体方法请参见上传文件。 目前只能新增1个白名单文件,文件内可容纳10000条IP或域名记录。 Pla
如何编辑Plaintext格式的对象? 创建打算上传至OBS桶的白名单和情报对象文件时,对象文件仅支持Plaintext格式,文件内可写入的IP或域名条数上限为10000条。 Plaintext格式即您想要上传至OBS桶的白名单列表或情报列表中,IP地址或域名范围必须用回车键隔开,每行只显示一个,如下图所示。
修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件,如有必要,建议您终止当前ECS,根据需要使用新ECS来做代替。 UnusualTrafficFlow 在租户侧网络场景下,检测到某些ECS生成大量的网络出口流量,此网络出口流量偏离了正常基线值,并全部流向到远程主机。
此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 CnC 发现与历史情报相似的CNC服务器IP访问。 默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议:
文件名称 添加的情报文件名称,建议自定义。 BlackList 对象类型 选择需要从OBS桶添加至MTD服务的对象文件类型。 IP:服务将基于您情报内的IP地址进行威胁检测。 域名:服务将基于您情报内的域名进行威胁检测。 添加至MTD情报后,威胁检测服务将优先关联检测情报内的IP或域名,
此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 CnC 发现与历史情报相似的CNC服务器IP访问。 默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议:
访问通过算法生成的域。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。 默认严重级别:高危。 数据源:DNS日志。 此调查结果通知您,发现一台虚拟机访问通过算法生成的域。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。
访问通过算法生成的域。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。 默认严重级别:高危。 数据源:DNS日志。 此调查结果通知您,发现一台虚拟机访问通过算法生成的域。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。
此调查结果通知您,发现一个与历史情报相似的恶意IP尝试调用API,该API通常用于更改您的账户中各种资源的安全访问策略。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 UserPermissions 发现与历史情报相似的恶意IP尝试调用一个API,该API通常用于在您的账户中添加、修改或删除IAM用户、组或策略。
此调查结果通知您,发现一个与历史情报相似的恶意IP尝试调用API,该API通常用于更改您的账户中各种资源的安全访问策略。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 UserPermissions 发现与历史情报相似的恶意IP尝试调用一个API,该API通常用于在您的账户中添加、修改或删除IAM用户、组或策略。
该章节指导您导入Plaintext格式的第三方威胁情报数据源及可信IP列表,导入后服务将优先关联检测您导入的情报内的IP地址或域名进行威胁检测。 前提条件 Plaintext格式的威胁情报已上传至对象存储服务,上传威胁情报至对象存储服务的具体方法请参见上传文件。 情报:也称作黑名单,指受访问时被禁止的IP或域名
此调查结果通知您,有用户首次访问这个桶,此用户没有此桶的历史访问记录。 修复建议: 如果此用户不是此桶的授权用户,则可能表明凭据已被公开或您的OBS权限限制性不够,请修复受损的OBS存储桶的权限访问策略。 IPFirstAccess 发现OBS中有特定IP首次访问桶对象。 默认严重级别:低危。 数据源:OBS日志。
威胁情报”,进入“威胁情报”界面。 查看威胁情报的详细信息,如表1所示。 表1 威胁情报 参数 说明 文件名称 威胁情报文件的名称。 类型 威胁情报文件的类型,包括“IP”和“域名”。 格式 威胁情报文件的格式,目前仅支持Plaintext格式的文件,详情请参见如何编辑Plaintext格式的对象?。 上传时间
型示例”窗口,可查看所有告警类型示例和各服务日志分别的告警类型示例,详情请参见查看告警类型详情。 由于AI检测模型的普遍特性,一般上线后需要基于您的真实数据学习训练大致3个月,学习阶段检测结果可能存在误差,您可以在告警列表的“操作”列单击“反馈可信度”反馈出现的问题。 告警详细信
此调查结果通知您,有用户首次访问这个桶,此用户没有此桶的历史访问记录。 修复建议: 如果此用户不是此桶的授权用户,则可能表明凭据已被公开或您的OBS权限限制性不够,请修复受损的OBS存储桶的权限访问策略。 IPFirstAccess 发现OBS中有特定IP首次访问桶对象。 默认严重级别:低危。 数据源:OBS日志。
选择“白名单”页签,查看白名单的详细信息,如表1所示。 表1 白名单 参数 说明 文件名称 白名单文件的名称。 类型 白名单文件的类型,包括“IP”和“域名”。 格式 白名单文件的格式,目前仅支持Plaintext格式的文件,详情请参见如何编辑Plaintext格式的对象?。 上传时间
图4 管理事件追踪器 单击目标追踪器“操作”列的“配置”,在弹出的“配置追踪器”窗口中,单击“事件分析”后的,开启事件分析,如图 开启事件分析所示,然后单击“确定”完成追踪器的配置。 图5 开启事件分析 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,返回威胁检测服务界面。
在所有操作页签,勾选“选择所有操作”。 图3 选择所有操作 单击“确定”。 步骤二:给用户的用户组授权 在统一身份认证服务中,左侧导航栏选择“用户组”。 在目标子账号所属的用户组所在行的“操作”列,单击“权限配置”。 图4 权限配置 在弹出的“授权记录”界面,单击“授权”。 图5 授权 在授权界面, “在以下作用范围”选择“区域级项目”。
查看告警类型详情 IAM告警类型详情 CTS告警类型详情 DNS告警类型详情 OBS告警类型详情 VPC告警类型详情
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
