检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
(可选)步骤一:购买ECS 安装日志采集器。 (可选)步骤二:购买数据磁盘 保障日志采集器有足够的运行空间。 (可选)步骤三:挂载数据磁盘 保障日志采集器有足够的运行空间。 步骤四:创建非管理员IAM账户 用于租户侧日志采集器登录访问安全云脑。 步骤五:网络连通配置 实现租户VPC与云脑网络网络连通。
支持接入的云服务日志 安全云脑支持集成WAF、HSS、OBS等多种华为云云产品的日志数据。集成后,可以检索并分析所有收集到的日志,且默认存储7天。 表1 支持接入的日志 安全分类 服务 服务类型 日志 日志描述 支持的region 主机安全 企业主机安全(HSS) 租户侧云服务 hss-alarm
使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必
满足您的安全需求。 主机安全服务(Host Security Service,HSS)是以工作负载为中心的安全产品,集成了主机安全、容器安全和网页防篡改,旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之,SecMaster是呈现全局安全态势的服务,HSS是提升主机和容器安全性的服务。
量为“100GB”的磁盘。 云硬盘的购买参数信息配置请参考购买云硬盘。 磁盘挂载成功后,可以在ECS的云硬盘页面查看已挂载的磁盘。 图2 已挂载磁盘 云硬盘挂载至云服务器后,需要登录云服务器初始化云硬盘,即格式化云硬盘,之后云硬盘才可以正常使用。初始化数据盘的具体操作,请参见初始化数据盘。
数据类:安全编排与响应中的剧本和流程的运行都需要绑定数据类,由数据对象(数据类的实例)触发剧本。常见的数据类包括告警、事件、威胁情报、漏洞等。查看数据类请参考查看数据类。 告警:告警是运维中的一种异常信号的通知,通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如,当服
ApiCall:表示调用ApiGateway触发的操作。 ObsSDK:表示通过调用OBS 提供的SDK 触发的关于OBS桶相关操作。 Others:表示除去通过“ObsSDK”触发的关于OBS桶相关的操作。 api_version String 作为操作来源的云服务的API版本号。 message Object
管理事件类型 操作场景 本章节介绍如何管理事件类型,详细操作如下: 查看已有事件类型:查看已有的事件类型及其详细信息。 新增事件类型:介绍如何自定义新增事件类型。 事件类型关联布局:介绍如何将自定义新增的事件类型关联已有布局。 编辑已有事件类型:介绍如何编辑自定义新增的事件类型。 管理已有事
漏洞TOP5排行 TOP5是根据受漏洞影响的资产数量的多少来进行排序,影响资产越多排序越靠前。 “漏洞编号”页签中,显示TOP5的漏洞的编号及受影响资产数量。 “漏洞类型”页签中,显示TOP5的漏洞的名称、漏洞危险等级及受影响资产。 风险资产TOP5排行 呈现TOP5的风险资产。 漏洞列表 在下
在组件管理页面中,单击待查看组件右上角“编辑配置”,右侧将弹出该组件的配置管理页面。 在配置管理界面的节点配置栏中,单击节点列表左上角“添加”,并在弹出的“添加节点”框中选择(可选)步骤一:购买ECS购买/准备的节点后,单击“确认”。 在配置管理界面,单击页面右下角“保存并应用”。
置日志解析器配置的解析器,并单击页面右下角“下一步”,进入“运行节点选择”页面。 如果未配置解析器,可以选择“快速接入”,将原始日志直接接入采集通道列表中。 在“运行节点选择”页面中,单击“新增”,并在弹出的添加节点框中选择(可选)步骤一:购买ECS购买的ECS节点后,单击“确认”。
其他较为严重影响的,则需要进行单独处理,可以将它转为事件或关联事件。 本章节主要介绍如何将告警转为事件,以及告警如何关联事件。 告警和事件关系说明 本部分介绍告警和事件的含义、区别,告警转事件的原因和告警关联事件的原因。 告警和事件的含义与区别 表1 告警和事件的含义与区别 类别
剧本编排”,进入剧本管理页面后,选择“资产连接”页签,进入资产连接管理页面。 图6 资产连接管理页面 在资产连接管理页面中,单击“新增”,右侧弹出新增资产连接面板。 在新增资产连接面板中,配置资产连接参数。 连接名称:输入资产连接名称。此处示例设置为“HSS-北京一”。 插件:选择资产连接所需的插件。此处示例选择为“HSS”。
如何自定义导入主机资产? 安全云脑的资产管理页面中,支持自定义导入主机资产。 本章节将介绍如何自定义导入主机资产。 自定义导入主机资产 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
云审计服务支持的关键操作 云审计服务支持的SecMaster操作列表 在CTS事件列表查看云审计事件
写入身份 默认生成,无需配置。 在“访问授权”中,查看7中授予的权限。 投递请求需要获取访问您云资源的读写权限,授权后,投递任务才能拥有对您云资源相应的访问权限。 单击“确定”。 步骤二:数据投递授权 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规
新增应急策略:应急策略作为告警一键阻断的止血手段,可根据告警来源选择相应的类型对攻击者进行阻断。 管理应急策略:介绍如何查看应急策略、编辑应急策略、删除应急策略。 批量阻断或批量取消阻断:批量阻断用于拦截配置为黑名单的IP或IP地址段或IAM用户的访问。新增阻断时将设置某个IP地址或IP地址段或IAM用户,如果
已在安全云脑工作空间的“设置 > 数据集成”页面中接入WAF访问日志或WAF攻击日志,详细操作请参见数据集成。 图2 接入WAF日志数据 有可用的微步在线查看情报的次数,需要客户确认资源可用。 步骤一:配置资产连接 使用“高危告警自动化安全封堵”流程前,需要将流程中使用到的微步插件的APIk
安全云脑到期后,不会继续收费。 若到期后,未及时续费,会根据“客户等级”和“订购方式”定义不同的保留期时长,保留期内不能访问及使用SecMaster资源,但对存储在SecMaster资源中的数据仍予以保留。若保留期到期后,仍未及时续费,标准版或专业版会变为基础版。 父主题: 计费FAQ
如果是首次订阅,请单击流程引导“订阅安全遵从包”中的“订阅”按钮,进入订阅安全遵从包页面。 在订阅安全遵从包页面中,选择需要订阅的安全遵从包,单击右下角的“确认订阅”。 安全遵从包详细介绍请参见安全遵从包规格说明。 在弹出的订阅成功确认框中单击“返回”,可以返回订阅列表页面,查看已订阅的安全遵从包的详细信息。 如果
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
