检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
数据集成 数据集成 告警设置 通知告警 告警监控设置 02 购买 针对不同安全威胁检测需求,您可以选择购买安全云脑专业版、安全大屏、智能分析、安全响应,呈现资产安全状态,评估全局威胁风险。 快速购买 购买SecMaster专业版 续订SecMaster专业版 计费详情 SecMaster价格详情
级的安全分析能力,实现对云负载、各类应用及数据的安全保护。 更多详细介绍及操作请参见模型模板、安全分析。 调查告警与事件 调查告警 威胁检测模型分析大量的安全云服务日志,找到疑似入侵的行为,即告警。安全云脑中的告警包含如下字段:名称、等级、发起可疑行为的资产/威胁、遭受可疑行为的
配置到应用程序的基础架构中。 事故后活动。 针对某些受损资源进行调查取证,分析攻击者对受损资源使用了哪些攻击手段,并确定是否需要针对相关资源或应用程序采取额外的风险缓解措施。 对于任何已隔离以供进一步分析的受损资源,对这些资源执行取证活动,并将调查结果纳入事后报告。 确保正确更新
并可通过自定义过滤条件,如告警名称、告警等级和发生时间等,快速查询到相应告警事件的统计信息。 告警转事件或关联事件:当收到告警信息且经过分析后,如果发现有攻击成功或有其他较为严重影响的,则需要进行单独处理,可以将它转为事件或关联事件。 一键阻断或解封:应急策略作为告警一键阻断的
请注意,在隔离的环境下调查事件以进行根本原因分析,对于实施控制措施以防止将来发生类似事件具有极大价值。 考虑使用最新的防病毒或防恶意软件来消除勒索软件。 请谨慎此操作,因为此操作可能会向攻击者发出警报。建议在隔离的取证环境中查看被锁定或加密的对象,例如,从受感染的ECS实例中删除网络访问权限。 删除在取证分析过程中识别到的所有恶意软件,并识别入侵指标。
也可以通过各种SQL聚合函数来分析某段时间内的外部请求统计数据,以掌握真实用户的网站使用频率等。 启用FuctionGraph函数日志功能 出于分析或审计等目的,用户可以开启FunctionGraph日志功能。通过访问日志记录,函数拥的拥有者可以分析函数执行过程,快速定位问题。 启用CFW日志管理能力
将非华为云日志转入安全云脑场景时,需要执行此步骤。将华为云日志转出至第三方系统或产品场景,请跳过此步骤。 在安全云脑中创建日志存储位置(管道),用于日志存储、分析。 步骤九:配置连接器 配置日志来源、接收目的的参数信息。 请根据场景选择操作步骤: 将第三方日志接入安全云脑 将安全云脑日志转出至第三方系统或产品
SecMasterBiz插件参数说明请如下: 图5 SecMasterBiz插件 SecMasterBiz插件是自动更改告警名称流程中的一个插件,用于分析处理webshell类型告警的名称数据,可以按照用户自定义维度拼接告警名称,返回更新后的告警名称。 SecMasterBiz插件包含多个A
根据已有云上资源所在的区域选择安全云脑的区域。 已配置 显示已选择Region安全云脑版本信息,无需配置。 安全大屏 开启安全大屏。 日志审计 请根据需求进行购买。 安全分析 请根据需求进行购买。 安全编排 请根据需求进行购买。 标签 如果您需要使用同一标签标识多种云资源,即所有服务均可在标签输入框下选择同一标
该工作空间中的事件数量。 漏洞 该工作空间中的漏洞数量。 告警 该工作空间中的告警数量。 情报 该工作空间中的情报数量。 资产 该工作空间中已有资产的数量。 安全分析 该工作空间中已有数据空间数量。 实例 该工作空间中已有实例的数量。 剧本 该工作空间中已有剧本的数量。 如需查看某个工作空间的详细信息,
具体创建步骤请参见:创建自定义策略。本章为您介绍常用的SecMaster自定义策略样例。 SecMaster自定义策略样例 示例1:授权用户搜索告警列表、权限执行分析 1 2 3 4 5 6 7 8 9 10 11 12 { "Version": "1.1", "Statement":
响应等能力,帮助您实现一体化、自动化安全运营管理,满足您的安全需求。 HSS通过在主机中安装Agent,使用AI、机器学习和深度算法等技术分析主机中风险,并从HSS云端防护中心下发检测和防护任务,全方位保障主机安全。同时可从可视化控制台,管理主机Agent上报的安全信息。 表1 SecMaster与HSS主要功能区别
CTS启用检查 云审计服务(Cloud Trace Service,CTS)可以将当前账户下所有的操作记录在追踪器中,通过查询和审计操作记录,实现安全分析、资源变更、合规审计、问题定位等。 请启用CTS检查,并配置追踪器。 手动检查项 在基线检查页面的检查结果中,选择护网检查遵从包,并筛选手动检查的规范。
使用量因子,按需计费必填,取值和话单中的使用量因子一致,云服务和使用量因子对应关系如下: 典型场景配置:Duration 态势管理:duration 安全编排:count 智能分析:flow resource_id 否 String 资源id,仅在增加配额的时候传入 响应参数 无 请求示例 https://{endp
漏洞管理 漏洞是攻击者入侵企业系统的主要手段之一,攻击者可以利用漏洞获取系统权限、窃取敏感信息或者破坏系统功能。完成漏洞整改可以有效地提高系统的安全性,预防潜在的攻击。 安全云脑提供漏洞修复帮助用户针对配置隐患和系统漏洞进行排查。安全云脑的漏洞管理分为Linux漏洞、Window
数据投递概述 操作场景 安全云脑支持将数据实时投递至其他管道或其他华为云产品中,便于您存储数据或联合其它系统消费数据。配置数据投递后,安全云脑将定时将采集到的数据投递至其他管道或对应的云产品。 根据投递目的地选择操作场景: 投递日志数据至其他数据管道:投递日志数据到其他数据管道。
修复漏洞 操作场景 当扫描到服务器存在漏洞时,您需要及时根据漏洞的危害程度结合实际业务情况处理漏洞,避免漏洞被入侵者利用入侵您的服务器。 如果漏洞对您的业务可能产生危害,建议您尽快修复漏洞。对于Linux漏洞、Windows漏洞,您可以在企业主机安全控制台一键自动修复漏洞,对于W
新增应急策略 操作场景 应急策略作为告警一键阻断的止血手段,可根据告警来源选择相应的类型对攻击者进行阻断。表1中为推荐设置,除此之外,您也可以结合对多条告警的综合调查结果,对单个攻击源采用多种类型进行阻断。 表1 推荐阻断策略 告警类型 对应防线 推荐阻断策略 HSS告警 主机防线
如何处理暴力破解告警事件? 暴力破解是一种常见的入侵攻击行为,攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码,一旦破解成功,即可实施攻击和控制,严重危害资产的安全。 安全云脑联动主机安全服务(HSS),接收HSS检测到的暴力破解行为,集中呈现和管理告警事件,提升运维效率。
一键阻断或解封 操作场景 应急策略作为告警一键阻断的止血手段,可根据告警来源选择相应的类型对攻击者进行阻断。表1中为推荐设置,除此之外,您也可以结合对多条告警的综合调查结果,对单个攻击源采用多种类型进行阻断。 表1 推荐阻断策略 告警类型 对应防线 推荐阻断策略 HSS告警 主机防线
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
