检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
智能建模”,进入智能建模的可用模型页面。 图2 可用模型页面 在可用模型页面中,管理模型。 表1 管理模型 操作 操作说明 启用模型 在模型列表中,单击目标模型所在行“操作”列的“启用”。 说明: 如需批量启动模型,可以勾选所有需要启动的模型,然后单击列表左上角的“启用”。 当模型状态更新为启用,则表示启动模型成功。
智能建模”,进入智能建模的可用模型页面。 图2 可用模型页面 在可用模型页面,查看已有模型。 表1 查看已有模型信息 参数名称 参数说明 模型统计 显示可用模型和活跃模型数量。 严重程度 显示当前已有模型的严重程度统计情况,包含致命、高危、中危、低危、提示级别。 模型列表 模型列表中,显示当前
列的“详情”,右侧弹出模板详情页面。 在模板详情页面,单击右下角“创建模型”,进入新建告警模型页面。 在新增告警模型页面中,配置告警模型信息。 管道名称:选择该告警模型的执行管道。 模型对应管道可以从模型描述中的使用约束中获取,须与约束中的管道信息保持一致,也可以参考执行管道进行填写。
义新建。 新建模型可以使用已有内置模型模板进行创建模型,同时,也支持自定义新建告警模型: 使用已有模型模板创建告警模型 自定义新建告警模型 编辑模型 约束与限制 单账号单Region单workspace最多创建100个告警模型。 一个告警模型的运行时间间隔须 ≥ 5分钟,查询数据的时间范围
选择该条告警模型触发后,提示的告警类型。 模型类型 默认为规则模型。 描述 填写该告警模型的描述信息。 启用状态 设置该告警模型的启用状态。 此处设置的状态,可在整个告警模型设置成功后进行更改。 设置完成后,单击页面右下角“下一步”,进入设置模型逻辑页面。 设置模型逻辑,参数说明如表2所示。
查看模型模板 操作场景 安全云脑支持利用模型对管道中的日志数据进行扫描,如果检测到有满足模型中设置触发条件的内容时,系统将产生告警提示。模型是基于模板而创建的,因此,需利用已有模型模板创建模型。 安全云脑根据常用场景内置了多种模型模板(包括场景说明、模型原理、处置建议、使用约束等信息),请在参考本章节进行查看。
智能建模 查看模型模板 新建或编辑模型 查看模型 管理模型 父主题: 威胁管理
、安全编排与自动响应等能力,帮助您实现一体化、自动化安全运营管理,满足您的安全需求。 HSS通过在主机中安装Agent,使用AI、机器学习和深度算法等技术分析主机中风险,并从HSS云端防护中心下发检测和防护任务,全方位保障主机安全。同时可从可视化控制台,管理主机Agent上报的安全信息。
近7天每天网络、应用、主机被访问产生的日志大小总和,单位为MB。 模型监测统计 模型总数 实时 每小时 “威胁管理 > 智能建模”中已有模型的数量。 统计表格 近7天 每小时 每种类型的威胁检测模型,检测出的威胁次数。 如果没有威胁检测模型,则会默认展示四种类型,其值全部为0。 相关操作 如果
安全云脑的数据来源是什么? 安全云脑基于云上威胁数据和华为云服务采集的威胁数据,通过大数据挖掘和机器学习,分析并呈现威胁态势,并提供防护建议。 一方面采集全网流量数据,以及安全防护设备日志等信息,通过大数据智能AI分析采集的信息,呈现资产的安全状况,并生成相应的威胁告警。 另一方面汇聚主机安全服务(Host
是用来接收并处理数据的运行实体,负责通过订阅器把安全云脑管道中的消息进行消费并处理。 消息队列 是数据存储和传输的实际容器。 威胁检测模型 是一种被训练的AI智能识别算法模型。能针对特定威胁,自动化的完成数据汇聚、分析和报警,这种检测模式具备较好的泛化能力,防躲避能力强,可在不同业务系统中发挥同等效果,应对复杂的新型攻击。
漏洞。 智能高效的威胁检测与响应处置 专注于快速找到真正的威胁。通过每天对数十亿安全日志进行分析,利用华为云安全运营团队多年沉淀经验,内置模型和研判剧本来降低合法事件的干扰。通过威胁及资产画像,与威胁告警环环关联,还原整个攻击链,配置自动化处置剧本进行响应,简化操作、提升安全性,提升了处理告警和事件的效率。
Application Firewall,WAF)、Anti-DDoS流量清洗(Anti-DDoS)等安全防护服务中获取必要的安全事件记录,进行大数据挖掘和机器学习,智能AI分析并识别出攻击和入侵,帮助用户了解攻击和入侵过程,并提供相关的防护措施建议。更多说明请参见安全云脑与其他安全服务之间的关系与区别。
和可疑活动上报链设计的模型,使您能够执行某些对应操作时收到此类威胁的通知。启用这些模型后,它们将自动在整个环境中搜索可疑活动。同时,可以根据您的需要自定义模型,以搜索或筛选出威胁。 同时,提供了日志数据检索功能,帮助您筛选威胁。 更多详细介绍及操作请参见模型模板、安全分析。 调查告警与事件
入模型模板页面。 图6 模型模板页面 在模型模板列表中,单击目标模型模板所在行“操作”列的“详情”,并在右侧弹出模板详情页面右下角单击“创建模型”。 在新增告警模型页面中,配置告警模型基础信息。 管道名称:选择该告警模型的执行管道。依赖的执行管道名称可根据描述中的“使用约束”选择。
步骤二:日志采集策略调整 日志作为安全运营提供重要数据支撑,护网/重保期间推荐使用一键接入功能接入全部日志,并调整自动转告警功能,结合模型和安全服务攻击日志,通过“告警管理”统一进行跟踪监控。 日志采集策略调整 登录安全云脑控制台,并进入目标工作空间管理页面。 在左侧导航栏选择“设置
智能建模”,进入智能建模页面后,选择“模型模板”页签,进入模型模板页面。 图6 模型模板页面 在模型模板列表中,单击目标模型模板所在行“操作”列的“详情”,右侧弹出模板详情页面。 在模板详情页面,单击右下角“创建模型”,进入新建告警模型页面。 在新增告警模型页面中,配置告警模型基础信息。 管道名称:选择告警模型的执行管道。
单账号单workspace内,最多可创建10个安全报告(包含日报、周报和月报)。 告警模型 表4 告警模型 模块 约束与限制 告警模型 单账号单Region单workspace最多创建100个告警模型。 一个告警模型的运行时间间隔须 ≥ 5分钟,查询数据的时间范围 ≤ 14天。 安全分析 表5
步骤四:安全运营策略调整 启用安全模型 启用流程和剧本 父主题: 安全云脑护网/重保最佳实践
智能建模”,进入智能建模页面后,选择“模型模板”页签,进入模型模板页面。 图5 模型模板页面 在模板列表中,单击“应用-WAF关键攻击告警”模板所在行“操作”列的“详情”,右侧弹出模板详情页面后,单击右下角“创建模型”。 在新增告警模型页面中,配置告警模型基础信息。 管道名称:选择该告警模型的执行管道。此
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
