检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
mnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序,被入侵后访问HFS下载服务器等。 僵尸主机事件 “实时检测”资产被入侵后对外发起攻击的威胁。共支持检测7种子类型的僵尸主机威胁。 对外发起SSH暴力破解 对外发起RDP暴力破解
请求什么类型的操作。 GET:请求服务器返回指定资源。 PUT:请求服务器更新指定资源。 POST:请求服务器新增资源或执行特殊操作。 DELETE:请求服务器删除指定资源,如删除对象等。 HEAD:请求服务器资源头部。 PATCH:请求服务器更新资源的部分内容。当资源不存在的时
查看基线检查结果 本章节介绍如何查看基线检查详情、结果,您可以了解基线检查项影响的资产、基线项目详情等信息。 前提条件 已购买态势感知专业版,且在有效使用期内。 已扫描云服务基线。 查看检查结果总数据 查看某区域中所有检查项的检查结果。 登录管理控制台。 在页面左上角单击,选择“安全与合规
弱口令一旦被攻击者获取,可用来直接登录系统,读取甚至修改网站代码,使用弱口令将使得系统及服务面临非常大的风险。建议您为服务器设置复杂的登录口令,并定期提升登录口令的安全性。 本实践提供了如何提升登录口令的安全性以及常见服务器登录口令的修改方法。 等保二级解决方案 该解决方案能帮您快速在华为云上搭建等保二级合规安
通知设置”,并在设置页面选择“扫描任务”页签,进入扫描任务设置页面。 图1 扫描任务设置页面 在“主机漏洞扫描&主机基线扫描”栏下,单击“一键同步”,同步当前账号下的弹性服务器IP信息,刷新“IP地址”列表。 在“主机漏洞扫描&主机基线扫描”栏下,选择需要执行扫描的主机,单击“开始扫描”,启动扫描任务。 “扫描状态”为“已完成”时,可在“态势感知
当接收到来源于HSS的告警事件时,请登录HSS管理控制台确认并处理告警事件。 若您的主机被爆破成功,检测到入侵者成功登录主机,账户下所有云服务器可能已被植入恶意程序,建议参考如下措施,立即处理告警事件,避免进一步危害主机的风险。 请立即确认登录主机的源IP的可信情况。 请立即修改被暴力破解的系统账户口令。
of Addresses objects 弹性云服务器的网络属性。 flavor 是 Flavor object 云服务器规格。 security_groups 是 Array of SecurityGroups objects 弹性云服务器所属安全组列表。 metadata 是 Metadata
产品功能 态势感知提供安全概览、资源管理、业务分析、综合大屏、威胁告警、漏洞管理、基线检查、检测结果、安全报告、日志管理、产品集成等全局安全态势集中管理功能。具体说明如表1所示。 表1 态势感知功能总览 功能 功能描述 参考链接 安全概览 呈现云上整体安全评估状况,并联动其他云安全服务,集中展示云上安全。
议。更多说明请参见态势感知与其他安全服务之间的关系与区别。 与ECS的关系 态势感知为弹性云服务器(Elastic Cloud Server,ECS)提供资产安全管理服务,结合HSS主机防护状态,全方位呈现当前ECS安全风险态势,并提供相应防护建议。 与IAM的关系 统一身份认证服务(Identity
使用远程管理工具(例如:“Xshell”、“SecureCRT”、“PuTTY”),通过弹性IP地址登录到待开通授权的弹性云服务器。 也可使用弹性云服务器的“远程登录”功能,登录弹性云服务器。 执行复制的命令(这里用“SecureCRT”工具登录)。 提示“Install Success”时则执行成功,完成Linux主机授权。
处理建议 SSH暴力破解 中危 检测到ECS实例被不断尝试SSH登录,代表有攻击者正在尝试对ECS实例做SSH暴力破解攻击尝试。 攻击发生主要原因是SSH端口开放到公网,因此建议按照如下方式处理: 在安全组设置中限制外部SSH访问; 在ECS操作系统中配置hosts.deny。 RDP暴力破解
漏洞攻击类威胁处理建议 威胁告警名称 告警等级 威胁说明 处理建议 MySQL漏洞攻击 低危 检测到ECS实例被尝试利用MySQL漏洞攻击,代表ECS实例被尝试使用MySQL漏洞进行攻击。 攻击发生主要原因是ECS实例在公网上开放了MySQL服务,因此建议按照如下方式处理: 配置安全组规则,限制MySQL服务公网访问;
处理建议 文件目录变更监测事件 提示 检测到ECS实例的关键文件被更改。 建议登录企业主机安全管理控制台处理。 系统成功登录审计事件 提示 检测到ECS实例已异常成功登录。 建议登录企业主机安全管理控制台处理。 进程异常行为 低危 检测到ECS实例存在进程异常行为,疑似恶意程序。 建议登录企业主机安全管理控制台处理。
态势感知与其他安全服务之间的关系与区别? SA与其他安全防护服务(WAF、HSS、Anti-DDoS、DBSS、AAD)的关系与区别如下: 关联: SA:作为安全管理服务,依赖于其他安全服务提供威胁检测数据,进行安全威胁风险分析,呈现全局安全威胁态势,并提供防护建议。 其他安全服
处理建议 当检测到僵尸主机类威胁时,检测到ECS实例存在挖矿特性行为(如访问矿池地址等)、对外发起DDoS攻击或暴力破解攻击,代表ECS实例可能已经被植入挖矿木马或后门程序,可能变成僵尸网络,属于“高危”告警级别威胁。因此建议按照如下方式处理: 对ECS实例做病毒木马查杀,查杀失败则关闭该实例;
处理建议 当检测到后门木马类威胁时,ECS实例存在木马程序网络请求,代表ECS实例已经存在被植入木马的特征,如尝试做wannacry勒索病毒相关DNS解析请求、尝试下载exe类木马程序等,属于“高危”告警级别威胁。因此建议按照如下方式处理: 关闭被攻击ECS实例; 检查实例所在子网的其他主机是否被入侵;
462fcc", "name" : "ecs-s3_large_2_win-20200828214727", "type" : "cloudservers", "provider" : "ecs", "region_id" : "xx-xx-1"
风险主机趋势 TOP5风险云主机 如图6所示,TOP5风险云主机按照安全风险等级由高到低展示了当天受威胁主机的相关信息,包括主机名称、主机系统及受到的攻击程度。TOP5风险云主机最多展示5条。安全风险等级由高到低分别是致命、高危、中危、低危和提示。 图6 风险云主机 近7天暴力破解趋势
检测设置 使用云服务基线相关功能时,需要先参考本章节设置检查计划。 操作步骤 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 态势感知”,进入态势感知页面。 在左侧导航栏选择“设置 > 检测设置”,进入检测设置页面。 图1 检测设置 在检测设置页面中,选择待创建计划所在
基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对SA服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。SA支持的授权项请参见权限及授权项。 如表1所示,包括了SA的所有系统权限。 表1 SA系统权限 策略名称 描述
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
