检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
"bss:balance:view", "bss:order:update", "ecs:cloudServers:list", "bss:renewal:view",
462fcc", "name" : "ecs-s3_large_2_win-20200828214727", "type" : "cloudservers", "provider" : "ecs", "region_id" : "xx-xx-1"
剧本编排”,默认进入剧本管理页面。 图1 进入剧本管理页面 在剧本页面中,分别筛选“重复告警自动关闭”和“高危告警自动通知”剧本,如果剧本未启用,单击剧本所在行“操作”列的“启用”。 在弹出启用确认信息框中,选择最新的剧本版本,并单击“确认”。 “高危告警自动通知”流程需要使用消息通知服务(Simple
Logtash组件配置项说明 租户采集Logstash采集器是安全云脑经过定制化处理的。其在不同传输场景可进行不同程度的优化配置,此处主要提供日志配置log4j2.properties、jvm.options运行内存优化配置。 jvm运行内存配置 图1 jvm.options 表1
果,可以在基线检查页面,执行立即检查。执行完成后,约10分钟后将可以在检查结果页面进行查看,立即检查相关操作请参见立即执行基线检查。 如果未执行立即检查,系统将按照已设置的检查计划,在指定时间内执行检查,例如,默认每隔3天检查一次,每次在00:00~06:00执行。检查完成后,将可以在检查结果页面中进行查看。
连接器规则说明 源连接器 安全云脑租户采集连接器,目前支持的源连接器类型如下表所示: 表1 源连接器类型 连接器名称 对应的logstash插件 描述 传输控制协议 TCP tcp 用于接收TCP协议日志,配置规则请参见表2。 用户数据协议 UDP udp 用于接收UDP协议日志,配置规则请参见表3。
基本概念 本节介绍安全云脑相关概念。 安全风险 安全风险是对资产安全状况的综合评估,反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值,便于用户理解目前资产的安全状况,数值大小并不代表资产的安全或危险,仅作为资产遭受攻击严重程度的参考。 威胁告警 广义的威胁告警
安全评分扣分项 安全评分扣分项及其分值情况如表2所示。 表2 安全评分扣分项 分类 扣分项 单项扣分值 处理建议 最高扣分上限 安全服务启用 未开启安全相关服务 - 开启安全相关服务 30 合规检查 存在未处理的致命不合规项 10 按照合规修复建议指导进行合规问题修复,修复后重新触发扫描任务,自动刷新评分。
组件控制器常用命令 如果组件控制器(isap-agent)安装失败,在故障排查过程中,可能需要使用命令进行处理,其中,常用命令如下: 重启 sh /opt/cloud/isap-agent/action/agent_controller_linux.sh restart 说明:使
升级方式 选择“版本升级”,还可以同时勾选增加配额。 可选版本 此处选择“专业版”,升级为专业版功能。 配额数 请根据当前账户下所有ECS主机资产总数设置配额数,可设置最大主机配额需等于或大于当前账户下主机总数量,且不支持减少。 说明: 配额数最大限制为10000台。 为避免
数据消费 数据消费是指第三方软件、云产品等通过客户端实时消费日志服务的数据,是对全量数据的顺序读写。 安全云脑提供数据消费功能,支持通过客户端实时消费数据。 开启数据消费 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑
基线检查 安全云脑支持根据基线检查计划检查您的服务基线配置是否存在风险,提供了“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”、“华为云安全配置基线”几大风险类别遵从包。 护网/重保期间推荐使用“安全上云合规检查1.0”和“护网检查”两个规范。 检查之后分类呈现云
配置索引 安全分析中的索引是一种存储结构,用于对日志数据中的一列或多列进行排序。不同的索引配置,将会产生不同的查询和分析结果,请根据您的需求合理配置索引。 如果您需要使用分析功能,必须配置字段索引。配置字段索引后,您可以指定字段名称和字段值(Key:Value)进行查询,缩小查询
包周期购买时,推荐配置 资源包规格 资源包规格适用区间 安全数据采集 每天采集的数据量。 安全数据采集资源包 5 GB 起购,建议按照每台虚拟机 120 MB / 天来进行配置,单个订单最大可购买 500 GB。 购买时,安全数据采集的值将自动根据用户填写的每天新增日志量的值来适配资源包规格,无需单独配置。
在左侧导航栏选择“威胁运营 > 智能建模”,进入智能建模页面后,选择“模型模板”页签,进入模型模板页面。 图1 模型模板页面 在模型模板列表中,选择未创建模型的模板,单击目标模板所在行“操作”列的“详情”,右侧弹出模板详情页面。 在模板详情页面,单击右下角“创建模型”,进入新建告警模型页面。
unapproved_num Integer 未审核剧本数量 最小值:0 最大值:99999999 disabled_num Integer 未启用剧本数量 最小值:0 最大值:99999999 enabled_num Integer 已启用剧本数量 最小值:0 最大值:99999999
最大值:1000 sort_by 否 String 排序关键字 最小长度:0 最大长度:1000 order 否 String 降序或升序, DESC|ESC 最小长度:0 最大长度:1000 from_date 否 String 起始时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss
如果选择“周期任务”,还需要配置“任务时长”。 监测区域 选择监测的区域。 监测信息源 选择监测信息的来源。 监测行业 勾选监测的行业。默认选择全部行业,未选中的行业会进行排除。 监测主题配置 输入监测主题。也可以直接单击“打开主题库”,并在主题库中选择监测主题。 监测主题包含中文、字母、数字及特殊字符“+
基线检查 通过执行云服务基线扫描,检查基线配置风险状态,告警提示存在安全隐患的配置,并提供基线加固建议。 √ √ √ 漏洞管理 通过自动同步华为云主机安全服务(Host Security Service,HSS)的漏洞扫描数据,分类呈现漏洞扫描详情,支持查看漏洞详情,并提供相应漏洞修复建议。
version String 版本号 最小长度:32 最大长度:64 enabled Boolean 是否启用。(true--已启用,false-未启用) status String 剧本版本状态,编辑中:EDITING 审核中:APPROVING 不通过:UNPASSED 已发布:PUBLISHED
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
