检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
标识选择的后端服务器地址。 request_time String 标识请求处理时间,从读取客户端的第一个字节开始计时。 upstream_response_time String 标识后端服务器响应时间。 upstream_status String 标识后端服务器的响应码。 u
配置说明 用户信息 自定义配置。 设置后,记录此处IAM用户名信息(IAM User Name),方便后续使用。 访问方式 编程访问 勾选。 管理控制台访问 不勾选。 凭证类型 访问密钥 勾选。 密码 勾选。 勾选密码后,勾选“自定义”,并自定义设置密码。设置后,记录此处IAM用户密码信息(IAM
参考本实践的操作步骤处理即可。 第三方(非华为云)日志接入安全云脑 参考本实践的操作步骤处理即可。 日志采集原理 日志采集器节点作为中间节点,负责在安全云脑和租户服务器之间收集、上传、下发日志。 图1 安全云脑日志采集原理 基本概念 本部分介绍日志采集中涉及的基本概念的描述及其作用。 日志采集组件(Logstash):用于日志采集、日志传输。
以下两种方案,选择其中一种执行漏洞修复: 方案一:创建新的虚拟机执行漏洞修复 为需要修复漏洞的ECS主机创建镜像,详细操作请参见通过云服务器创建整机镜像。 使用该镜像创建新的ECS主机,详细操作请参见通过镜像创建云服务器。 在新启动的主机上执行漏洞修复并验证修复结果。 确认修复完成之后将业务切换到新主机。
存在无资源部署的问题。在此情况下,可以通过安全云脑实现资源纳管,支撑用户使用安全云脑进行安全运营。 支持纳管以下资源: 资产: 主机、网站、数据库、VPC、EIP 日志: HSS安全日志、告警日志、漏洞扫描日志、基线日志;WAF攻击日志、访问日志;APIG请求日志;CTS服务日志
在节点管理页面中,查看节点的详细信息。 当节点较多时,可以通过搜索功能快速查询指定节点。 表1 节点参数说明 参数名称 参数说明 节点名称/ID 节点的名称/ID。 健康状态 节点的健康状态。 区域 节点所在区域。 IP地址 节点的IP地址。 CPU使用率 节点的CPU使用率。 内存使用率
使用取证方法确认数据在恢复之前是安全的,然后从备份中恢复数据,或者恢复到ECS实例的早期快照。 如果您已成功使用任何开源解密工具恢复数据,请从实例中删除该数据,并执行必要的分析以确认数据是安全的。然后,恢复实例,终止或隔离实例并创建新的实例,并将数据还原至新实例中。 如果从备份恢复或解密数据都不可行,请评估在新环境中重新开始的可能性。
帮助用户了解攻击和入侵过程,并提供相关的防护措施建议。更多说明请参见安全云脑与其他安全服务之间的关系与区别。 与弹性云服务器的关系 安全云脑为弹性云服务器(Elastic Cloud Server,ECS)提供资产安全管理服务,结合HSS主机防护状态,全方位呈现当前ECS安全风险态势,并提供相应防护建议。
漏洞管理工具会扫描网络来帮助识别攻击者可能利用的任何薄弱点。 用户和实体行为分析(User and Entity Behavior Analytics,UEBA) 用户和实体行为分析构建在许多新式安全工具之中,它使用AI来分析从各种设备收集的数据,来为每个用户和实体建立正常活动的基线。当事件偏离基线时,会标记该事件供进一步分析。
新增节点前需要先检查待安装组件控制器的ECS主机的磁盘的/opt目录下是否预留100G以上的磁盘空间。 远程登录待安装组件控制器的ECS。 您可以登录弹性云服务器控制台,在“弹性云服务器”列表中,单击“远程登录”登录主机,详细操作请参见在云服务器控制台上登录主机。 如果您的主机已经
或多个)IP地址或IP地址段,如有多个IP地址或地址段,请使用英文逗号隔开。 当阻断对象类型为IAM时,请填写IAM用户名称。 单次下发应急策略阻断对象说明如下: 当需要下发策略至CFW时,单用户单次最多可新增50个IP作为阻断对象。 当需要下发策略至WAF时,单用户单次最多可新增50个IP作为阻断对象。
一步”。 设置最小授权范围,请选择“所有资源”,设置完成后,单击“确定”。 添加成功后显示如下: 创建用户。 创建过程中,开启“编程访问”、“访问密钥”和“密码”。 将操作账号用户添加到用户组中。 在左侧导航栏选择“用户组”,进入用户组页面。 在“租户采集用户组”用户组所在行“操作”列,单击“用户组管理”。
脑告警管理界面中。 在安全云脑的告警管理页面可以执行以下操作: 查看告警信息:可以通过查看告警列表了解近360天的告警威胁的统计信息列表,列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件,如告警名称、告警等级和发生时间等,快速查询到相应告警事件的统计信息。
应急处理可以记录所有的访问请求和响应,及时发现攻击行为,针对攻击源IP进行限制或者阻断,可以通过配置黑名单策略进行封锁。 侦察阶段典型告警 应用防线 WAF访问日志 应用-疑似存在源码泄露风险 应急处理可以记录所有的访问请求和响应,及时发现攻击行为,针对攻击源IP进行限制或者阻断,可以通过配置黑名单策略进行封锁。
开启数据消费 数据消费是指第三方软件、云产品等通过客户端实时消费日志服务的数据,是对全量数据的顺序读写。 安全云脑提供数据消费功能,支持通过客户端实时消费数据。 开启数据消费 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑
Linux软件漏洞检测 通过与漏洞库进行比对,检测出系统和软件(例如:SSH、OpenSSL、Apache、Mysql等)是否存在的漏洞,将存在风险的结果上报至管理控制台,并为您提供漏洞告警。 Windows系统漏洞检测 通过订阅微软官方更新,判断服务器上的补丁是否已经更新,并推
加固建议 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。 一般,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低):源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24。 项目服务中的委托权限配置检查 请在IAM委托设置中删除对应委托权限(Security
此时,需要对租户采集磁盘进行分区操作,具体操作步骤如下: 购买并挂载磁盘。 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“计算 > 弹性云服务器”,并在弹性云服务器列表中,单击当前安装isap-agent的ECS名称,进入ECS详情页面。 选择“云硬盘”页签,进入云硬盘页面后,单击“新增磁盘”。
获取、保护、记录证据。 根据您华为云环境的配置,通过主机安全服务配置可通过AV检测和HIPS检测帮助您发现资产中的安全威胁,检测到恶意软件和勒索软件。 可通过SSH等方法访问云服务器,查看实例状态和监控等信息,查看是否有异常。或者通过其他方式收到攻击信息或勒索信息请求发现潜在威胁。
查看数据盘是否已挂载在ECS中。 使用IAM管理员账号登录管理控制台。 单击管理控制台左上角的,选择区域或项目后,单击页面左上方的,选择“计算 > 弹性云服务器 ECS”。 在弹性云服务器页面中,单击符合条件的ECS名称,进入ECS详情页面。 选择“云硬盘”页签后,在云硬盘页面中查看是否已挂载符合要求的数据盘。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
