检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全云脑到期后,会继续收费吗? 安全云脑到期后,不会继续收费。 若到期后,未及时续费,会根据“客户等级”和“订购方式”定义不同的保留期时长,保留期内不能访问及使用SecMaster资源,但对存储在SecMaster资源中的数据仍予以保留。若保留期到期后,仍未及时续费,标准版或专业版会变为基础版。
请根据需求进行购买。 如果需要包周期购买,推荐按照每台服务器120 MB/天的数据量进行估算,设置后,安全数据采集、安全数据保留、安全数据导出、平台安全数据、安全建模分析功能每日可用数据量都是此设置量。 例如,设置了1 GB/天,则每台服务器都将有安全数据采集 1 GB/天、安全数据保留
作为阻断对象。 当需要下发策略至IAM时,单用户单次最多可新增50个IAM用户作为阻断对象。 将IP或IP地址段或IAM用户配置为黑名单后,来自该IP或IP地址段或用户的访问,CFW/WAF/VPC/IAM将不会做任何检测,直接拦截。 父主题: 策略管理
操作步骤 操作说明 (可选)步骤一:购买ECS 安装日志采集器。 (可选)步骤二:购买数据磁盘 保障日志采集器有足够的运行空间。 (可选)步骤三:挂载数据磁盘 保障日志采集器有足够的运行空间。 步骤四:创建非管理员IAM账户 用于租户侧日志采集器登录访问安全云脑。 步骤五:网络连通配置 实现租户VPC与云脑网络网络连通。
处理告警事件 HSS通过暴力破解检测算法和全网IP黑名单,如果发现暴力破解主机的行为,对发起攻击的源IP进行拦截,并上报告警事件。 当接收到来源于HSS的告警事件时,请登录HSS管理控制台确认并处理告警事件。 如果您的主机被爆破成功,检测到入侵者成功登录主机,账户下所有云服务器可能已被植入
“安全评分”板块根据不同版本的威胁检测能力,评估整体资产安全健康得分,可快速了解未处理风险对资产的整体威胁状况。 安全评分每天凌晨2:00自动更新,也支持通过单击“重新检测”来进行实时更新。 分值范围为0~100,分值越大表示风险越小,资产更安全,安全分值详细说明请参见安全评分。 分值环形图不同
购买和变更规格 为什么主机最大配额不能小于主机数量? 购买安全云脑时提示权限不足怎么办? 安全云脑如何变更版本规格? 如何将态势感知升级至安全云脑?
崩溃可能导致调用该服务的其他服务也出现问题。 资源共享 当多个系统或服务共享同一资源(如服务器、数据库、网络设备等)时,该资源的问题可能导致多个系统或服务同时发出告警。例如,共享数据库服务器的性能下降可能会触发多个依赖该数据库的应用程序的性能告警。 连锁反应 某些情况下,一个初始
基线检查概述 安全云脑的基线检查功能支持检测云服务关键配置项,通过执行扫描任务,检查云服务基线配置风险状态,分类呈现云服务配置检测结果,告警提示存在安全隐患的配置,并提供相应配置加固建议和帮助指导。 针对华为云服务关键配置项,安全云脑内置了“安全上云合规检查1.0”、“等保2.0
设置查询条件或直接输入查询语句操作参考查询语法。 查询之后通过原始日志看到详细日志数据,如图3所示。 图3 原始日志 同时,也可以通过显示字段,进行字段筛选显示查看分析,如图4所示。 图4 选中显示字段 常用查询语句 表1 常用查询语句 需求 管道 查询语句 某IP访问查询 sec-waf-access
在新增策略页面中,配置策略信息。 表1 新增应急策略 参数名称 参数说明 阻断对象 输入需要阻断的单个(或多个)IP地址或IP地址段,如有多个IP地址或地址段,请使用英文逗号隔开。 标签 自定义应急策略的标签。 操作连接 选择该策略的操作连接。 阻断老化 确认是否老化该条阻断。
如果存在尽快修补漏洞,并更新相关软件或库的版本。 对系统进行全面的检查,确认是否存在其他的漏洞或后门,以保证系统的安全性。 限制系统的访问权限,例如禁用root账户、限制访问来源IP等,以减少攻击者可能的入侵路径等。 系统行为异常/进程异常行为 根据告警对应的影响资产,对受影响资产、服务、业务等有基本定位。
表5 kafka连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 服务地址 bootstrap_servers string -- 是 服务地址 主题 topics array logstash 是 主题,可同时消费多个主题 消费线程 consumer_threads
“安全评分”板块根据不同版本的威胁检测能力,评估整体资产安全健康得分,可快速了解未处理风险对资产的整体威胁状况。 安全评分每天凌晨2:00自动更新,也支持通过单击“重新检测”来进行实时更新。 分值范围为0~100,分值越大表示风险越小,资产更安全,安全分值详细说明请参见安全评分。 分值环形图不同
安全治理功能的使用流程如表1所示。 图1 安全治理功能的使用流程 表1 使用流程步骤说明 子流程 说明 授权云服务资源访问权限 使用安全治理功能前,需要获取访问云服务资源的权限,授权后,才能通过策略扫描帮您快速识别云上资产的安全遵从情况。 订阅或取消订阅安全遵从包 安全云脑提供有不同的安全遵从包,您可以选择所需的安全遵从包。
当主机告警类型为反弹shell,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断,同时关闭告警 Alert 应用安全 云脑WAF地址组关联策略 将安全云脑指定WAF地址组(黑IP地址组)绑定WAF所有企业项目全部策略的黑白名单 CommonContext WAF删除空防护策略 每周一9点查询WAF防护策略,对空防护策略进行删除
的安全管控要求。 支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。 权限:允许或拒绝某项操作。 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。
近7天网络、应用、主机被访问产生的日志大小总和,单位为MB。 环比 近7天网络、应用、主机被访问产生的日志大小总和,与近7-14天用户网络、应用、主机被访问产生的日志大小总和的对比。 计算方法:(本期数 - 上期数) / 上期数 × 100%。 统计趋势图 近7天每天网络、应用、主机被访问产生的日志大小总和,单位为MB。
便于分析和审计。 告警 告警是运维中的一种异常信号的通知,通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如,当服务器的CPU使用率超过90%时,系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性,能够明确指出
审核意见 勾选审核结论。 通过,通过后剧本版本状态更新为已激活。 驳回,驳回后剧本版本状态更新为审核驳回,可再次编辑后提交。 驳回原因 当“审核意见”为“驳回”时,需要填写该参数。 输入审核意见(当审核意见勾选驳回时必填)。 当前剧本仅有一个剧本版本时,审核通过后的剧本“版本状态”默认为“已激活”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
