检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
云审计服务支持的SecMaster操作列表 云审计服务(Cloud Trace Service,CTS)记录了安全云脑相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见《云审计服务用户指南》。 云审计服务支持的SecMaster操作列表如表 云审计服务支持的SecMaster操作列表所示。
购买和使用安全云脑标准版 操作场景 安全云脑实现了开箱即用,即默认在每个区域(Region)的首个工作空间中自动加载当前区域的所有资产,以及接入推荐的云服务日志数据,并启用精选预置模型和剧本。无需进行繁琐的手动配置,简化了使用流程并提升了效率。后续新增的用于自定义运营的工作空间,
现安全事件的高效、自动化响应处置。 每个Region的首个工作空间可自动启用内置的流程,无需再进行手动启用。同时,内置的剧本中推荐使用的高频剧本默认已启用(未全部启用)。后续新增的用于自定义运营的工作空间,不会自动启用剧本,需要用户自定义启用。 若还需开启未默认启用的剧本,请参考下述操作步骤进行启用:
其他较为严重影响的,则需要进行单独处理,可以将它转为事件或关联事件。 本章节主要介绍如何将告警转为事件,以及告警如何关联事件。 告警和事件关系说明 本部分介绍告警和事件的含义、区别,告警转事件的原因和告警关联事件的原因。 告警和事件的含义与区别 表1 告警和事件的含义与区别 类别
有账户活动的日志。 事件沟通: 根据组织的事件响应计划确定利益相关方的角色。 通知相关干系人,包括法务人员、技术团队和开发人员,并确保他们被添加到工单和作战室中,以进行持续更新。 外部沟通: 确保您的法律顾问了解情况,并将其纳入内部利益相关者的状态更新,特别是外部沟通的状态更新。
oS)等安全防护服务中获取必要的安全事件记录,进行大数据挖掘和机器学习,智能AI分析并识别出攻击和入侵,帮助用户了解攻击和入侵过程,并提供相关的防护措施建议。更多说明请参见安全云脑与其他安全服务之间的关系与区别。 与弹性云服务器的关系 安全云脑为弹性云服务器(Elastic Cloud
数据监控:支持数据流量端到端的监控管理。 数据消费:提供数据消费和生产的流式通信接口,提供数据管道集成SDK,支持租户利用SDK进行系统集成,支持客户自定义数据的生产和消费。提供Logstash开源采集软件插件,支持利用开源生态进行数据消费和生产。 说明: 需额外购买增值包中的安全分析功能。其
云审计服务支持的关键操作 云审计服务支持的SecMaster操作列表 在CTS事件列表查看云审计事件
如果不再使用数据采集功能或退订安全云脑后,需要手动释放创建的ECS资源和VPC终端节点资源,避免继续计费。具体操作步骤如下: 释放ECS和VPC终端节点资源 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 释放用于采集数据的ECS资源。 在页面左上角单击,选择“计算 > 弹性
支持接入的云服务日志 安全云脑支持集成WAF、HSS、OBS等多种华为云云产品的日志数据。集成后,可以检索并分析所有收集到的日志,且默认存储7天。 表1 支持接入的日志 安全分类 服务 服务类型 日志 日志描述 支持的region 主机安全 企业主机安全(HSS) 租户侧云服务 hss-alarm
process_info中当前进程和父进程的信息,综合判断是否异常,如果异常,则联系对应资源负责人处理。 立即停止受影响的进程或服务,以避免继续受到攻击或造成其他损害; 尽快调查异常行为的原因和来源,例如查看日志、监控系统、分析进程内存等,以确定异常的具体表现和可能的根本原因; 根据异常行为的性质和严重程度
Firewall,WAF)等安全防护服务上报的告警数据,从中获取必要的安全事件记录,进行大数据挖掘和机器学习,智能AI分析并识别出攻击和入侵,帮助用户了解攻击和入侵过程,并提供相关的防护措施建议。 安全云脑通过对多方面的安全数据的分析,为安全事件的处置决策提供依据,实时呈现完整的全网攻击态势。 接入数据详细操作请参见接入数据、数据采集。
不支持部分配额购买标准版和专业版。 增值包中的“安全大屏”、“智能分析”、“安全编排”为标准版和专业版额外选购付费项目,如需使用,请先购买标准版或专业版。 升级版本:详细操作请参见升级版本。 购买增值包:详细操作请参见购买增值包。 增加配额:详细操作请参见增加资产配额。 父主题: 购买和变更规格
为什么主机最大配额不能小于主机数量? 主机最大配额是授权检测主机的最大数量。在购买安全云脑时,选择的最大配额需等于或大于当前账户下主机总数量,且不支持减少。如果购买的最大配额小于主机数量,可能会造成未授权检测的主机被攻击后,不能及时感知威胁,造成数据泄露等风险。 主机配额配置说明如表1所示。
呈现主机资产的整体安全状态。 SecMaster:仅支持同步HSS主机资产风险信息,呈现各主机资产的整体安全状况。 HSS:不仅支持呈现主机的安全状况,还支持深度扫描主机中的账号、端口、进程、Web目录、软件信息和自启动任务。 网站资产 - SecMaster:支持检查和扫描网站安全状态,呈现各网站资产的整体安全状况。
安全云脑:开箱即用的安全运营体验 父主题: 知识科普
为什么没有看到攻击数据或者看到的攻击数据很少? 安全云脑支持检测云上资产遭受的各类攻击,并进行客观的呈现。 但是,如果您的云上资产在互联网上的暴露面非常少(所谓“暴露面”是指资产可被攻击或利用的风险点,例如,端口暴露和弱口令都可能成为风险点),那么遭受到攻击的可能性也将大大降低,所以,
如何查看所有日志已占用的存储空间大小? 安全云脑支持在“安全报告”中查看所有日志占用的存储空间大小。在安全报告中可以查看日志分析的以下信息: 安全报告的日报中的“日志分析”参数可展示前一天的日志存储总量; 安全报告的周报中的“日志分析”参数展示上周一整周日志分析的情况,包含日志存储总量;
在左侧导航栏选择“用户组”,进入用户组页面。 在“SecMaster_ops”用户组所在行“操作”列,单击“用户组管理”。 在弹出的“用户组管理”对话框中,勾选需要添加的用户。 单击“确定”。 父主题: 购买和变更规格
安全云脑中的日志存储时间是多久? 安全云脑支持接入WAF、HSS、OBS等云产品的日志数据,接入后可以对数据进行查询分析、智能建模等。 对于已接入安全云脑的日志数据的具体存储时长如下所示: 表1 支持接入的日志 云服务 日志描述 日志 日志生命周期范围 Web应用防火墙(Web Application
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
