检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
查询与分析 操作场景 数据收集成功后,您可以在查询分析页面对收集到的日志数据进行实时查询分析。 本章节将介绍如何对日志数据进行查询分析,请根据您的需要选择查询分析方式: 输入查询条件进行查询分析 使用已有字段进行查询分析 操作查询分析结果 前提条件 已完成数据接入,详细操作请参见数据集成。
数据接入后,可以利用模型对数据进行扫描,如果在模型设置范围内容,将产生告警提示。 需要使用以下内置的模板创建告警模型并启用模型: 应用-WAF关键攻击告警、主机-虚拟机横向连接、网络-高危端口对外暴露、网络-登录爆破告警、主机-疑似外联、网络-源ip对多个目标进行攻击、网络-命令注入告警、网络-恶意外联、
基本概念 本节介绍安全云脑相关概念。 安全风险 安全风险是对资产安全状况的综合评估,反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值,便于用户理解目前资产的安全状况,数值大小并不代表资产的安全或危险,仅作为资产遭受攻击严重程度的参考。 威胁告警 广义的威胁告警
安全云脑除默认支持的云服务日志接入外,还具备采集管理功能,使用该功能可对日志进行采集、解析、转出、可视化查询、威胁建模等。 在此过程中,需要安装Agent组件,打通安全云脑与ECS通道。还需要安装Logstash组件,用于数据接入、解析、转出等操作。 本场景将介绍以下两种接入操作指导: 使用默认解析方式快速接入数据:
本章节介绍如何查看自定义类型。 约束与限制 系统内置的类型和子类型不支持关联布局、编辑、删除、启用和禁用。 其中,内置的IP和主机(物理机和虚拟机)类型可以执行启用和禁用操作,实现“资产管理”页面中展示类型的控制,详细操作请参见如何自定义导入主机资产?、如何让IP类型资产在资产管理页面中显示?。
购买咨询 安全云脑如何变更版本规格? 购买安全云脑时提示权限不足怎么办? 如何释放ECS和VPC终端节点资源? 如何将态势感知升级至安全云脑?
进入类型管理页面 在类型管理页面,选择“自定义类型”页签,进入自定义类型页面后,选择“主机”类型。 在主机类型页面中,勾选“物理机”和“虚拟机”后单击“批量启用”,在弹出的确认框中,单击“确认”。 图3 启用主机类型 自定义导入主机资产。 在左侧导航栏选择“资产管理 > 资产管理”,进入资产管理页面。
适用计费项 以下计费项支持按需计费: 表1 适用计费项 计费项 说明 服务版本 安全云脑的版本,仅专业版支持按需购买。 配额数 设置的ECS主机配额数量。 增值包 安全大屏 随按需计费安全云脑版本的基础上,额外购买的增值包-安全大屏,其计费模式也为按需计费。 日志审计 随按需计
审计与日志 审计 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后,CT
在节点管理页面中,单击目标节点所在行“操作”列的“注销”。 在弹出的确认框中,单击“确定”。 仅注销节点,不会删除ECS和endpointinterface资源。后续如果不再使用数据采集功能,需要手动释放,详细操作请参见删除ECS资源、删除终端节点。 父主题: 组件管理
Logtash组件配置项说明 租户采集Logstash采集器是安全云脑经过定制化处理的。其在不同传输场景可进行不同程度的优化配置,此处主要提供日志配置log4j2.properties、jvm.options运行内存优化配置。 jvm运行内存配置 图1 jvm.options 表1
配置索引 安全分析中的索引是一种存储结构,用于对日志数据中的一列或多列进行排序。不同的索引配置,将会产生不同的查询和分析结果,请根据您的需求合理配置索引。 如果您需要使用分析功能,必须配置字段索引。配置字段索引后,您可以指定字段名称和字段值(Key:Value)进行查询,缩小查询
配置组件 操作场景 本章节将介绍如何配置组件信息。 操作步骤 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中
适用计费项 以下计费项支持包年/包月: 表1 适用计费项 计费项 说明 版本 安全云脑的版本,包括基础版、标准版和专业版。 配额数 设置的ECS主机配额数量 增值包 安全大屏 在包年/包月安全云脑版本的基础上,额外购买的安全大屏(+Astro大屏应用)功能,其计费模式也为包年/包月。
数据消费 数据消费是指第三方软件、云产品等通过客户端实时消费日志服务的数据,是对全量数据的顺序读写。 安全云脑提供数据消费功能,支持通过客户端实时消费数据。 开启数据消费 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑
基线检查 安全云脑支持根据基线检查计划检查您的服务基线配置是否存在风险,提供了“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”三大类别的检查规范。 护网/重保期间推荐使用“安全上云合规检查1.0”和“护网检查”两个规范。 检查之后分类呈现云服务配置检测结果,告警提
手动续费 包年/包月安全云脑从购买到被自动删除之前,您可以随时在SecMaster控制台进行续费,以延长安全云脑的使用时间。 在云服务控制台续费 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 安全云脑”,进入安全云脑管理页面。 在左侧导航栏选择“已购资源”,进入已购资
工作空间概述 本章节将介绍工作空间的定义、类型和基本操作等内容。 什么是工作空间? 工作空间(Workspace)属于安全云脑顶层工作台。 空间管理: 单个工作空间可绑定普通项目、Region,可支撑不同场景下的工作空间运营模式。 空间托管:跨账号安全运营,可实现工作空间委托集中
接入数据 操作场景 安全云脑支持一键接入WAF、HSS、OBS等多种华为云云产品的日志数据。接入后,可以统一管理日志信息,以及检索并分析所有收集到的日志。具体支持接入的云服务日志请参见支持接入的日志。 每个Region的首个工作空间可自动加载当前Region推荐接入的日志数据(未
创建用户并授权使用SecMaster 如果您需要对您所拥有的SecMaster进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),通过IAM,您可以: 根据企业的业务组织,在您的账号中,给企业中不同职能部门的员工
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
