检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在安全云脑中,默认“HSS文件隔离查杀”流程的初始版本(V1)也已启用,无需手动启用。默认“HSS文件隔离查杀”剧本的初始版本(V1)也已激活,只需要启用就可以进行使用。 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间
本,并单击“确认”。 “高危告警自动通知”流程需要使用消息通知服务(Simple Message Notification,SMN)来创建安全云脑告警通知主题,并完成订阅即可接收到告警通知。请参考如何创建并订阅主题配置护网过程中需要进行告警通知的人员。 父主题: 步骤四:安全运营策略调整
安全风险。当主机资产数量增加后,请及时增加配额数。 安全大屏 关闭 确认是否需要使用安全云脑提供的“安全大屏”功能,是否需要增配“日志审计”、“安全分析”或“安全编排”功能。如果需要购买,请根据您的需要设置对应的购买量。 增值包说明、配置推荐详细介绍请参见增值包说明。 日志审计 暂不购买
组件控制器常用命令有哪些? 如果组件控制器(isap-agent)安装失败,在故障排查过程中,可能需要使用命令进行处理,其中,常用命令如下: 重启 sh /opt/cloud/isap-agent/action/agent_controller_linux.sh restart
保留关键字 目前,由于SecMaster SQL特性功能还在不断更新完善中,其中有一些字符串的组合已被预留为关键字在后续功能特性中使用,因此,如果您需要使用这些字符串作为字段名,请使用反引号将字段名进行包装,例如,`value`, `count`。 具体保留关键字如下: 表1 保留关键字 首字母
本章节将介绍如何将集成的日志数据投递至LTS。 前提条件 已完成需投递日志的数据集成至安全云脑操作,详细操作请参见数据集成。 投递到LTS中,需要已有可用的日志组和日志流。如需创建,详细操作请参见创建LTS日志组、创建LTS日志流。 操作步骤 新增数据投递 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
侦察阶段典型告警 网络防线 NIP攻击日志 网络-高危端口对外暴露 排查源IP对系统中的高危端口连接是否为业务需要。如果为业务需要,可修改模型脚本将该源IP过滤掉;如果非业务需要,则可修改相应安全组入方向规则,禁止高危端口暴漏公网,或者对源ip进行封堵拦截。同时为保证系统安全,尽量关闭不必要的端口。
(可选)步骤十:配置日志解析器 本章节将介绍如何配置日志解析器,以便将日志数据进行格式转换,实现无码化,将源日志转换成用户需要的数据类型。 安全云脑提供模板日志解析器(规则),可以直接使用模板进行配置。当模板日志解析器(规则)无法满足日志转换的情况下,可自定义新增日志解析器(规则)。
选择镜像后,是否“开启安全防护”根据需要自定义配置。 存储与备份 系统盘 最低要求系统磁盘50 GB。 根据需要选择符合要求的系统盘。 数据盘 最低要求数据磁盘100 GB。 单击“增加一块数据盘”,根据需要选择符合要求的数据盘。 开启备份 根据需要自定义配置。 网络 虚拟私有云 根据需要自定义配置。
本文介绍了SecMaster服务提供的SDK语言版本,列举了最新版本SDK的获取地址。 在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 在开始使用之前,请确保您安装的是最新版本的SDK。使用过时的版本可
左侧显示内置所有插件集、插件、函数信息。 如需查看某个插件的详细信息,可以单击插件名称,右侧将展示插件的详细信息。 如果查看某个函数的详细信息,可以展开插件后,单击需要查看的函数名称,右侧将展示函数的详细信息。 父主题: 插件管理
支持通过应急策略功能进行风险控制。 安全云脑的应急策略功能可以联动CFW/WAF/VPC安全组对源IP进行封堵和解封。 当护网和重保过程中有情报需要进行单个IP或多个IP进行批量阻断时候,可以通过该功能进行全策略封堵。 风险控制 登录安全云脑控制台,并进入目标工作空间管理页面。 在左侧导航栏选择“风险预防
如果资产信息未在安全云脑中显示,则可以通过设置资产订阅同步资产信息;如果需要导入云下资产,请参考导入资产进行处理。 梳理网站资产 Web业务是企业最为重要和广泛使用的业务之一,也是最容易受到攻击的业务之一,因此,护网/重保前需要先进行Web资产的梳理。 针对网站域名,支持通过Web应用防火墙(Web
组件控制器安装失败,如何处理? 数据采集时,需要在ECS上安装组件控制器(isap-agent),当出现安装失败等问题时,请参照本章节进行排查处理: 排查过程中,常用命令请参见组件控制器常用命令有哪些?。 可能原因 组件控制器(isap-agent)安装失败的可能原因如下: 待安
安全分析中的索引是一种存储结构,用于对日志数据中的一列或多列进行排序。不同的索引配置,将会产生不同的查询和分析结果,请根据您的需求合理配置索引。 如果您需要使用分析功能,必须配置字段索引。配置字段索引后,您可以指定字段名称和字段值(Key:Value)进行查询,缩小查询范围。例如查询语句lev
示。 每个Region的首个工作空间可自动启用当前Region中推荐使用的预置模型。后续新增的用于自定义运营的工作空间,不会自动加载启用,需要用户自定义新建。 本章节将介绍如何创建并编辑告警模型。 使用已有模板创建告警模型 自定义新建告警模型 编辑模型 约束与限制 单账号单Reg
并使用root账号在主机中安装组件控制器。 执行df -h命令,检查磁盘/opt目录下是否预留100G以上的磁盘空间,CPU核数需要2核以上,内存需要4G以上。 图1 检查磁盘 如果内存不足,请关闭一些高内存占用的应用程序或扩充内存容量后再进行安装。扩容操作详情请参见变更服务器规格。
在分类映射列表中,查看分类映射的名称、数据类、关联插件实例数等信息。 如果分类映射较多时,可以通过搜索功能,输入关键字进行搜索,即可快速查询指定分类映射。 如果需要对分类映射进行编辑,可以单击目标分类映射的名称,进入编辑页面进行编辑。 在编辑页面,可以编辑分类映射的信息。 在分类映射列表中,还可以启用、禁用或复制、删除已有分类映射。
步骤五:网络连通配置 采集数据前,需要进行网络连通配置,以便实现租户VPC与安全云脑的网络连通。 网络连通配置 已开通付费版安全云脑服务,且已创建工作空间。 详细操作请参见购买安全云脑、新增工作空间。 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
在导入漏洞对话框中,单击“下载模板”,并根据模板填写要求填写待导入漏洞信息。 待导入漏洞文件填写完成后,在导入漏洞对话框中,单击“添加文件”,并选择需要导入的Excel文件。 选择完成后,单击“确定”,完成导入。 导出漏洞 最多支持导出9999条漏洞信息。 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
