检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
节点需要使用到的连接域名和鉴权参数。 作用:用于在安全编排的流程执行过程中,每个插件节点运行时,传入需要连接的域名信息,以及在访问该域名时,需要使用到的用户鉴权信息,如用户名/密码、账号AK/SK等。 资产连接与插件的关系:每个插件在运行过程中,需要通过域名调用的方式访问其他云服
汇聚后,将资产的风险情况标识出来,例如:是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务(例如:ECS上应该安装HSS的Agent、域名应纳入到WAF的防护策略中)等,方便查看资产的安全状态。 更多详细介绍及操作请参见资产管理。 检查并清理不安全的配置
汇聚后,将资产的风险情况标识出来,例如:是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务(例如:ECS上应该安装HSS的Agent、域名应纳入到WAF的防护策略中)等,方便查看资产的安全状态。 更多详细介绍及操作请参见资产管理。 检查并清理不安全的配置
现安全事件的高效、自动化响应处置。 每个Region的首个工作空间可自动启用内置的流程,无需再进行手动启用。同时,内置的剧本中推荐使用的高频剧本默认已启用(未全部启用)。后续新增的用于自定义运营的工作空间,不会自动启用剧本,需要用户自定义启用。 若还需开启未默认启用的剧本,请参考下述操作步骤进行启用:
本章节将介绍如何挂载数据磁盘到符合条件的ECS上。 需要将符合条件的数据磁盘挂载在已有的符合条件的ECS上,保障日志采集器有足够的运行空间。若满足以下任一场景则无需执行此步骤: 场景一:参考(可选)步骤一:购买ECS时已经了购买符合条件的ECS和数据磁盘,且磁盘已挂载到ECS,则无需执行此步骤。 场景
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 Token在计算机系统中代表令牌(临时)的意思,拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头,从而通过身份认证,获得操作API的权限。 T
xx.xx 对域名demo.host.com进行了xx次攻击”告警为例进行说明。 收到告警: 图7 告警示例 分析思路: 源IP对域名进行爆破攻击,会对可能的子域名产生大量的枚举和测试。 安全云脑通过分析Web应用防火墙的告警,统计1小时内的攻击次数,过滤出次数超过阈值的攻击进行告警。
ApiCall:表示调用ApiGateway触发的操作。 ObsSDK:表示通过调用OBS 提供的SDK 触发的关于OBS桶相关操作。 Others:表示除去通过“ObsSDK”触发的关于OBS桶相关的操作。 api_version String 作为操作来源的云服务的API版本号。 message Object
分析溯源 事后对攻防过程中重要攻击或防守成果进行溯源分析,针对过程中暴露的安全能力风险、应急处理流程缺失、安全意识薄弱等问题进行梳理,输出复盘报告。 安全分析能力提供原始日志数据查询统计能力,可以针对原始数据进行溯源分析。 分析溯源 登录安全云脑控制台,并进入目标工作空间管理页面。
在主题列表中,查看步骤一:创建并订阅主题创建的主题的主题URN信息。 配置完成后,单击“确认”。 步骤三:配置并启用剧本 在安全云脑中,默认“高危漏洞自动通知”流程的初始版本(V1)也已启用,无需手动启用。默认“高危漏洞自动通知”剧本的初始版本(V1)也已激活,只需要启用就可以进行使用。
Cloud,VPC)是您在云上的私有网络,为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。 安全云脑的资产管理功能会自动完成云VPC资产的梳理。针对VPC资产,支持通过云防火墙(Cloud Firewall,CFW)服务来提供云上互联网边界和VPC边界的防护,VPC边界防
数据采集后,针对云上安全事件提供了安全编排剧本,实现安全事件的高效、自动化响应处置。 安全云脑内置的流程默认已启用,无需再进行手动启用;内置的剧本已激活默认版本,仅需启用对应剧本即可。建议启用以下剧本: 表1 启用剧本 剧本名称 描述 重复告警自动关闭 将近7日内第二次及第二次以上出现的告警状态置为关闭,并关联7日内同名告警
种华为云云产品的日志数据。接入后,可以统一管理日志信息,以及检索并分析所有收集到的日志。具体支持接入的云服务日志请参见支持接入的日志。 每个Region的首个工作空间可自动加载当前Region推荐接入的日志数据(未全部接入),无需手动处理。后续新增的用于自定义运营的工作空间,不会自动加载数据,需要用户自定义接入。
在步骤五:网络连通配置执行后的页面中,单击页面右下角“下一步”,进入“脚本安装验证”页面。 单击复制安装组件控制器的命令。 图1 复制安装命令 安装组件控制器。 远程登录(可选)步骤一:购买ECS准备的ECS。 您可以登录弹性云服务器控制台,在“弹性云服务器”列表中,选中目标ECS单击操作”列的“远程
已在安全云脑工作空间的“设置 > 数据集成”页面中接入HSS告警数据,并开启自动转告警开关,详细操作请参见数据集成。 图1 接入HSS告警 配置并启用剧本 在安全云脑中,默认“HSS文件隔离查杀”流程的初始版本(V1)也已启用,无需手动启用。默认“HSS文件隔离查杀”剧本的初始版本(V1)也已激活,只需要启用就可以进行使用。
提供权限管理的基础服务,可以帮助SecMaster服务安全地控制访问权限。通过IAM,可以将用户加入到一个用户组中,并用策略来控制他们对SecMasterr资源的访问范围。SecMaster权限可以通过细粒度定义允许和拒绝的访问操作,以此实现SecMaster资源的权限访问控制。
告警指标提取”等流程,且流程的初始版本(V1)也已启用,无需手动启用。 同时,还支持对已有流程进行自定义编辑,使用自定义流程。本章节将介绍如何配置并启用自定义版本的流程。 启用自定义版本的流程 进入流程管理页面 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规
实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予“SecMaster FullAccess”的系统策略,但不希望用户拥有“SecMaster FullAccess”中定义的修改告警配置的权限,您可以创建一条
知 如果需要使用某个未用剧本,可以启用剧本的初始版本(V1,默认已激活),或者对剧本进行修改后再启用。 本章节主要介绍配置并启用剧本。 启用初始版本的剧本 启用自定义版本的剧本 启用初始版本的剧本 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规