检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
“MTD+OBS”数据同步 场景说明 按照等保合规要求数据需存储至少180天,MTD默认存储最近30天数据,如需长期存储数据,您需要将MTD告警数据转存至OBS桶。 数据下载至本地存储至少180天也可满足合规要求,但MTD服务本身目前还不支持下载告警数据,您可在OBS对告警数据进行下载保存至少180天,也可满足等保合规要求。
域中各服务的日志数据源。 开启威胁检测 创建检测引擎 配置追踪器 05 实践 基于业务场景及客户需求的最佳实践,助您快速使用MTD检测云服务中潜在的恶意活动和未经授权行为。 威胁检测最佳实践 快速掌控MTD潜在威胁 名单库策略提升检测效率 “MTD+OBS”数据同步 02 购买
对象存储服务(Object Storage Service,简称OBS)提供海量、安全、高可靠、低成本的数据存储能力,可供用户存储任意类型和大小的数据。用户根据需要可开启数据转存,可将威胁检测结果存储至OBS,满足合规要求,详情请参见同步检测结果。 与消息通知服务的关系 消息通知服务(Simple
终止当前ECS,根据需要使用新ECS来做代替。 JunkMail 在租户侧网络场景下,检测到某些ECS正在基于端口25,跟远程主机通讯并发送垃圾邮件。 默认严重等级:中危。 数据源:VPC流日志。 此调查结果通知您,检测到某些ECS正在基于端口25,跟远程主机通讯并发送垃圾邮件。
访问通过算法生成的域。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。 默认严重级别:高危。 数据源:DNS日志。 此调查结果通知您,发现一台虚拟机访问通过算法生成的域。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。
访问通过算法生成的域。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。 默认严重级别:高危。 数据源:DNS日志。 此调查结果通知您,发现一台虚拟机访问通过算法生成的域。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。
终止当前ECS,根据需要使用新ECS来做代替。 JunkMail 在租户侧网络场景下,检测到某些ECS正在基于端口25,跟远程主机通讯并发送垃圾邮件。 默认严重等级:中危。 数据源:VPC流日志。 此调查结果通知您,检测到某些ECS正在基于端口25,跟远程主机通讯并发送垃圾邮件。
Algorithm域名生成算法)是一种使用时间,字典,硬编码的常量利用一定的算法生成的域名。 DGA生成的域名具有微随机性,用于中心结构的僵尸网络中与C&C服务器的连接,以逃避域名黑名单检测技术。 父主题: 产品咨询
步骤二:配置追踪器 在创建威胁检测引擎时,默认开启了CTS服务日志检测,但是此时MTD服务不能正常获取CTS服务的日志数据源,为了保证威胁检测服务能正常获取CTS服务的日志数据源,您需要配置追踪器。 本章节将介绍配置追踪器的详细操作。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。
步骤二:配置追踪器 在创建威胁检测引擎时,默认开启了CTS服务日志检测,但是此时MTD服务不能正常获取CTS服务的日志数据源,为了保证威胁检测服务能正常获取CTS服务的日志数据源,您需要配置追踪器。 本章节将介绍配置追踪器的详细操作。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。
ClientFirstAccess 发现OBS中有以新的客户端访问桶对象。 默认严重级别:低危。 数据源:OBS日志。 此调查结果通知您,有客户端首次访问这个桶,此客户端没有此桶的历史访问记录。 修复建议: 如果此用户使用的客户端,不是业务常规使用方式,请修复受损的OBS存储桶权限访
ClientFirstAccess 发现OBS中有以新的客户端访问桶对象。 默认严重级别:低危。 数据源:OBS日志。 此调查结果通知您,有客户端首次访问这个桶,此客户端没有此桶的历史访问记录。 修复建议: 如果此用户使用的客户端,不是业务常规使用方式,请修复受损的OBS存储桶权限访
检测主机异地登录行为并进行告警。 异地登录检测信息包括“登录源IP”、“登录时间”,攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录,则触发安全事件告警。 若账户暴力破解成功,登录到云主机,则触发安全事件告警。 异常行为 识别分布式暴破攻击 有效检测通过HTTP隧道使用随机公网IP
存储至OBS桶。 威胁检测服务默认为您存储近30天的检测结果数据,您需要存储更长的时间(为满足合规要求,您的数据需要存储180天),可单击“存储至OBS桶”,跳转至“数据同步”界面,将检测结果存储至OBS桶,更多详细操作请参见同步检测结果。 单击右上角“关闭”后,“流程引导”模块将不再默认显示。
图7 开启云审计服务日志 在页面左上角选择“检测结果”进入检测结果页面,此时页面中“以下服务无法直接获取日志数据,需要您进行配置”的提示框已关闭,并且显示已开启云审计服务日志数据检测,表示配置追踪器成功。如图 配置追踪器成功所示。 图8 配置追踪器成功 父主题: 产品咨询
购买MTD服务后,关闭所有日志数据源开关是否会计费? 购买MTD服务时您已支付所选套餐费用,之后若关闭日志数据源,不会额外计费。 在购买MTD服务后,只有当检测的日志数据源容量超过所购买的套餐容量后,才会额外计费。 父主题: 购买咨询
什么是威胁检测服务 威胁检测服务(Managed Threat Detection,简称MTD),通过接入目标区域中您在华为云操作所涉及到的IAM日志、DNS日志、CTS日志、OBS日志、VPC日志,持续实时检测日志中访问者的IP或域名是否存在潜在的恶意活动和未经授权行为并进行告警。
威胁检测服务接入全量的统一身份认证(IAM)、虚拟私有云(VPC)、云解析服务(DNS)、云审计服务(CTS)、对象存储服务(OBS)的日志数据,利用AI智能引擎、威胁情报、规则基线模型一站式检测,持续监控暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为,识别云服务日志中
所有检测结果都与检测器关联。 数据源 数据源是指威胁检测服务分析、处理的各类服务日志。为了检测各种未经授权的恶意活动,威胁检测服务会获取您授权开启检测的服务(包含IAM、DNS、CTS、OBS、VPC)的日志数据,这些日志数据就是威胁检测服务的数据源。
默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 BlackList 发现与历史情报相似的黑名单IP访问。 默认严重级别:中危。 数据源:IAM日志。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
