检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
功能,以实现更深层次、更全面的分析与运营策略制定: 接入日志数据:接入华为云云服务日志数据,以统一管理日志信息,以及检索并分析所有收集到的日志,可以实时监控系统和网络的安全状态,及时发现异常行为和潜在威胁。 采集数据:接入非华为云日志数据,整合和分析来自不同来源的信息,从而提供更
期。 日志审计 在包周期安全云脑版本的基础上,额外购买的安全数据采集、安全数据保留,其计费模式也为包周期。 安全分析 在包周期安全云脑版本的基础上,额外购买的安全分析包,其计费模式也为包周期。 安全编排 在包周期安全云脑版本的基础上,额外购买的安全编排,其计费模式也为包周期。 假
使用量因子,按需计费必填,取值和话单中的使用量因子一致,云服务和使用量因子对应关系如下: 典型场景配置:Duration 态势管理:duration 安全编排:count 智能分析:flow resource_id 否 String 资源id,仅在增加配额的时候传入 响应参数 无 请求示例 https://{end
基本概念 安全运营中心 总览和态势总览 工作空间 告警管理 安全编排 安全分析
步骤六:安全保障总结 安全报告 分析溯源 父主题: 安全云脑护网/重保最佳实践
空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。 图1 进入目标工作空间管理页面 在左侧导航栏选择“威胁管理 > 安全分析”,进入安全分析页面。 图2 进入安全分析页面 在左侧数据空间导航栏中,单击数据空间名称,展开数据管道后,单击目标管道名称后的“更多 > 投递”,右侧弹出现在数据投递设置页面。
剧本说明 勒索事件响应方案 攻击链路分析告警通知 HSS文件隔离查杀 自动更改告警名称 高危漏洞自动通知 高危告警自动通知 高危告警自动化安全封堵 关键运维操作实时通知
秒级计费,按小时结算。 适用计费项 服务版本 配额数 增值包(安全大屏+Astro大屏应用、日志审计、安全分析、安全编排) 服务版本(仅专业版) 配额数 增值包(安全大屏、日志审计、安全分析、安全编排) 舆情监测 变更规格 支持变更服务版本规格+增加配额数量。 支持增加配额数量。 适用场景
本章节介绍将非华为云日志接入安全云脑后,如何在安全云脑中测试验证日志是否接入成功。 表1 测试验证场景说明 场景 验证方法 华为云日志接入安全云脑 请在“安全分析”中查看是否存在已接入云服务日志。 安全云脑日志转出至第三方系统/产品 请在第三方系统/产品侧确认日志是否接收成功。 第三方(非华为云)日志接入安全云脑
选择告警的确认状态,标识告警的准确性。可选择以下状态:未知状态、攻击成功、关闭攻击。 (可选)阶段 选择您的告警阶段。 准备:准备资源处理告警。 检测与分析:检测与分析告警发生原因。 控制、清除、恢复:进行告警问题处理。 事件后活动:告警处理完成后的后续活动。 (可选)调试数据 选择是否开启模拟调试功能。
选择事件计划关闭时间。 其他 (可选)验证状态 选择事件的验证状态,标识事件的准确性。 (可选)阶段 选择您的事件阶段。 准备:准备资源处理事件。 检测与分析:检测与分析事件发生原因。 控制、清除、恢复:进行事件问题处理。 事件后活动:事件处理完成后的后续活动。 (可选)调试数据 选择是否开启模拟调试功能。
费,按照实际使用时长计费。关于两种计费模式的详细介绍请参见计费模式概述。 计费项 安全云脑的计费项由服务版本、配额、增值包(安全大屏、安全分析、安全编排、安全数据采集、安全数据保留)、安全舆情费用组成。了解每种计费项的计费因子、计费公式等信息,请参考计费项。 如需了解实际场景下的
或故障。事件可能由一条或多条告警触发,也可能由其他因素(如用户操作、系统日志等)引发。事件的目的是为了记录、分析、报告或审计,通常用于记录和报告系统的历史行为,以便于分析和审计。管理事件类型请参考管理事件类型。 威胁情报:查看威胁情报请参考查看威胁情报。 漏洞:常见的漏洞类型有L
将非华为云日志转入安全云脑场景时,需要执行此步骤。将华为云日志转出至第三方系统或产品场景,请跳过此步骤。 在安全云脑中创建日志存储位置(管道),用于日志存储、分析。 步骤九:配置连接器 配置日志来源、接收目的的参数信息。 请根据场景选择操作步骤: 将第三方日志接入安全云脑 将安全云脑日志转出至第三方系统或产品
自动同步主机告警状态 Alert 高危漏洞自动通知 对威胁等级为High的漏洞进行邮件或者短信通知 Vulnerability 攻击链路分析告警通知 针对攻击链路进行分析,如果主机产生告警,就会查看关联主机所属的网站,如果有对应网站信息且有告警,就进行告警通知 Alert 主机资产风险统计通知
并可通过自定义过滤条件,如告警名称、告警等级和发生时间等,快速查询到相应告警事件的统计信息。 告警转事件或关联事件:当收到告警信息且经过分析后,如果发现有攻击成功或有其他较为严重影响的,则需要进行单独处理,可以将它转为事件或关联事件。 一键阻断或解封:应急策略作为告警一键阻断的
SecMasterBiz插件参数说明请如下: 图5 SecMasterBiz插件 SecMasterBiz插件是自动更改告警名称流程中的一个插件,用于分析处理webshell类型告警的名称数据,可以按照用户自定义维度拼接告警名称,返回更新后的告警名称。 SecMasterBiz插件包含多个A
该工作空间中的事件数量。 漏洞 该工作空间中的漏洞数量。 告警 该工作空间中的告警数量。 情报 该工作空间中的情报数量。 资产 该工作空间中已有资产的数量。 安全分析 该工作空间中已有数据空间数量。 实例 该工作空间中已有实例的数量。 剧本 该工作空间中已有剧本的数量。 如需查看某个工作空间的详细信息,
请注意,在隔离的环境下调查事件以进行根本原因分析,对于实施控制措施以防止将来发生类似事件具有极大价值。 考虑使用最新的防病毒或防恶意软件来消除勒索软件。 请谨慎此操作,因为此操作可能会向攻击者发出警报。建议在隔离的取证环境中查看被锁定或加密的对象,例如,从受感染的ECS实例中删除网络访问权限。 删除在取证分析过程中识别到的所有恶意软件,并识别入侵指标。
具体创建步骤请参见:创建自定义策略。本章为您介绍常用的SecMaster自定义策略样例。 SecMaster自定义策略样例 示例1:授权用户搜索告警列表、权限执行分析 1 2 3 4 5 6 7 8 9 10 11 12 { "Version": "1.1", "Statement":
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
