检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
选择该策略的操作连接。 阻断老化 确认是否老化该条阻断。 如果选择是,请设置策略老化时间,如设置为180天,即该策略在设置后的180天内有效,180天后将不再继续阻断设置的IP地址或IP地址段或IAM用户。 如果选择否,则该策略将一直有效,阻断设置的IP地址或IP地址段或IAM用户。 策略描述 自定义该策略的描述信息。
事件的目的是为了记录、分析、报告或审计,通常用于记录和报告系统的历史行为,以便于分析和审计。 告警 告警是运维中的一种异常信号的通知,通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如,当服务器的CPU使用率超过90%时,系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。
产安全风险修复后,也可以直接单击“重新检测”,重新检测资产并进行评分。 资产安全风险修复后,为降低安全评分的风险等级,需手动忽略或处理告警事件,刷新告警列表中告警事件状态。 安全评分显示为历史扫描结果,非实时数据,如需获取最新数据及评分,可单击“重新检测”,获取最近的数据。 安全监控
GB/天/配额。 安全分析、安全编排: 安全分析:根据设置的数据量计费。如果当日使用量大于当日购买时设置的数据量,则当日无法再继续使用安全分析功能,第二天00:00才可以继续使用。 安全编排:按设置的安全编排剧本执行次数计费。如果当日使用次数大于购买时设置的次数,则当日无法再继续使用安全编排功能,第二天00:00才可以继续使用。
这里以升级服务版本且无任何优惠的场景为例,假设您在2024/06/08购买了配额数为1的包周期标准版安全云脑(版本:标准版,主机配额:1),购买时长为1个月,计划在2024/06/18变更版本为专业版。旧配置价格为15 元/月,新配置价格为150 元/月。计算公式如下: 升配费
如何处理暴力破解告警事件? 暴力破解是一种常见的入侵攻击行为,攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码,一旦破解成功,即可实施攻击和控制,严重危害资产的安全。 安全云脑联动主机安全服务(HSS),接收HSS检测到的暴力破解行为,集中呈现和管理告警事件,提升运维效率。 处理告警事件
查看模型模板 操作场景 安全云脑支持利用模型对管道中的日志数据进行扫描,如果检测到有满足模型中设置触发条件的内容时,系统将产生告警提示。模型是基于模板而创建的,因此,需利用已有模型模板创建模型。 安全云脑根据常用场景内置了多种模型模板(包括场景说明、模型原理、处置建议、使用约束等信息),请在参考本章节进行查看。
在安全云脑实例所在行,单击“续费”,跳转至“续费”页面。 在续费页面选择“续费时长”,如选择“一年”。 (可选)设置并勾选“统一到期时间”。默认将统一到期时间设置为每月1号23:59:59 GMT+08:00。 单击“去支付”,完成支付操作。 在费用中心续费 登录管理控制台。 在控制台页面上方,选择“费用与成本
购买 模块 约束与限制 配额数 当前账户下所有ECS主机资产总数设置配额数,可设置最大主机配额需等于或大于当前账户下主机总数量,且不支持减少。 配额数最大限制为10000台。 增值包 基础版不支持购买增值包,如需使用增值包功能,请升级为标准版或专业版。 增值包不支持单独使用。 如果
选择“版本升级”,还可以同时勾选增加配额。 可选版本 此处选择“专业版”,升级为专业版功能。 配额数 请根据当前账户下所有ECS主机资产总数设置配额数,可设置最大主机配额需等于或大于当前账户下主机总数量,且不支持减少。 说明: 配额数最大限制为10000台。 为避免主机资产在防护份额外,不能及时感知攻击威胁,
当运行查询间隔为分钟时,可设置为5-59分钟;当运行查询为小时时,可设置为1-23小时;当运行查询为天时,可设置为1-14天。 时间窗口:xx分钟/小时/天。 当时间窗口为分钟时,可设置为5-59分钟;当时间窗口为小时时,可设置为1-23小时;当时间窗口为天时,可设置为1-14天。
在弹出的创建主题页面中,配置主题信息后,单击“确定”。 主题名称:设置为“SecMaster-Notification”。 显示名:建议设置为“安全云脑通知主题”。 其他参数保持缺省值即可。 “主题名称”必须配置为“SecMaster-Notification”,否则会导致剧本执行不生效。
全文搜索某字段值的日志。 IS NULL 查询某字段值为NULL的日志。 IS NOT NULL 查询某字段值为NOT NULL的日志。 示例 表2 普通查询示例 查询需求 查询语句 查询所有日志 * 查询GET请求成功(状态码为200~299)的日志。 request_method
理页面。 图1 进入目标工作空间管理页面 在左侧导航栏选择“设置 > 采集管理”,进入采集管理页面后,选择“采集通道管理”页签,进入采集通道管理页面。 图2 进入采集通道管理页面 在采集通道页面中,单击表格右上角的设置按钮,勾选“接收数量”和“发送数量”。 图3 配置表格参数 在
全文搜索某字段值的日志。 IS NULL 查询某字段值为NULL的日志。 IS NOT NULL 查询某字段值为NOT NULL的日志。 示例 表2 普通查询示例 查询需求 查询语句 查询所有日志 * 查询GET请求成功(状态码为200~299)的日志。 request_method
委托权限 权限 权限描述 授权主体 权限用途 ECS FullAccess 弹性云服务器所有权限 SecMaster_Agency 用于首次购买安全云脑场景,获取账号中的ECS主机资产信息。 用于资产管理场景同步ECS资产信息。 用于涉及到ECS相关的剧本流程执行,例如主机一键解封、主机一键隔离等。
操作。 从结果列表中,确定哪些API调用: 访问敏感数据,例如,OBS Object。 创建新的华为云资源,例如数据库、云服务器等。 创建资源的服务,包括ECS弹性伸缩组等。 创建或修改权限,同时,还应排查包括(但不限于)以下API方法:CreateUser、CreateRole
道列后,再单击管道名称,右侧将显示管道数据的检索页面。 图2 管道数据页面 在管道数据检索页面,选择查询分析时间,设置查询条件或直接输入查询语句进行溯源分析。 设置查询条件或直接输入查询语句操作参考查询语法。 查询之后通过原始日志看到详细日志数据,如图3所示。 图3 原始日志 同
配置剧本 操作场景 本章节介绍如何启用剧本,通过HSS恶意文件隔离查杀进行恶意软件和勒索软件告警处置。 前提条件 已在安全云脑工作空间的“设置 > 数据集成”页面中接入HSS告警数据,并开启自动转告警开关,详细操作请参见数据集成。 图1 接入HSS告警 配置并启用剧本 在安全云脑
什么是SecMaster 功能特性 产品优势 应用场景 03 入门 为可视化全局安全态势,您需配置“数据集成”获取安全数据,同时,还可以配置告警发送威胁通知。 数据集成 数据集成 告警设置 通知告警 告警监控设置 02 购买 针对不同安全威胁检测需求,您可以选择购买安全云脑专业版
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
