检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
当“类型”选择“邮件”时,可以自定义配置邮件的显示名称。 家族 当“类型”选择“域名”时,可以自定义配置域名所属家族。 邮箱账户 当“类型”选择“IPv6”、“IPv4”、“邮件”或“域名”时,可以自定义配置邮箱账户信息。 地区 当“类型”选择“IPv6”或“IPv4”时,可以自定义配置IP地址所属地区。
户的解析器,配置对应的处理规则。 本章节主要介绍创建以及编辑解析器,以便将日志数据进行格式转换,实现无码化,将源日志转换成用户需要的数据类型。安全云脑支持两种方式配置日志解析器: 使用模板进行创建:安全云脑提供模板日志解析器(规则),用户可以直接使用模板进行解析器配置; 自定义新
未修补的漏洞等,这些都可能会造成后续机器的持续沦陷,可通过“漏洞管理”排查和修复处理对应机器漏洞;排查是否有风险配置,可以通过“基线检查”排查机器配置,针对有风险配置进行及时处理修复。 评估影响范围,如果已经有其他机器沦陷,需要同步处理所有影响主机。 从事故中恢复。 确定从备份执行的所有还原操作的还原点。
网络-源ip对多个目标进行攻击 sec-nip-attack 推荐开启 开箱即用已开启 -- IPS告警去重 sec-nip-attack 按需开启 -- -- 网络-命令注入告警 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-恶意外联 sec-nip-attack
致命:即致命风险,表示您的资产中检测到了不合规配置,建议您立即查看合规异常事件的详情并及时进行处理。 高危:即高危风险,表示资产中检测到了可疑的异常配置,建议您立即查看合规检查事件的详情并及时进行处理。 其他:即其他类型(中危、低危、提示)风险,表示服务器中检测到了有风险的异常配置,建议您及时查看该合规检查项目的详情。
更多说明请参见安全云脑与其他安全服务之间的关系与区别。 与弹性云服务器的关系 安全云脑为弹性云服务器(Elastic Cloud Server,ECS)提供资产安全管理服务,结合HSS主机防护状态,全方位呈现当前ECS安全风险态势,并提供相应防护建议。 与云审计服务的关系 云审计服务(Cloud
主机威胁攻击次数 次数 近7天 每小时 近7天ECS被攻击次数。 较上周 近7天ECS被攻击次数,与近7-14天ECS被攻击次数的差值。 攻击来源分布情况 呈现TOP5的网络攻击和应用攻击来源的分布情况,包括被攻击的资产IP、所属部门以及个数。 表2 攻击来源分布情况 参数名称
新增数据连接来源。 在“连接管理”页面中,单击“新增”,默认进入选择数据连接来源页面。 配置数据连接来源参数。 连接方式:选择“来源”。 连接类型:选择数据源的类型。 其他参数配置:根据选择的连接类型进行参数配置,详细参数说明请参见源连接器。 设置完成后,单击页面右下角“确认”。 新增数据连接目的。
remote_ip 某IP攻击查询 sec-waf-attack sip='x.x.x.x' and not attack='custom_whiteblackip' and not attack='custom_custom' | select attack,sip,http_host
会与它们相关的 shipment 进行 join。 1 2 3 4 SELECT * FROM Orders o, Shipments s WHERE o.id = s.orderId AND o.ordertime BETWEEN s.shiptime - INTERVAL
立即执行基线检查 操作场景 为了解最新的云服务基线配置状态,您需要执行扫描任务,扫描结束后才能获取云服务基线的风险配置。基线检查功能支持定期自动检查和立即检查: 定期自动检查:根据安全云脑提供的默认基线检查计划或您自定义的基线检查计划,定时自动执行基线检查。 立即检查:支持立即检
计费构成分析 服务版本+配额数: 此处进行了版本升级,新配置价格高于老配置价格,此时您需要支付新老配置的差价。旧配置-标准版价格为15 元/配额/月,新配置-专业版价格为150 元/配额/月。计算公式如下: 升配费用=新配置价格*剩余周期-旧配置价格*剩余周期 公式中的剩余周期为每个自然月的
则无需执行此步骤。 在新增投递配置页面中,配置数据投递相关参数。 配置基本信息。 表1 基本信息 参数名称 参数说明 投递名称 自定义投递名称。 投递资源消耗 默认生成,无需配置。 配置数据源。 数据源配置中,显示当前管道数据的详细信息,无需配置。 表2 数据源参数说明 参数名称
”。 图4 创建主题 在弹出的创建主题页面中,配置主题信息后,单击“确定”。 主题名称:设置为“SecMaster-Notification”。 显示名:建议设置为“安全云脑通知主题”。 其他参数保持缺省值即可。 “主题名称”必须配置为“SecMaster-Notification”,否则会导致剧本执行不生效。
告警管理”中,受告警影响的资产去重后的数量。 未防护资产数 实时 每小时 未开启安全防护的资产数量,例如,没有开启企业主机安全的ECS,没有开启DDoS的弹性公网IP等。此处展示了“资产管理”的“防护状态”为“未防护”的资产数量。 资产管理中,资产防护状态说明如下: 已防护:表示已购买对应安全防护产品,且已开启防护。
参数名称 统计周期 更新频率 说明 安全评分 实时 每天2:00自动更新 随手动单击“重新检测”更新而更新 根据是否开启各安全服务防护、未处理的配置问题等级及个数、未处理的漏洞等级及个数、未处理的威胁事件等级及个数等计算而来, 详细评分信息请参见安全评分。 威胁告警 近7天 每5分钟 当前工作空间内,“威胁管理
xhtml src_ip 否 String 源IP地址 src_port 否 Integer 源端口,0–65535 src_domain 否 String 源域名 src_geo 否 src_geo object 源IP的地理位置信息 dest_ip 否 String 目的IP地址 dest_port
准备新资源并将其配置到应用程序的基础架构中,同时隔离受损资源并将其从应用程序的基础架构中移除。 销毁受损资源,或继续将其隔离以备取证。 恢复删除的资源: 通过排查确定资源所属的应用程序。如果资源标签未在CTS服务条目中列出,且华为云配置支持该资源,则检查华为云的配置。 如果删除的资
xhtml src_ip 否 String 源IP地址 src_port 否 Integer 源端口,0–65535 src_domain 否 String 源域名 src_geo 否 src_geo object 源IP的地理位置信息 dest_ip 否 String 目的IP地址 dest_port
于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后,CTS可记录SecMaster的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 日志 查询 出于分析或审计等目的,用户开启了云审计服务后,系
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
