检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全云脑的数据来源是什么? 安全云脑基于云上威胁数据和华为云服务采集的威胁数据,通过大数据挖掘和机器学习,分析并呈现威胁态势,并提供防护建议。 一方面采集全网流量数据,以及安全防护设备日志等信息,通过大数据智能AI分析采集的信息,呈现资产的安全状况,并生成相应的威胁告警。 另一方面汇聚主机安全服务(Host
满足您的安全需求。 主机安全服务(Host Security Service,HSS)是以工作负载为中心的安全产品,集成了主机安全、容器安全和网页防篡改,旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之,SecMaster是呈现全局安全态势的服务,HSS是提升主机和容器安全性的服务。
nt定时上报机制,虽然存在一定的延迟(预计一分钟),但是在采集通道下发3分钟后,采集节点和采集通道的“健康状态”依然显示为“故障”,并且该服务器的CPU使用率或内存使用率即将达到100%。 图1 采集节点故障 图2 采集通道故障 可能原因 用户配置的连接器或解析器在语法或者语义上
oS)等安全防护服务中获取必要的安全事件记录,进行大数据挖掘和机器学习,智能AI分析并识别出攻击和入侵,帮助用户了解攻击和入侵过程,并提供相关的防护措施建议。更多说明请参见安全云脑与其他安全服务之间的关系与区别。 与弹性云服务器的关系 安全云脑为弹性云服务器(Elastic Cloud
排查过程中,常用命令请参见组件控制器常用命令有哪些?。 可能原因 组件控制器(isap-agent)安装失败的可能原因如下: 待安装组件控制器(isap-agent)的ECS服务器与存储Agent的OBS桶之间网络不通 ECS服务器的磁盘空间不足 调用iamtoken请求,获取iamtoken失败
为什么Global级项目有region级的选择框显示? 安全云脑属于Global级项目,但是,在控制台上还是有Region级的选择框提示: 图1 region选择框 具体原因如下: 方便切换区域 如果您进入的region未部署安全云脑,可以在此处切换至已部署区域。 统一管理数据
参数名称 参数说明 阻断对象 输入需要阻断的单个(或多个)IP地址或IP地址段,如有多个IP地址或地址段,请使用英文逗号隔开。 标签 自定义应急策略的标签。 操作连接 选择该策略的操作连接。 阻断老化 确认是否老化该条阻断。 原因描述 自定义该策略的描述信息。 单击“确定”。 父主题:
Eye,CES),可以通过管理控制台,查看SecMaster的相关运行指标,及时了解SecMaster运行状况。CES服务是华为云为用户提供一个针对各种云上资源的立体化监控平台,用户通过云监控服务可以全面了解云上的资源使用情况、业务的运行状况,并及时收到异常告警做出反应,保证业务顺畅运行。
相关人员可以更容易地识别出问题的根本原因,有助于更快地定位问题,并采取有效的解决措施。 便于历史回顾与趋势分析 事件记录了问题的发生、发展、解决的全过程,这为后续的问题预防、系统优化等提供了宝贵的历史数据。通过对事件进行趋势分析,可以发现系统中潜在的薄弱环节,提前采取措施进行改进。
确定存储在ECS实例、OBS桶或其他存储中的数据的分类级别。 请确保已为该事件创建工单。如果未创建,请手动创建一个。 如果为已有工单,请确定当前指示问题的告警或指标是什么。 如果工单是由告警或指标触发自动生成的工单,可明确其自动生成工单的什么的原因;如果工单非自动生成,则记录导致识别问题的告警或通知。确认
定异常的具体表现和可能的根本原因; 根据异常行为的性质和严重程度,采取适当的应对措施,例如重启进程、修复软件错误、排除系统故障、更换硬件设备等; 对受影响的系统进行全面的检查,确认是否存在其他的漏洞或后门,以保证系统的安全性。 系统行为异常/关键文件目录变更 根据告警对应的影响资
关闭情报 在情报管理页面,单击目标情报所在行“操作”列的“关闭”,弹出关闭情报确认框。 在弹出的关闭情报确认框中,选择“关闭原因”,并填写评论信息。 单击“确认”。 删除情报 在情报管理页面中,单击目标情报所在行“操作”列的“删除”,弹出删除确认框。 确认无误后,在弹出的确认框中,单击“确认”。
告警管理 威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因,对信息系统造成危害的事件,或对社会造成负面影响的威胁。对于安全云脑来讲,威胁告警泛指根据大数据分析检测出的,对用户资产产生威胁的安全事件。 事件 事件是一个广泛的概念,可以包括告警,但不限于此,它可以
退订增值包。 针对按需购买的增值包 单击“取消”,一键释放按需计费的资产配额。返回版本管理窗口,按需计费的资产配额资源已取消。 针对包周期购买的增值包 针对包周期购买的增值包,单击“退订”,进入云服务退订页面。 在需要退订的实例所在行,单击“操作”列中的“退订资源”,进入退订资源页面。
(可选)责任人 选择告警的主要责任人。 数据源产品名称 选择数据源产品的名称。 数据源类型 选择数据源所属类型,可选择以下类型:云服务、第三方产品、租户私有产品。 时间线 首次发生时间 该条告警首次发生时间。 (可选)最近发生时间 该条告警最近一次发生的具体时间。 (可选)计划关闭时间
进入应急策略管理页面 在应急策略管理页面中,单击待阻断策略所在行“操作”列的“批量阻断”。 在弹出的批量阻断对话框中,输入阻断原因,并单击“确定”。 批量取消阻断 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
其根本原因。他们会搜寻系统漏洞、违反安全策略的行为和网络攻击模式,这些有可能帮助防止将来发生类似的入侵。 SOC的类型 企业/组织有几种不同的方式来设置其SOC。一些企业/组织选择构建具有全职员工的专用SOC。这种类型的SOC可以是内部的,具有物理的本地位置,也可以是虚拟的,员工
(可选)最近发生时间 该事件最近一次发生的具体时间。 (可选)计划关闭时间 选择事件计划关闭时间。 其他 (可选)验证状态 选择事件的验证状态,标识事件的准确性。 (可选)阶段 选择您的事件阶段。 准备:准备资源处理事件。 检测与分析:检测与分析事件发生原因。 控制、清除、恢复:进行事件问题处理。
为什么总览页面中数据不一致或未展示数据? 为什么WAF、HSS中的数据和SecMaster中的数据不一致? 由于SecMaster中汇聚了WAF、HSS上报的所有历史告警数据,而WAF和HSS中展示的是实时告警数据,导致存在SecMaster与WAF、HSS中数据不一致的情况。 因此,建议您前往对应服务(WAF或HSS)进行查看并处理。
单击目标告警所在行“操作”列的“关闭”,弹出关闭告警确认框。 如果需要关闭多条告警,可以在告警列表中勾选需要关闭的告警,并单击列表上方“批量关闭”。 在关闭确认框中,选择“关闭原因”并填写“关闭评论”后,单击“确认”。 删除告警 单击目标告警所在行“操作”列的“更多 > 删除”,弹出删除告警确认框。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
