检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为什么没有看到攻击数据或者看到的攻击数据很少? 安全云脑支持检测云上资产遭受的各类攻击,并进行客观的呈现。 但是,如果您的云上资产在互联网上的暴露面非常少(所谓“暴露面”是指资产可被攻击或利用的风险点,例如,端口暴露和弱口令都可能成为风险点),那么遭受到攻击的可能性也将大大降低,所以,
如何查看所有日志已占用的存储空间大小? 安全云脑支持在“安全报告”中查看所有日志占用的存储空间大小。在安全报告中可以查看日志分析的以下信息: 安全报告的日报中的“日志分析”参数可展示前一天的日志存储总量; 安全报告的周报中的“日志分析”参数展示上周一整周日志分析的情况,包含日志存储总量;
安全云脑中的日志存储时间是多久? 安全云脑支持接入WAF、HSS、OBS等云产品的日志数据,接入后可以对数据进行查询分析、智能建模等。 对于已接入安全云脑的日志数据的具体存储时长如下所示: 表1 支持接入的日志 云服务 日志描述 日志 日志生命周期范围 Web应用防火墙(Web Application
Security Analysis Platform,ISAP)是安全运营分析建模的数据中台系统。 支持云服务安全日志数据采集、数据检索、智能建模等功能,提供专业级的安全分析能力,实现对云负载、各类应用及数据的安全保护。 安全编排与响应(Security Operations Cent
r,呈现全网Web风险态势。 保障Web应用程序的可用性、安全性。 WAF功能特性 数据库安全服务(DBSS) 数据安全 DBSS着力于数据库访问行为的防护和审计,相关审计日志、告警数据等同步给SecMaster。 保障云上数据库安全和资产安全。 DBSS产品介绍 父主题: 产品咨询
如何查看安全数据采集和安全数据资源包的剩余量? 已包周期购买安全云脑的安全数据采集和安全数据保留资源包,可以通过以下方法查看剩余量: 在安全云脑总览页面右上角,将鼠标悬停在“标准版”或“专业版”上,页面显示版本管理窗口。 在版本管理窗口中,单击安全数据采集或安全数据保留栏中的“查看”。 图1 安全数据采集示例
为什么Global级项目有region级的选择框显示? 安全云脑属于Global级项目,但是,在控制台上还是有Region级的选择框提示: 图1 region选择框 具体原因如下: 方便切换区域 如果您进入的region未部署安全云脑,可以在此处切换至已部署区域。 统一管理数据
空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。 图3 进入目标工作空间管理页面 在左侧导航栏选择“威胁管理 > 情报管理”,进入情报管理页面。 图4 情报管理页面 在情报管理页面中,单击目标情报所在行“操作”列的“编辑”,右侧弹出编辑情报页面。 在弹出的编辑情报指标页面中,编辑指标参数。
在流程版本管理页面中,单击“版本信息”栏中v1版本所在行的“操作”列的“复制”。 图8 复制流程版本 在弹出的确认框中,单击“确定”。 编辑并提交流程版本 在流程版本管理页面中,单击“版本信息”栏中草稿版本所在行的“操作”列的“编辑”。 图9 编辑流程 在流程图绘制页面中,单击所有节点
建议在隔离的取证环境中查看被锁定或加密的对象,例如,从受感染的ECS实例中删除网络访问权限。 删除在取证分析过程中识别到的所有恶意软件,并识别入侵指标。 如果已确定勒索软件毒种,请检查是否有可用的第三方解密工具或其他可能有助于解密数据的在线资源。 从事故中恢复。 确定从备份执行的所有还原操作的还原点。
露后通知监管机构、执法人员和客户。 SOC中的关键角色 根据企业/组织的规模,典型的SOC包括以下角色: 事件响应总监 此角色通常只出现在非常大型的企业/组织中,负责协调安全事件期间的检测、分析、遏制和恢复。他们还管理与相应利益干系人的沟通。 SOC管理者 SOC监督员是管理者,
操作场景 基线检查中针对检查方式为“手动”的检查项,需要您在线下执行检查后,再在控制台上反馈检查结果,以便计算检查项合格率。其中如下遵从包含有手动检查项: “等保2.0三级要求”的所有检查项。 “GDPR”的所有检查项。 “安全上云合规检查1.0”中的部分检查方式为“手动”的检查项。 “
图3 新增节点 在网络通道配置栏中,选择(可选)步骤一:购买ECS中记录的ECS所属的虚拟私有云和子网。 在网络通道列表中,单击所有通道操作列的“配置”,并在弹出的确认框中,单击“确定”。 当所有通道的状态为已接受时,则表示网络通道配置完成。 图4 网络通道配置完成 VPC终端节点
数据类:安全编排与响应中的剧本和流程的运行都需要绑定数据类,由数据对象(数据类的实例)触发剧本。常见的数据类包括告警、事件、威胁情报、漏洞等。查看数据类请参考查看数据类。 告警:告警是运维中的一种异常信号的通知,通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如,当服
新建或编辑模型 操作场景 安全云脑支持利用模型对管道中的日志数据进行监控,如果检测到有满足模型中设置触发条件的内容时,将产生告警提示。 每个Region的首个工作空间可自动启用当前Region中推荐使用的预置模型。后续新增的用于自定义运营的工作空间,不会自动加载启用,需要用户自定义新建。
含义:资产连接是安全编排流程中,每个插件节点需要使用到的连接域名和鉴权参数。 作用:用于在安全编排的流程执行过程中,每个插件节点运行时,传入需要连接的域名信息,以及在访问该域名时,需要使用到的用户鉴权信息,如用户名/密码、账号AK/SK等。 资产连接与插件的关系:每个插件在运行过程中,需要通过域
剧本说明 安全云脑提供的高危告警自动化安全封堵剧本,可以将微步研判为中高风险的高危告警里的源IP自动封堵在高危告警所在的源服务中如WAF、CFW、VPC安全组。 “高危告警自动化安全封堵”剧本已匹配“高危告警自动化安全封堵”流程,配置该剧本,需要对流程及流程中的插件进行适配。 图1
根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 将SecMaster资源委托给更专业、高效的其他账号或者云服务,这些账号或者云服务可以根据权限进行代运维。 如果账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用服务的其它功能。
自动关联数据库资产。 安全云脑的资产管理功能会自动完成云数据库(Relational Database Service,RDS)资产的梳理。针对数据库资产,支持通过数据库安全服务(Database Security Service,DBSS)服务来保障云上数据库的安全。 护网/重
单次查询结果大于50000条时,准确率可能会下降。请通过缩短查询的时间范围、添加查询限制条件等方法减少查询结果的数量。 使用聚合查询(例如group by语句)聚合多个字段时,第二个字段默认分桶数量为10,如果超出会有数据丢失的情况,将导致查询结果不准确。 查询与分析结果保存为指标卡片
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
