检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
购买MTD服务后,关闭所有日志数据源开关是否会计费? 购买MTD服务时您已支付所选套餐费用,之后若关闭日志数据源,不会额外计费。 在购买MTD服务后,只有当检测的日志数据源容量超过所购买的套餐容量后,才会额外计费。 父主题: 购买咨询
如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。 Tunnel 访问通过算法生成的域隧道通信。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。 默认严重级别:高危。 数据源:DNS日志。 此调查结果通知您,发现一台虚拟机访问通过算法生成的域隧道通信。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。
知。 威胁检测服务的能力将由安全云脑 SecMaster服务提供。为了避免影响您的业务,建议您尽快提交工单协助您将业务切换至安全云脑,以更好地为您提供业务支持。 各Region支持的检测类型 各Region支持的检测类型如表1所示。 表1 各Region支持的检测类型 名称 IAM检测
威胁情报”,进入“威胁情报”界面。 选择“白名单”页签,在待删除的白名单文件的“操作”列,单击“删除”,如图2所示。 图2 删除白名单 在弹出的“删除白名单”对话框中,单击“是”,完成删除白名单文件。 父主题: 白名单管理
动相关联的IP,可能从事非法活动。 默认严重等级:高危。 数据源:VPC流日志。 此调查结果通知您,检测到某些ECS可能正在访问与挖矿活动相关联的IP,可能从事非法活动。 修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件
文件名称 添加的情报文件名称,建议自定义。 BlackList 对象类型 选择需要从OBS桶添加至MTD服务的对象文件类型。 IP:服务将基于您情报内的IP地址进行威胁检测。 域名:服务将基于您情报内的域名进行威胁检测。 添加至MTD情报后,威胁检测服务将优先关联检测情报内的IP或域名
动相关联的IP,可能从事非法活动。 默认严重等级:高危。 数据源:VPC流日志。 此调查结果通知您,检测到某些ECS可能正在访问与挖矿活动相关联的IP,可能从事非法活动。 修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件
设置告警通知 MTD可以将检测出的异常行为(潜在的恶意活动、未经授权行为等)通过短信或邮件的方式发送给用户。 设置告警通知需要联动态势感知服务(SA)对接消息通知服务(SMN)来实现,具体操作方法见本章节进行处理。 前提条件 已购买MTD并创建威胁检测引擎,具体操作请参见购买和创建威胁检测引擎。
单击“存储至OBS桶”后的开启转存,如图2所示,将检测结果按照指定的频率存储至OBS桶,相关参数说明如表1所示。 图2 存储至OBS桶 表1 存储检测结果 参数名称 参数说明 取值样例 结果更新频率 威胁检测服务是实时检测的方式,你可自定义将检测结果数据存储到OBS桶的频率。 每30分钟更新一次
威胁检测服务可以跨区域使用吗? 不可以。 威胁检测服务是Region级服务,您只能在购买时选择的Region下使用。 父主题: 区域与可用区
威胁检测服务目前暂不支持自动防御措施功能。目前只支持对云服务(包含IAM服务、CTS服务、OBS服务、VPC服务、DNS服务)日志数据中的访问行为进行检测,去发现是否存在潜在威胁,对可能存在威胁的访问行为生成告警信息,输出告警结果。 父主题: 功能类
在页签“日志数据源”,可查看开启/未开启日志数据源的检测服务,如图2所示,单击对应服务的开关可关闭/开启对应服务的日志数据源检测,相关参数说明如表1所示。 图2 日志数据源 表1 日志检测 参数 说明 开关状态 是否开启该服务的日志检测。 :开启状态 :关闭状态 累计流量 从开启服务日志检测到当前,累计的日志检测总量。
服务、VPC服务)日志数据中的访问行为,去发现是否存在潜在威胁,对可能存在威胁的访问行为生成告警信息,输出告警结果。您可通过告警描述对告警信息进行核查、处理,在未造成信息泄露等重大损失之前,及时对潜在威胁进行处理,对服务安全进行升级加固,从而保护您的账户安全、保障服务稳定运行。 各Region支持的检测类型
务(OBS)、虚拟私有云(VPC)的日志数据进行持续不断的检测,威胁检测服务在第一时间发现潜在威胁告警,您可在第一时间进行核查、处理,缩短潜在威胁的风险周期,大程度降低风险损失。 威胁告警按严重等级划分 威胁检测服务对检测到的告警结果通过告警的严重性等级(致命、高危、中危、低危、
选择“白名单”页签,查看白名单的详细信息,如表1所示。 表1 白名单 参数 说明 文件名称 白名单文件的名称。 类型 白名单文件的类型,包括“IP”和“域名”。 格式 白名单文件的格式,目前仅支持Plaintext格式的文件,详情请参见如何编辑Plaintext格式的对象?。 上传时间 白名单文件的上传时间。
述,按照告警等级由高到低的优先级进行处理。 受影响资源 受到威胁攻击的资源个数。 发生次数 该告警产生的次数,可单击切换排序。 首次发生 该告警首次发生的具体时间,可单击切换排序。 最近发生 该告警最近一次发生的具体时间,可单击切换排序。 单击“标题”列的值可查看“结果详情”,如
威胁情报”,进入“威胁情报”界面。 查看威胁情报的详细信息,如表1所示。 表1 威胁情报 参数 说明 文件名称 威胁情报文件的名称。 类型 威胁情报文件的类型,包括“IP”和“域名”。 格式 威胁情报文件的格式,目前仅支持Plaintext格式的文件,详情请参见如何编辑Plaintext格式的对象?。 上传时间
略。 2. 需要您给用户的用户组授权。 授予用户的用户组策略权限,操作详情请参见给用户的用户组授权。 约束条件 目前仅“华南-广州”、“华东-上海一”、“华北-北京四”区域支持购买威胁检测服务。 在使用威胁检测服务购买威胁检测引擎时,您只能选择被检测数据的服务所在区域。 操作步骤
如果此IP为您正常使用IP,请添加到MTD的白名单中。 BlackList 发现与历史情报相似的黑名单IP访问。 默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 CnC
略。 2. 需要您给用户的用户组授权。 授予用户的用户组策略权限,操作详情请参见给用户的用户组授权。 约束条件 目前仅“华南-广州”、“华东-上海一”、“华北-北京四”区域支持购买威胁检测服务。 在使用威胁检测服务购买威胁检测引擎时,您只能选择被检测数据的服务所在区域。 操作步骤
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
