检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
关系型数据库服务资源只读权限 SecMaster_Agency 用于资产连接相关剧本的执行 EIP ReadOnlyAccess EIP服务只读权限 SecMaster_Agency 用于资产连接类剧本的执行和在基线检查功能中获取EIP配置信息 Tenant Guest 全部云服务只读权限(除IAM权限) SecMaster_Agency
则无需执行此步骤。 在新增投递配置页面中,配置数据投递相关参数。 配置基本信息。 表1 基本信息 参数名称 参数说明 投递名称 自定义投递名称。 投递资源消耗 默认生成,无需配置。 配置数据源。 数据源配置中,显示当前管道数据的详细信息,无需配置。 表2 数据源参数说明 参数名称
警模型页面。 在新增告警模型页面中,配置告警模型基础信息。 管道名称:选择告警模型的执行管道。 表1 选择执行管道 告警模板 需要选择的执行管道 运维-挂载网卡 sec-cts-audit 运维-创建peering对等连接 运维-资源绑定EIP 其他参数建议保持默认值即可。 设置
ne,在Logstash可以配置多个pipeline,每个pipeline包括input、filter、output部分,每个pipeline为单独的作业,互不影响。在安全云脑租户采集上,可将相同的pipeline部署在多个节点上,并且配置相同的pipeline视为一个采集通道。
表1 参数配置说明 参数名称 参数含义 取值范围 severity 告警严重程度 y/n createTime 告警创建时间 y/n srcIp 告警攻击源IP y/n sourceCountryCity 告警攻击源国家和城市 y/n destinationIp 告警攻击目标IP
应急策略页面。 在新增策略页面中,配置策略信息。 表2 新增应急策略 参数名称 参数说明 阻断对象类型 选择阻断对象的类型,可选择IP或IAM。 阻断对象 当阻断对象类型选择IP时,输入需要阻断的单个(或多个)IP地址或IP地址段,如有多个IP地址或地址段,请使用英文逗号隔开。
配置连接器 配置源和目的连接器,根据需要选择连接器并完成参数配置。 4 (可选)配置解析器 根据需要在页面上进行无码化解析器配置。 5 配置采集通道 配置连接通道,并与节点进行关联,下发Logstash的pipeline配置,完成整个数据采集的配置。 6 采集结果验证 配置完成采集通道之后,验证数据是否采集。
一键阻断”,右侧弹出一键阻断配置页面。 同时,还可以在某条告警详情页面,单击页面右上角的“一键阻断”。 在一键阻断配置页面中,配置阻断策略信息。 表2 一键阻断 参数名称 参数说明 阻断对象 当阻断对象类型选择IP时,输入需要阻断的单个(或多个)IP地址或IP地址段,如有多个IP地址或地址段,请使用英文逗号隔开。
执行基线检查:可以了解最新的云服务基线配置状态,获取云服务基线的风险配置。 (可选)配置防线策略和应急策略:通过配置防线策略,实现全流程安全防护;通过配置应急策略进行风险控制。 步骤五:创建报告 设置报告信息,实现安全运营报告自动发送。 步骤六:安全运营 配置完成后,便可以针对集成的数据执行资产管理、检测威胁、调查告警等操作。
直接删除相关的配置即可。 表2 参数配置说明 参数 类型 说明 pipeline.batch.size int 配置每个worker线程每次收集event的数量,配置越大越有效率,但同理,内存开销也会增大,可以在jvm.options中配置增加堆空间。 pipeline.workers
successfully”信息时,则表示组件控制器安装成功。 图5 安装成功 安装过程中,如果安装失败请参考组件控制器安装失败问题排查进行排查处理;如果提示内存不足,请参见磁盘分区进行处理。 确认已安装后,返回安全云脑新增节点页面,单击页面右下角“确认”。 安装完成后,可以在节点页面查看已新增的节点。
增50个IP作为阻断对象。 当需要下发策略至WAF时,单用户单次最多可新增50个IP作为阻断对象。 当需要下发策略至VPC时,单用户单次1分钟内最多可新增20个IP作为阻断对象。 当需要下发策略至IAM时,单用户单次最多可新增50个IAM用户作为阻断对象。 将IP或IP地址段或I
防御,相关攻击日志、防护等数据同步给SecMaster。 保障企业业务稳定性。 Anti-DDoS功能特性 DDoS高防(AAD) 网络安全 AAD将公网流量引流至高防IP,聚焦于大流量的DDoS攻击的检测和防御,相关攻击日志、防护等数据同步给SecMaster。 保障企业重要业务连续性。
填写风险IP,选择WAF防线,阻断老化15天,进行危险IP封堵。 图12 一键阻断 典型告警处理指导 表3 典型告警处理指导 告警类型 安全防线 依赖数据源 云脑智能模型 护网推荐处理建议 侦察阶段典型告警 网络防线 NIP攻击日志 网络-高危端口对外暴露 排查源IP对系统中的
选择该指标的粒度,可选择以下粒度:首次发现、自产数据、需购买、外网直接查询。 其他参数 根据选择的不同类型,还需要配置对应的参数信息,请根据界面显示进行填写。 例如,当“类型”选择“ipv6”时,还需要配置IP地址、邮箱账户、地区等信息。 单击“确认”。 编辑情报指标 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
均响应时间(MTTR),提高整体的安全防护能力。 配置防线策略:通过配置防线策略,联动其他安全服务,以便构建一个多层次、全方位的安全防护体系。 新增应急策略:通过配置应急策略,可以迅速有效地应对网络安全威胁,限制或阻止来自特定IP地址的访问,从而保护网络资源和用户数据的安全。 创
安全云脑的基线检查功能支持检测云服务关键配置项,通过执行扫描任务,检查云服务基线配置风险状态,分类呈现云服务配置检测结果,告警提示存在安全隐患的配置,并提供相应配置加固建议和帮助指导。 针对华为云服务关键配置项,安全云脑内置了“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”、“华为云安全配置基线”
对应的logstash配置项 类型 默认值 是否必填 描述 解析字段 source string message 否 解析字段 列字段 columns array -- 否 列字段 切割符 separator string , 否 切割符 跳过空列 skip_empty_columns
可以: 根据企业的业务组织,在您的账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用SecMaster资源。 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 将SecMaster资源委托给更专业、高效的其他账号或者云服务,这些账号或者云服务可以根据权限进行代运维。
安全云脑支持将项目中的工作空间托管给其他用户,托管后,可实现Workspace委托集中安全运营查看统一资产风险、告警和事件等。 表1 空间托管流程 操作步骤 说明 步骤一:创建托管视图 创建托管视图管理托管任务。 步骤二:创建托管 安全云脑支持将项目中的工作空间托管给其他用户,托管后,可实现
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
