检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
入门实践 当您完成了新增工作空间、采集数据、配置并启用了相关检查等基本操作后,可以根据业务需求使用安全云脑提供一系列实践。 表1 常用实践 实践 描述 安全看板 安全看板可以联动其他云安全服务,实时呈现云上资产整体安全评估状况,集中展示云上安全。 资产管理 安全云脑支持对云上资产
n栏中,单击“增加配额”。 在购买安全云脑页面,配置购买参数。 表1 增加配额参数说明 参数名称 说明 当前配置 显示已选择region安全云脑版本信息,无需配置。 升级方式 选择“增加配额”。 配额数 请根据当前账户下所有ECS主机资产总数设置配额数,可设置最大主机配额需等于或
HSS文件隔离查杀 事件响应 获取、保护、记录证据。 根据您华为云环境的配置,通过主机安全服务配置可通过AV检测和HIPS检测帮助您发现资产中的安全威胁,检测到恶意软件和勒索软件。 可通过SSH等方法访问云服务器,查看实例状态和监控等信息,查看是否有异常。或者通过其他方式收到攻击信息或勒索信息请求发现潜在威胁。
计费构成分析 服务版本+配额数: 此处进行了版本升级,新配置价格高于老配置价格,此时您需要支付新老配置的差价。旧配置-标准版价格为15 元/配额/月,新配置-专业版价格为150 元/配额/月。计算公式如下: 升配费用=新配置价格*剩余周期-旧配置价格*剩余周期 公式中的剩余周期为每个自然月的
进入数据消费页面 在数据消费页面中,单击当前状态后的,开启数据消费。 开启后,将显示消费配置信息,具体说明如表1所示。 图4 开启数据消费 表1 数据消费参数说明 参数名称 参数说明 当前状态 当前管道中数据消费配置状态。 管道名称 当前数据管道的名称。 订阅器 系统预置的订阅模式,决定数据如何传递给消费者。
则无需执行此步骤。 在新增投递配置页面中,配置数据投递相关参数。 配置基本信息。 表1 基本信息 参数名称 参数说明 投递名称 自定义投递名称。 投递资源消耗 默认生成,无需配置。 配置数据源。 数据源配置中,显示当前管道数据的详细信息,无需配置。 表2 数据源参数说明 参数名称
“自动更改告警名称”剧本已匹配“自动更改告警名称”流程,配置该剧本,需要对流程及流程中的插件进行适配。 “自动更改告警名称”流程共四个插件节点:获取告警类型id、获取告警详情、SecMasterBiz、告警名称更新。本流程只需配置SecMasterBiz插件节点,该节点用来定制告警名称的。
将资产的风险情况标识出来,例如:是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务(例如:ECS上应该安装HSS的Agent、域名应纳入到WAF的防护策略中)。 更多详细介绍及操作请参见资产管理。 检查并清理不安全的配置 在安全运营过程中,最常见的“脆
参数名称 统计周期 更新频率 说明 安全评分 实时 每天2:00自动更新 随手动单击“重新检测”更新而更新 根据是否开启各安全服务防护、未处理的配置问题等级及个数、未处理的漏洞等级及个数、未处理的威胁事件等级及个数等计算而来, 详细评分信息请参见安全评分。 威胁告警 近7天 每5分钟 当前工作空间内,“威胁运营
准备新资源并将其配置到应用程序的基础架构中,同时隔离受损资源并将其从应用程序的基础架构中移除。 销毁受损资源,或继续将其隔离以备取证。 恢复删除的资源: 通过排查确定资源所属的应用程序。如果资源标签未在CTS服务条目中列出,且华为云配置支持该资源,则检查华为云的配置。 如果删除的资
数据投递概述 操作场景 安全云脑支持将数据实时投递至其他管道或其他华为云产品中,便于您存储数据或联合其它系统消费数据。配置数据投递后,安全云脑将定时将采集到的数据投递至其他管道或对应的云产品。 根据投递目的地选择操作场景: 投递日志数据至其他数据管道:投递日志数据到其他数据管道。
其他操作连接,可以进行批量阻断操作。同时,配置阻断时将设置某个IP地址或IP地址段或IAM用户,如果该阻断已不适用,可以进行批量取消阻断操作。 本章节介绍如何执行批量阻断、批量取消阻断操作。 约束与限制 将IP或IP地址段或IAM用户配置为黑名单后,来自该IP或IP地址段的访问,
在“手动续费项”页签,选择安全云脑专业版实例,单击“开通自动续费”,跳转至自动续费配置页面。 选择配置“自动续费周期”和勾选“预设自动续费次数”。 单击“开通”,完成自动续费配置。 返回续费管理页面,在“自动续费项”页签,可查看安全云脑已开通自动续费。 后续将根据配置,自动续费延长使用期。 父主题: 计费FAQ
针对攻击源IP进行限制或者阻断,可以通过配置黑名单策略进行封锁。 侦察阶段典型告警 应用防线 WAF访问日志 应用-疑似存在源码泄露风险 应急处理可以记录所有的访问请求和响应,及时发现攻击行为,针对攻击源IP进行限制或者阻断,可以通过配置黑名单策略进行封锁。 尝试攻击典型告警 应用防线
复制脚本。 图4 复制安装脚本 安装组件控制器。 使用远程管理工具(例如:Xftp、SecureFX、WinSCP、PuTTY、Xshell等)登录失联ECS节点。 粘贴复制的6.b复制的安装命令,以root权限执行,在ECS中安装Agent。 图5 安装agent 根据界面提示
用于接收TCP协议日志,配置规则请参见表2。 用户数据协议 UDP udp 用于接收UDP协议日志,配置规则请参见表3。 对象存储 OBS obs 用于读取对象存储OBS桶的日志数据,配置规则请参见表4。 消息队列 KAFKA kafka 用于读取Kafka网络日志数据,配置规则请参见表5。
便于分析和审计。 告警 告警是运维中的一种异常信号的通知,通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如,当服务器的CPU使用率超过90%时,系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性,能够明确指出
在购买安全云脑页面,配置购买参数。 表3 标准版升级参数说明 参数名称 说明 当前配置 显示已选择region安全云脑版本信息,无需配置。 升级方式 选择“版本升级”,还可以同时勾选增加配额。 可选版本 此处选择“专业版”,升级为专业版功能。 配额数 请根据当前账户下所有ECS主机资产总数
年安全经验,基于云原生安全,提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力,可以鸟瞰整个云上安全,精简云安全配置、云防护策略的设置与维护,提前预防风险,同时,可以让威胁检测和响应更智能、更快速,帮助您实现一体化、自动化安全运营管理,满足您的安全需求。
资产来源及对应的防护产品 表1 资产来源及对应的防护产品 参数名称 来源 对应的安全防护产品 主机资产 弹性云服务器(Elastic Cloud Server,ECS) 主机安全服务(Host Security Service,HSS) 网站 Web应用防火墙(Web Application
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
