检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
流媒体服务器搭建(可选) 安装nginx+http-flv(rtmp服务器) 父主题: 操作步骤
在左侧数据空间导航栏中,单击数据空间名称,展开数据管道列后,单击目标管道名称后的“更多 > 监控”,进入管道监控页面。 图3 进入数据监控页面 在数据管道的监控页面,查看监控指标。 图4 数据监控 总览:显示当前管道中生产者、管道、订阅器、消费者之间生产速率等信息。 生产者:显示生产
主机-rootkit事件 立即确认该Rootkit安装是否正常业务引起。如果是非正常业务引起的,建议您立即登录系统终止该Rootkit安装行为,利用主机安全告警信息全面排查系统风险,避免系统遭受进一步破坏。 权限维持典型告警 主机防线 主机安全告警日志 主机-反弹shell、主机-恶意程序
监控安全风险 SecMaster已对接云监控服务(Cloud Eye,CES),可以通过管理控制台,查看SecMaster的相关运行指标,及时了解SecMaster运行状况。CES服务是华为云为用户提供一个针对各种云上资源的立体化监控平台,用户通过云监控服务可以全面了解云上的资源
查看实例监控 操作场景 当剧本/流程执行完成后,实例管理列表中会生成剧本/流程实例,即实例监控。实例监控列表每条记录是一个实例,可呈现实例的历史实例任务列表,以及历史实例任务的运行情况。 本章节主要介绍如何查看实例监控信息。 约束与限制 单账号单workspace内一天内的重试次数限制如下:
步骤五:安全监控与应急响应 值班监控 风险控制 父主题: 安全云脑护网/重保最佳实践
剧本运行监控 功能介绍 剧本运行监控 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/{playbook_id}/monitor 表1 路径参数 参数 是否必选 参数类型
安全评分显示为历史扫描结果,非实时数据,如需获取最新数据及评分,可单击“重新检测”,获取最近的数据。 安全监控 “安全监控”板块展示待处理威胁告警、待修复漏洞、合规检查问题的安全监控统计数据。 表2 安全监控参数说明 参数名称 参数说明 威胁告警 呈现最近7天内当前工作空间中未处理威胁告警,可快速
告警概述 告警是运维中的一种异常信号的通知,通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如,当服务器的CPU使用率超过90%时,系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性,能够明确指出异常发生的位置
中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。 护网/重保期间需要保证所有ECS主机均接入HSS,尤其是绑定了EIP、以及Web业务所在ECS,以提高主机安全风险防御能力。 查看方法如下: 登录安全云脑控制台,并进入目标工作空间管理页面。
安全云脑的日志采集功能支持将安全日志接入安全云脑,同时,也支持将安全云脑日志转出至第三方系统/产品。 表1 日志接入或转出场景说明 场景 操作指导 华为云日志接入安全云脑 参见接入云服务日志。 安全云脑日志转出至第三方系统/产品 参考本实践的操作步骤处理即可 第三方(非华为云)日志接入安全云脑 参考本实践的操作步骤处理即可
安全评分显示为历史扫描结果,非实时数据,如需获取最新数据及评分,可单击“重新检测”,获取最近的数据。 安全监控 “安全监控”板块展示待处理威胁告警、待修复漏洞、合规检查问题的安全监控统计数据。 表2 安全监控参数说明 参数名称 参数说明 威胁告警 呈现近7天内本账号所有工作空间内未处理威胁告警,可
便用户日后的查询、审计和回溯。 与云监控服务的关系 云监控(Cloud Eye)为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。用户可以通过事件及时了解安全云脑的状况,并及时收到异常报警做出反应,保证业务顺畅运行。具体请参见《云监控服务用户指南》。 与标签管理服务的关系
志采集器节点(ECS)纳管到安全云脑。 安装组件控制器 在步骤五:网络连通配置执行后的页面中,单击页面右下角“下一步”,进入“脚本安装验证”页面。 单击复制安装组件控制器的命令。 图1 复制安装命令 安装组件控制器。 远程登录(可选)步骤一:购买ECS准备的ECS。 您可以登录弹
安全运营中心团队要做什么? SOC团队监视服务器、设备、数据库、网络应用程序、网站和其他系统,以实时发现潜在威胁。他们还及时了解最新威胁并在攻击者利用系统或进程漏洞之前发现和解决这些漏洞,以执行主动安全工作。如果企业/组织已然遭受到攻击,SOC 团队负责根据需要去除威胁以及还原系统和备份。 安全运营中心的关键组件是什么?
操作连接 选择该策略的操作连接。 阻断老化 确认是否老化该条阻断。 原因描述 自定义该策略的描述信息。 单击“确定”。 父主题: 步骤五:安全监控与应急响应
待安装组件控制器(isap-agent)的ECS服务器与存储Agent的OBS桶之间网络不通 ECS服务器的磁盘空间不足 调用iamtoken请求,获取iamtoken失败 workspaceId校验失败 组件控制器(isap-agent)已经安装,系统仍将重复安装 原因排查及解决方法
计算 > 弹性云服务器 ECS”。 在弹性云服务器ECS列表页面中,单击已有或已购ECS名称,进入ECS详情页面。 查看已有或已购ECS的可用区、规格、镜像、系统盘、数据盘信息。 图1 查看ECS信息 确认ECS系统盘是否大于等于50GB。 是:跳过步骤一:购买ECS,执行(可选)步骤二:购买数据磁盘。
日志作为安全运营提供重要数据支撑,护网/重保期间推荐使用一键接入功能接入全部日志,并调整自动转告警功能,结合模型和安全服务攻击日志,通过“告警管理”统一进行跟踪监控。 日志采集策略调整 登录安全云脑控制台,并进入目标工作空间管理页面。 在左侧导航栏选择“设置 > 数据集成”,进入云服务日志接入页面。 图1
来自华为云服务(例如,华为云证书管理服务CCM、安全云脑SecMaster、云审计服务CTS等)、外部监控系统的告警或指标; 来自承包商或第三方服务提供商的提示信息; 通过内部或外部安全研究人员的排查信息; 内部系统信息; 匿名举报信息; 其他途径的信息。例如,攻击者通过被泄露的凭证,窃取您的数据,并修改您面向公众的资源。
以下两种方案,选择其中一种执行漏洞修复: 方案一:创建新的虚拟机执行漏洞修复 为需要修复漏洞的ECS主机创建镜像,详细操作请参见通过云服务器创建整机镜像。 使用该镜像创建新的ECS主机,详细操作请参见通过镜像创建云服务器。 在新启动的主机上执行漏洞修复并验证修复结果。 确认修复完成之后将业务切换到新主机。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
