检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
管理工作空间标签 操作场景 工作空间新增成功后,您可以对工作空间的标签进行添加、编辑和删除操作。标签以键值对的形式表示,用于标识工作空间,便于对工作空间进行分类。此处的标签仅用于工作空间的管理。 如您的组织已经设定安全云脑服务的相关标签策略,则需按照标签策略规则为工作空间添加标签
选择需要检测的遵从包。 单击“确定”。 检查计划创建完成后,安全云脑会在指定的时间执行云服务基线扫描,扫描结果可以在“风险预防 > 基线检查”中查看。 相关操作 基线检查计划创建后,您可以查看检查计划、对检查计划进行编辑、删除、关闭、开启操作。 查看已有检查计划 在左侧导航栏选择“风险预防
行拆分,日志会被拆分为user、WAF日志用户张三,您可以通过user或WAF日志用户张先生查找该日志。 开启“包含中文”开关后,日志服务后台分词器将日志拆分为user、WAF、日志、用户和张三,您通过日志或张先生等词都可以查找到该日志。 单击“确定”。 父主题: 安全分析
、平台安全数据、安全建模分析的需求,可以额外单独购买安全分析配额。 计费因子:安全分析数据量。 包周期、按需计费 包周期:安全分析数据量/天 * 购买时长 按需:按实际使用安全分析数据量大小计费 安全编排 如有自动化处置及事件调查的需求,可以额外单独购买安全编排功能。 计费因子:
认订阅”。 安全遵从包详细介绍请参见安全遵从包规格说明。 在弹出的订阅成功确认框中单击“返回”,可以返回订阅列表页面,查看已订阅的安全遵从包的详细信息。 如果需要立即进行自评估,可以在弹出的订阅成功确认框中单击“自评估”,进行评估。详细操作请参见用户自评估。 取消订阅安全遵从包 登录管理控制台。
安全云脑的数据采集功能,提供了将第三方(非华为云)日志数据接入安全云脑的能力。它使用Logstash通过多种方式采集各类日志数据,采集后,可以快速实现历史数据分析比对、数据关联分析、以及未知威胁发现等相关分析。 图1 数据采集 数据采集原理 数据采集的基本原理是安全云脑提供组件控
G以上的磁盘空间。 远程登录待安装组件控制器的ECS。 您可以登录弹性云服务器控制台,在“弹性云服务器”列表中,单击“远程登录”登录主机,详细操作请参见在云服务器控制台上登录主机。 如果您的主机已经绑定了弹性IP,您也可以使用远程管理工具(例如:PuTTY、Xshell等)登录主
IP,EIP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。为资源配置弹性公网IP后,可以直接访问Internet,如果资源只配置了私网IP,就无法直接访问Internet。弹性公网IP可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。
如果需要关闭多条事件,可以在事件列表中勾选需要关闭的事件,并单击列表上方“批量关闭”。 在关闭确认框中,选择“关闭原因”并填写“关闭评论”后,单击“确认”。 删除事件 在事件管理页面,单击目标事件所在行“操作”列的“删除”,弹出删除事件确认框。 如果需要删除多条事件,可以在事件列表中勾选
越大,内存回收次数越少,采集效率越高。Xmn必须小于等于Xmx -Xmx string 2048M 采集器堆空间的最大值,合理设置这个参数可以避免JVM过度消耗系统资源,从而提高应用程序的稳定性和性能。此值设置过低会导致采集器频繁进行内存回收,影响正常采集能力 -Djruby.jit
所查询的表必须是已经存在的表,否则会出错。 WHERE关键字指定查询的过滤条件,过滤条件中支持算术运算符,关系运算符,逻辑运算符。 GROUP BY指定分组的字段,可以单字段分组,也可以多字段分组。 示例 找出数量超过3的订单。 1 SELECT * FROM Orders WHERE units > 3; 查询一组常量数据。
色和策略,并吊销凭据等操作进行主机加固。 对受感染机器可以进行风险排查,排查是否有漏洞、过时的软件、未修补的漏洞等,这些都可能会造成后续机器的持续沦陷,可以通过“漏洞管理”排查和修复处理对应机器漏洞;排查是否有风险配置,可以通过“基线检查”排查机器配置,针对有风险配置进行及时处理修复。
能,第二天00:00才可以继续使用。 例如,设置了1 GB/天,则每台服务器都将有安全数据采集 1 GB/天、安全数据保留 1 GB/天、安全数据导出 1 GB/天、平台安全数据 1 GB/天、安全建模分析 1 GB/天。 安全编排 功能说明: 安全编排可以在检测到安全威胁时,启
如何查看安全数据采集和安全数据资源包的剩余量? 已包周期购买安全云脑的安全数据采集和安全数据保留资源包,可以通过以下方法查看剩余量: 在安全云脑总览页面右上角,将鼠标悬停在“标准版”或“专业版”上,页面显示版本管理窗口。 在版本管理窗口中,单击安全数据采集或安全数据保留栏中的“查看”。
无需对源数据进行处理直接传输。 模板 需要对数据源进行清理、字段加工处理等操作的时候,可以根据用户需要的使用场景进行模板选择,创建对应的解析器。 自定义 需要对数据源进行清理、字段加工处理等操作的时候,模板中不包含用户需要的使用场景的时候,可以自定义用户的解析器,配置对应的处理规则。 本章节主要介绍创建以
新增应急策略 操作场景 应急策略作为告警一键阻断的止血手段,可根据告警来源选择相应的类型对攻击者进行阻断。表1中为推荐设置,除此之外,您也可以结合对多条告警的综合调查结果,对单个攻击源采用多种类型进行阻断。 表1 推荐阻断策略 告警类型 对应防线 推荐阻断策略 HSS告警 主机防线
如果需要关闭多条告警,可以在告警列表中勾选需要关闭的告警,并单击列表上方“批量关闭”。 在关闭确认框中,选择“关闭原因”并填写“关闭评论”后,单击“确认”。 删除告警 单击目标告警所在行“操作”列的“更多 > 删除”,弹出删除告警确认框。 如果需要删除多条告警,可以在告警列表中勾选需要删除的告警,并单击列表上方“更多
本章节将介绍如何配置日志解析器,以便将日志数据进行格式转换,实现无码化,将源日志转换成用户需要的数据类型。 安全云脑提供模板日志解析器(规则),可以直接使用模板进行配置。当模板日志解析器(规则)无法满足日志转换的情况下,可自定义新增日志解析器(规则)。 方式一:使用模板进行创建 方式二:自定义新增解析器
角色和策略,并吊销凭据等操作进行主机加固。 对受感染机器可以进行风险排查,排查是否有漏洞、过时的软件、未修补的漏洞等,这些都可能会造成后续机器的持续沦陷,可通过“漏洞管理”排查和修复处理对应机器漏洞;排查是否有风险配置,可以通过“基线检查”排查机器配置,针对有风险配置进行及时处理修复。
在左侧导航栏选择“设置 > 组件管理”,默认进入节点管理页面。 图2 进入节点管理页面 在节点管理页面中,查看节点的详细信息。 当节点较多时,可以通过搜索功能快速查询指定节点。 表1 节点参数说明 参数名称 参数说明 节点名称/ID 节点的名称/ID。 健康状态 节点的健康状态。 区域
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
