检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
步”,进入“运行节点选择”页面。 如果未配置解析器,可以选择“快速接入”,将原始日志直接接入采集通道列表中。 在“运行节点选择”页面中,单击“新增”,并在弹出的添加节点框中选择(可选)步骤一:购买ECS购买的ECS节点后,单击“确认”。 图3 选择运行节点 单击页面右下角“下一步”,进入“通道详情预览”页面。
数据,需要用户自定义接入。 建议将安全云脑管理的资产以及资产的告警、基线检查结果、漏洞数据、日志数据接入同一个工作空间,便于统一运营,进行安全分析关联。 本部分介绍如何接入所需要的且未自动接入的云服务日志数据。 在左侧导航栏选择“设置 > 数据集成”,进入云服务日志接入页面。 图5
查看待办任务 操作场景 待办列表呈现当前需要您进行处理的任务,本章节主要介绍如何查看待办任务列表。 查看待办任务 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间
管理模型 操作场景 本章节将介绍如何管理模型,如启用、停用、删除模型等操作。 约束与限制 仅支持对自定义创建的模型进行启用、停用、删除操作。 管理模型 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
确认是否老化该条阻断。 建议设置老化时间为护网/重保周期时间,护网/重保结束之后封堵失效。 原因描述 自定义该策略的描述信息。 表2 推荐阻断策略 告警类型 对应防线 推荐阻断策略 阻断效果 HSS告警 主机防线 建议优先采用VPC策略阻断 下发策略主机访问控制封堵攻击IP WAF告警
查询剧本实例审计日志 功能介绍 查询剧本实例审计日志 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/instances/auditlogs 表1 路径参数 参数
操作剧本实例 功能介绍 操作剧本实例 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/instances/{instance_id}/operation 表1 路径参数
使用取证方法确认数据在恢复之前是安全的,然后从备份中恢复数据,或者恢复到ECS实例的早期快照。 如果您已成功使用任何开源解密工具恢复数据,请从实例中删除该数据,并执行必要的分析以确认数据是安全的。然后,恢复实例,终止或隔离实例并创建新的实例,并将数据还原至新实例中。 如果从备份恢复或解密数据都不可行,请评估在新环境中重新开始的可能性。
输入目的PIPE的ID,查询方法请参见7。 写入身份 默认生成,无需配置。 在“访问授权”中,查看7中授予的权限。 投递请求需要获取访问您云资源的读写权限,授权后,投递任务才能拥有对您云资源相应的访问权限。 单击“确定”。 步骤二:数据投递授权 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规
行时,传入需要连接的域名信息,以及在访问该域名时,需要使用到的用户鉴权信息,如用户名/密码、账号AK/SK等。 资产连接与插件的关系:每个插件在运行过程中,需要通过域名调用的方式访问其他云服务或者三方服务,调用过程中需要鉴权,因此,在插件的登录凭证参数中会定义需要的域名参数(En
查看漏洞修复建议 登录漏洞影响的主机,手动修复漏洞。 漏洞修复有可能影响业务的稳定性,为了防止在修复漏洞过程影响当前业务,建议参考以下两种方案,选择其中一种执行漏洞修复: 方案一:创建新的虚拟机执行漏洞修复 为需要修复漏洞的ECS主机创建镜像,详细操作请参见通过云服务器创建整机镜像。
选择“华北-北京一”region,并在待接入云产品的“审计相关日志”列,单击,开启接入的云服务日志。 此处示例,接入WAF(攻击、访问日志)和HSS(告警、漏洞、安全日志)的所有类型日志。 在安全云脑的“漏洞管理”页面可以接入主机漏洞扫描结果,如果数据集成操作时接入了主机漏洞扫描结果,但是未开
查询剧本实例列表 功能介绍 查询剧本实例列表 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/instances 表1 路径参数 参数 是否必选 参数类型 描述 project_id
参数说明 当前状态 当前管道中数据消费配置状态。 管道名称 当前数据管道的名称。 订阅器 系统预置的订阅模式,决定数据如何传递给消费者。 访问节点 当前数据的访问节点。 相关操作 数据消费开启后,如需关闭,则可在数据消费页面,单击“当前状态”后的,关闭数据消费。 父主题: 安全分析
如果已创建工单或案例,请检查该工单或案例中是否记录了用户/角色名称、用户或角色ID或访问密钥ID。 如果告警来自安全云脑基线检查,您可以在控制台查看基线检查结果,找到受影响凭证的访问密钥ID。具体操作请参见查看基线检查结果。 如果告警来自CTS服务,您可以在控制台事件列表,查看结果。“资源名称”为访问密钥,Crede
查看实例监控 操作场景 当剧本/流程执行完成后,实例管理列表中会生成剧本/流程实例,即实例监控。实例监控列表每条记录是一个实例,可呈现实例的历史实例任务列表,以及历史实例任务的运行情况。 本章节主要介绍如何查看实例监控信息。 约束与限制 单账号单workspace内一天内的重试次数限制如下:
查看布局 操作场景 布局中已有多个页面布局,例如告警列表、情报详情、漏洞详情等。 本章节主要介绍如何查看布局。 查看已有布局 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
在右侧“映射”页签中,选择映射方式,并配置对应参数。 完成分类映射后,单击页面右上角,保存配置。 在右侧“预处理”页签中,设置预处理映射参数。 完成预处理配置后,单击页面右上角,保存配置。 复制已有的分类映射 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 >
立即检查:支持立即检查所有检查规范或某个检查计划,实时查看是否存在基线风险。 本章节介绍如何立即执行基线检查,包含以下几种类型: 立即检查所有遵从包:检查已有的,且已启用的遵从包中所有自动检查项的遵从情况。 立即执行某个检查计划:检查已选择的检查计划中设置的遵从包中的检查项目的遵从情况。 立即检查某个或某些检查项目:检查选中的检查项。
安全云脑只读权限,拥有该权限的用户仅能查看安全云脑数据,不具备安全云脑配置权限。 系统策略 示例流程 图1 给用户授予SecMaster权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予安全云脑的权限“SecMaster FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。