检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如果未配置解析器,可以选择“快速接入”,将原始日志直接接入采集通道列表中。 在“运行节点选择”页面中,单击“新增”,并在弹出的添加节点框中选择(可选)步骤一:购买ECS购买的ECS节点后,单击“确认”。 图3 选择运行节点 单击页面右下角“下一步”,进入“通道详情预览”页面。 在“通道详情预览”页面确认配置无误后,单击“保存并执行”。
系统数据、瘫痪系统服务等。这些危害不仅会导致经济损失,还可能对国家安全和社会稳定造成严重影响。 响应方案 攻击者攻击域名成功之后会对后端服务器进行攻击,因此针对此链路攻击的路径,安全云脑提供了攻击链路分析告警通知剧本。当攻击者通过层层攻击到主机之后,进行告警,通知运营人员进行处置。
Security Service,HSS)是以工作负载为中心的安全产品,集成了主机安全、容器安全和网页防篡改,旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之,SecMaster是呈现全局安全态势的服务,HSS是提升主机和容器安全性的服务。 服务功能区别 Sec
高危:即高危风险,表示资产中检测到了可疑的异常事件,建议您立即查看告警事件的详情并及时进行处理。 其他:即其他类型(中危、低危、提示)风险,表示服务器中检测到了有风险的异常事件,建议您及时查看该告警事件的详情。 单击威胁告警模块,系统将列表实时呈现近7天内TOP5的威胁告警事件,可快速查看威胁告警详情,监控威胁告警状况。
编辑,还可以绑定或解绑资产。 表1 资产来源及对应的防护产品 参数名称 来源 对应的安全防护产品 主机资产 弹性云服务器(Elastic Cloud Server,ECS) 主机安全服务(Host Security Service,HSS) 网站 Web应用防火墙(Web Application
自动执行基线检查。 立即检查:如果您新增或修改了自定义的基线检查计划,您可以在基线检查页面选择该基线检查计划,立即执行基线检查,实时查看服务器中是否存在对应的基线风险。 3 查看检查结果 自动/手动基线检查完成后,可以查看基线检查结果,了解基线检查项影响的资产、基线项目详情等信息。
日志接入或转出流程图 本章节将介绍日志数据接入或转出的操作流程进行简要说明。 表1 日志接入或转出流程说明 操作步骤 操作说明 (可选)步骤一:购买ECS 安装日志采集器。 (可选)步骤二:购买数据磁盘 保障日志采集器有足够的运行空间。 (可选)步骤三:挂载数据磁盘 保障日志采集器有足够的运行空间。
户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮
当接收到来源于HSS的告警事件时,请登录HSS管理控制台确认并处理告警事件。 如果您的主机被爆破成功,检测到入侵者成功登录主机,账户下所有云服务器可能已被植入恶意程序,建议参考如下措施,立即处理告警事件,避免进一步危害主机的风险。 请立即确认登录主机的源IP的可信情况。 请立即修改被暴力破解的系统账户口令。
横向移动典型告警 主机防线 主机安全日志 主机-虚拟机横向连接 建议通过堡垒机等审计记录查看该命令是程序执行还是人为操作,如果为人为操作,需联系对应操作人确定,风格为非正常业务人员操作,需尽快确定该行为是否为异常恶意行为,是否危害到对应虚拟机,及时采取措施,保护计算机和系统的安全。 持久化控制典型告警
标识选择的后端服务器地址。 request_time String 标识请求处理时间,从读取客户端的第一个字节开始计时。 upstream_response_time String 标识后端服务器响应时间。 upstream_status String 标识后端服务器的响应码。 u
根据您华为云环境的配置,通过主机安全服务配置可通过AV检测和HIPS检测帮助您发现资产中的安全威胁,检测到恶意软件和勒索软件。 可通过SSH等方法访问云服务器,查看实例状态和监控等信息,查看是否有异常。或者通过其他方式收到攻击信息或勒索信息请求发现潜在威胁。 一旦确认攻击是事件,需要评估受影响
高危:即高危风险,表示资产中检测到了可疑的异常事件,建议您立即查看告警事件的详情并及时进行处理。 其他:即其他类型(中危、低危、提示)风险,表示服务器中检测到了有风险的异常事件,建议您及时查看该告警事件的详情。 单击威胁告警模块,系统将列表实时呈现近7天内TOP5的威胁告警事件,可快速查看威胁告警详情,监控威胁告警状况。
创建/编辑解析器 操作场景 安全云脑默认内置快速接入解析器,可根据需要进行选择: 表1 解析器场景说明 类型 场景 快速接入 无需对源数据进行处理直接传输。 模板 需要对数据源进行清理、字段加工处理等操作的时候,可以根据用户需要的使用场景进行模板选择,创建对应的解析器。 自定义
实施步骤 (可选)步骤一:购买ECS (可选)步骤二:购买数据磁盘 (可选)步骤三:挂载数据磁盘 步骤四:创建非管理员IAM账户 步骤五:网络连通配置 步骤六:安装组件控制器(isap-agent) 步骤七:安装日志采集组件(Logstash) (可选)步骤八:创建日志存储管道 步骤九:配置连接器
是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对SecMaster服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如表1所示,包括了SecMaster的所有系统权限。 表1 SecMaster系统权限 系统角色/策略名称 描述
新增/编辑连接 操作场景 本章节主要介绍如何新增/编辑连接。 约束与限制 数据连接新增成功后,仅支持对已选择的数据源类型的参数信息进行修改,不支持变更数据源类型。 新增连接 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑
较上周 近7天网站被攻击次数,与近7-14天网站被攻击次数的差值。 主机日志攻击 次数 近7天 每小时 近7天ECS被攻击次数。 较上周 近7天ECS被攻击次数,与近7-14天ECS被攻击次数的差值。 攻击来源分布情况 呈现TOP5的网络攻击和应用攻击来源的分布情况,包括被攻击的资产IP、所属部门以及个数。
某IT员工反馈,通过SSH及其他类似方式无法访问ECS实例。 ECS实例创建正常,华为云的云监控(Cloud Eye)或其他监控工具也没有上报告警,但依然无法访问ECS实例。 由ECS实例的异常指标或异常日志触发生成一个工单在您的工单系统中。 ECS实例在华为云控制台或云监控的告警中上报网络异常问题。
策略覆盖 展示当前安全产品覆盖情况,包含以下信息: 受安全产品保护的实例数量(=受保护ECS数量+受保护WAF实例数量) 主机安全覆盖率(=受保护ECS数量/全部ECS数量) 当前受保护云主机数量 当前受保护网站数量 资产安全 展示当前资产安全情况,包含以下信息: 当前资产总数量
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
