检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
HSS文件隔离查杀 剧本介绍 配置剧本 父主题: 剧本说明
本文档就恶意软件和勒索软件隔离查杀进行详细介绍。 响应方案 针对以上背景,安全云脑提供的HSS文件隔离查杀剧本,自动隔离查杀恶意软件。 “HSS文件隔离查杀”剧本已匹配“HSS文件隔离查杀”流程,当有恶意软件和勒索软件告警生成时,通过判断受攻击资产HSS防护版本,版本为专业版或
本章节介绍如何启用剧本,通过HSS恶意文件隔离查杀进行恶意软件和勒索软件告警处置。 前提条件 已在安全云脑工作空间的“设置 > 数据集成”页面中接入HSS告警数据,并开启自动转告警开关,详细操作请参见数据集成。 图1 接入HSS告警 配置并启用剧本 在安全云脑中,默认“HSS文件隔离查杀”流程的初始
在解析器列表管理页面中,单击解析器列表左上角的“导入”,弹出导入文件对话框。 在弹出的导入文件对话框中,单击“添加文件”,选择需要导入的json文件。 仅支持导入json格式的文件,且文件大小不超过1MB。 一次最多支持导入5个解析器文件,且每个解析器文件最多支持包含100个解析器。 选择完成后,单击“确认”,完成导入。
本章节介绍如何查看自定义类型。 约束与限制 系统内置的类型和子类型不支持关联布局、编辑、删除、启用和禁用。 其中,内置的IP和主机(物理机和虚拟机)类型可以执行启用和禁用操作,实现“资产管理”页面中展示类型的控制,详细操作请参见如何自定义导入主机资产?、如何让IP类型资产在资产管理页面中显示?。
进入类型管理页面 在类型管理页面,选择“自定义类型”页签,进入自定义类型页面后,选择“主机”类型。 在主机类型页面中,勾选“物理机”和“虚拟机”后单击“批量启用”,在弹出的确认框中,单击“确认”。 图3 启用主机类型 自定义导入主机资产。 在左侧导航栏选择“资产管理 > 资产管理”,进入资产管理页面。
在弹出的对话框中单击“下载模板”,根据模板填写检查项信息。 填写完成后,在弹出的对话框中单击“添加文件”,上传已填写的信息表格。 支持导入.xlsx格式的文件。 一次仅支持导入一个文件,且单次导入数据条不超过100条。 上传完成后,单击“导入”。 导出检查项 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
在弹出的对话框中单击“下载模板”,根据模板填写遵从包信息。 填写完成后,在弹出的对话框中单击“添加文件”,上传已填写的信息表格。 支持导入.xlsx格式的文件。 一次仅支持导入一个文件,且单次导入数据条不超过100条。 上传完成后,单击“导入”。 导出遵从包 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
购买安全云脑时提示权限不足怎么办? 当您在购买安全云脑时,页面提示权限不足时,请参照以下步骤进行处理。 操作步骤 登录管理控制台。 在页面左上角单击,选择“管理与监管 > 统一身份认证服务 IAM”,进入统一身份认证服务管理控制台。 (可选)创建用户组。 如果已创建“SecMaster_ops”用户组,请跳过此步骤。
导入”。 在弹出的“导入”对话框中,单击“下载模板”,并根据模板填写要求填写待导入告警信息。 待导入告警文件填写完成后,在导入告警对话框中,单击“添加文件”,选择需要导入的Excel文件。 选择完成后,单击“确定”,完成导入。 导出告警 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
在弹出的“导入”对话框中,单击“下载模板”,并根据模板填写要求填写待导入情报指标信息。 待导入情报指标文件填写完成后,在导入情报指标对话框中,单击“添加文件”,选择需要导入的Excel文件。 选择完成后,单击“确定”,完成导入。 导出指标 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
在弹出的“导入”对话框中,单击“下载模板”,并根据模板填写要求填写待导入事件信息。 待导入事件文件填写完成后,在导入事件对话框中,单击“添加文件”,选择需要导入的Excel文件。 选择完成后,单击“确定”,完成导入。 导出事件 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
弹性负载均衡(Elastic Load Balance,ELB)定期向后端服务器发送请求健康检查,通过健康检查来判断后端服务器是否可用。 如果判断出后端服务器健康检查异常,ELB会将异常后端服务器的流量分发到正常后端服务器。 当异常后端服务器恢复正常运行后,ELB会自动恢复其承载业务流量能力。 检
弹性负载均衡(Elastic Load Balance,ELB)定期向后端服务器发送请求健康检查,通过健康检查来判断后端服务器是否可用。 如果判断出后端服务器健康检查异常,ELB会将异常后端服务器的流量分发到正常后端服务器。 当异常后端服务器恢复正常运行后,ELB会自动恢复其承载业务流量能力。 检
待安装组件控制器(isap-agent)的ECS服务器与存储Agent的OBS桶之间网络不通 ECS服务器的磁盘空间不足 调用iamtoken请求,获取iamtoken失败 workspaceId校验失败 组件控制器(isap-agent)已经安装,系统仍将重复安装 原因排查及解决方法
对话框。 在导入漏洞对话框中,单击“下载模板”,并根据模板填写要求填写待导入漏洞信息。 待导入漏洞文件填写完成后,在导入漏洞对话框中,单击“添加文件”,并选择需要导入的Excel文件。 选择完成后,单击“确定”,完成导入。 导出漏洞 最多支持导出9999条漏洞信息。 登录管理控制台。
话框。 在导入资产对话框中,单击“下载模板”,并根据模板填写要求填写待导入资产信息。 待导入资产文件信息填写完成后,在导入资产对话框中,单击“添加文件”,并选择需要导入的Excel文件。 选择完成后,单击“确定”,完成导入。 导出资产 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
String 文件路径/名称。 file_alias String 文件别名。 file_size Integer 文件大小。 file_mtime Long 文件最后一次修改时间。 file_atime Long 文件最后一次访问时间。 file_ctime Long 文件最后一次状态改变时间。
失陷的主机进行加固。 入侵成功典型告警 主机防线 主机安全日志 主机-进程和端口信息隐匿、主机-异常文件属性修改 及时判断是否是内部人员操作,是否为误操作。如果是异常进程,或文件存在恶意行为,执行相关命令结束进程。 防御绕过典型告警 主机防线 主机安全告警日志 主机-rootkit事件
-- 主机-异常文件属性修改 sec-hss-log 推荐开启 开箱即用已开启 -- 主机-恶意定时任务写入 sec-hss-log 推荐开启 开箱即用已开启 -- 主机-进程和端口信息隐匿 sec-hss-log 推荐开启 开箱即用已开启 -- 主机-异常文件权限修改 sec-hss-log
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
