检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
访问通过算法生成的域。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。 默认严重级别:高危。 数据源:DNS日志。 此调查结果通知您,发现一台虚拟机访问通过算法生成的域。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。
访问通过算法生成的域。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。 默认严重级别:高危。 数据源:DNS日志。 此调查结果通知您,发现一台虚拟机访问通过算法生成的域。此类域通常由恶意软件使用,并且可能表示虚拟机被盗用。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。
mtd-warning-data 存储路径 检测结果在OBS桶的存储路径。 obs://obs-mtd-beijing4/mtd-warning-data 确认信息无误,单击“确认”,页面弹出“操作成功”,数据转存开启。 数据同步示例 数据同步开启后,可在对象存储服务(OBS)查看同步的告警数据。
此调查结果通知您,检测到某些ECS正在扫描远程资源的出站端口,可能从事非法活动。 修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件,如有必要,建议您终止当前ECS,根据需要使用新ECS来做代替。 父主题: 查看告警类型详情
此调查结果通知您,检测到某些ECS正在扫描远程资源的出站端口,可能从事非法活动。 修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件,如有必要,建议您终止当前ECS,根据需要使用新ECS来做代替。 父主题: 查看告警示例及统计
发现与历史情报相似的恶意IP尝试调用一个API,该API通常用于启动计算资源,如ECS实例。 严重级别:非固定,MTD根据告警实际威胁程度定级。 数据源:CTS日志。 此调查结果通知您,发现一个与历史情报相似的恶意IP尝试调用API,该API通常用于启动计算资源,如ECS实例。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。
发现与历史情报相似的恶意IP尝试调用一个API,该API通常用于启动计算资源,如ECS实例。 严重级别:非固定,MTD根据告警实际威胁程度定级。 数据源:CTS日志。 此调查结果通知您,发现一个与历史情报相似的恶意IP尝试调用API,该API通常用于启动计算资源,如ECS实例。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。
如果没有可选择的OBS桶,可单击“查看/创建桶”,进入对象存储服务管理控制台,查看/创建OBS桶,更多详细操作请参见创建桶。 obs-mtd-bejing4 对象名称 桶内存储情报信息的对象名称。 须知: 填写对象名称时文件扩展名也需要填写。 mtd-blacklist-ip.txt 存储路径 情报在OBS桶的存储路径。
每3小时更新一次 每30分钟更新一次 桶名称 输入存储告警数据的OBS桶名称。 说明: 如果没有可选择的OBS桶,可单击“查看/创建桶”,进入对象存储服务管理控制台,查看/创建OBS桶,更多详细操作请参见创建桶。 obs-mtd-beijing4 对象名称 存储告警信息的对象名称。可填
如果没有可选择的OBS桶,可单击“查看/创建桶”,进入对象存储服务管理控制台,查看/创建OBS桶,更多详细操作请参见创建桶。 obs-mtd-bejing4 对象名称 桶内存储情报信息的对象名称。 须知: 填写对象名称时文件扩展名也需要填写。 mtd-securitylist-ip.txt 存储路径 情报在OBS桶的存储路径。
此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 CnC 发现与历史情报相似的CNC服务器IP访问。 默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议:
此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 CnC 发现与历史情报相似的CNC服务器IP访问。 默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议:
查看检测结果 该章节指导您通过威胁检测服务查看被检测日志的告警详细信息。 前提条件 已购买威胁检测服务且已开启服务日志威胁检测。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图1所示。
查看告警类型详情 IAM告警类型详情 CTS告警类型详情 DNS告警类型详情 OBS告警类型详情 VPC告警类型详情
查看告警示例及统计 IAM告警类型详情 CTS告警类型详情 DNS告警类型详情 OBS告警类型详情 VPC告警类型详情
查看日志检测信息 您可以查看当前正在检测中的服务日志。 前提条件 已购买威胁检测服务且已创建检测引擎。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图1所示。 图1 威胁检测服务首页
如果此访问方式异常,不是业务常规使用方式,则可能表明您的OBS权限限制性不够,请修复受损的OBS存储桶权限访问策略,或者增加OBS防盗链增加威胁情报。 父主题: 查看告警类型详情
查看白名单信息 您可以查看白名单的具体信息,包括文件名称、文件类型、文件格式和文件上传时间。 前提条件 已导入白名单,导入白名单详细操作请参见导入白名单。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图1所示。
查看威胁情报信息 您可以查看威胁情报的具体信息,包括文件名称、文件类型、文件格式和文件上传时间。 前提条件 已导入威胁情报,导入威胁情报详细操作请参见导入威胁情报。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服
如果此访问方式异常,不是业务常规使用方式,则可能表明您的OBS权限限制性不够,请修复受损的OBS存储桶权限访问策略,或者增加OBS防盗链增加威胁情报。 父主题: 查看告警示例及统计