检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
SecMaster”,进入安全云脑管理页面。 在总览页面中,单击右上角“购买安全云脑”,进入购买安全云脑页面。 (可选)购买访问授权。 首次购买需要进行访问授权,获取账号中的ECS主机资产信息。在弹出的访问授权页面中,勾选同意授权并单击“确认”。 在购买安全云脑页面,配置购买参数,参数说明如下所示: 表1
漏洞管理工具会扫描网络来帮助识别攻击者可能利用的任何薄弱点。 用户和实体行为分析(User and Entity Behavior Analytics,UEBA) 用户和实体行为分析构建在许多新式安全工具之中,它使用AI来分析从各种设备收集的数据,来为每个用户和实体建立正常活动的基线。当事件偏离基线时,会标记该事件供进一步分析。
此处的TOP等级是根据某个漏洞影响的主机数量进行排序,受影响主机数量越多排名越靠前。 仅当主机中Agent版本为2.0时,才会在“漏洞类型Top5”中显示对应数据。如未显示数据或需要查看TOP5漏洞类型,请将主机将Agent1.0升级至Agent2.0。 单击漏洞模块中的“实时监控最新漏洞风险事件 T
如何处理暴力破解告警事件? 暴力破解是一种常见的入侵攻击行为,攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码,一旦破解成功,即可实施攻击和控制,严重危害资产的安全。 安全云脑联动主机安全服务(HSS),接收HSS检测到的暴力破解行为,集中呈现和管理告警事件,提升运维效率。
如果已创建工单或案例,请检查该工单或案例中是否记录了用户/角色名称、用户或角色ID或访问密钥ID。 如果告警来自安全云脑基线检查,您可以在控制台查看基线检查结果,找到受影响凭证的访问密钥ID。具体操作请参见查看基线检查结果。 如果告警来自CTS服务,您可以在控制台事件列表,查看结果。“资源名称”为访问密钥,Crede
求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用SecMaster服务的其它功能。 默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。
帮助用户了解攻击和入侵过程,并提供相关的防护措施建议。更多说明请参见安全云脑与其他安全服务之间的关系与区别。 与弹性云服务器的关系 安全云脑为弹性云服务器(Elastic Cloud Server,ECS)提供资产安全管理服务,结合HSS主机防护状态,全方位呈现当前ECS安全风险态势,并提供相应防护建议。
配置说明 用户信息 自定义配置。 设置后,记录此处IAM用户名信息(IAM User Name),方便后续使用。 访问方式 编程访问 勾选。 管理控制台访问 不勾选。 凭证类型 访问密钥 勾选。 密码 勾选。 勾选密码后,勾选“自定义”,并自定义设置密码。设置后,记录此处IAM用户密码信息(IAM
} 示例2:拒绝用户修改告警配置信息 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予“SecMaster FullAccess”的系统策略,但不希望用户拥有“SecMaster
SecMaster_Agency 用于WAF相关剧本流程的执行 ECS ReadOnlyAccess 弹性云服务器的只读访问权限 SecMaster_Agency 用于订购时查询ECS数量和在基线检查功能中获取ECS安全配置信息 Anti-DDoS ReadOnlyAccess Anti-DDoS流量清洗服务只读权限
作用:用于在安全编排的流程执行过程中,每个插件节点运行时,传入需要连接的域名信息,以及在访问该域名时,需要使用到的用户鉴权信息,如用户名/密码、账号AK/SK等。 资产连接与插件的关系:每个插件在运行过程中,需要通过域名调用的方式访问其他云服务或者三方服务,调用过程中需要鉴权,因此,在插件的登录凭证参
开启后,将显示消费配置信息,具体说明如表1所示。 图4 开启数据消费 表1 数据消费参数说明 参数名称 参数说明 当前状态 当前管道中数据消费配置状态。 管道名称 当前数据管道的名称。 订阅器 系统预置的订阅模式,决定数据如何传递给消费者。 访问节点 当前数据的访问节点。 相关操作
HSS:显示漏洞的修复优先级,它是由漏洞最高CVSS分值、漏洞发布时间和漏洞影响的资产重要性进行加权计算得出,反映了漏洞修复的紧急程度。 漏洞修复优先级主要分为紧急、高、中、低四个等级,您可以参考修复优先级优先修复对您的服务器影响较大的漏洞。 SecMaster:显示漏洞的等级
请求什么类型的操作。 GET:请求服务器返回指定资源。 PUT:请求服务器更新指定资源。 POST:请求服务器新增资源或执行特殊操作。 DELETE:请求服务器删除指定资源,如删除对象等。 HEAD:请求服务器资源头部。 PATCH:请求服务器更新资源的部分内容。当资源不存在的时
此时,需要对租户采集磁盘进行分区操作,具体操作步骤如下: 购买并挂载磁盘。 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“计算 > 弹性云服务器”,并在弹性云服务器列表中,单击当前安装isap-agent的ECS名称,进入ECS详情页面。 选择“云硬盘”页签,进入云硬盘页面后,单击“新增磁盘”。
参考本实践的操作步骤处理即可 第三方(非华为云)日志接入安全云脑 参考本实践的操作步骤处理即可 日志采集原理 日志采集器节点作为中间节点,负责在安全云脑和租户服务器之间收集、上传、下发日志。 图1 安全云脑日志采集原理 基本概念 本部分介绍日志采集中涉及的基本概念的描述及其作用。 日志采集组件(Logstash):用于日志采集、日志传输。
标识选择的后端服务器地址。 request_time String 标识请求处理时间,从读取客户端的第一个字节开始计时。 upstream_response_time String 标识后端服务器响应时间。 upstream_status String 标识后端服务器的响应码。 u
告警所涉及到的高危命令如下: strace:捕获和记录指定进程的所有系统调用,以及接收的所有信号。 rz:用于从本地计算机向远程主机上传文件,通常用于SSH会话中。 sz:用于从远程主机向本地计算机下载文件的命令,通常用于SSH会话中。 tcpdump:用于数据包嗅探,可以抓取流动在网卡上的数据包。
查看告警信息 操作场景 告警是运维中的一种异常信号的通知,通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如,当服务器的CPU使用率超过90%时,系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性,能够明确指出
近7天网络、应用、主机被访问产生的日志大小总和,单位为MB。 环比 近7天网络、应用、主机被访问产生的日志大小总和,与近7-14天用户网络、应用、主机被访问产生的日志大小总和的对比。 计算方法:(本期数 - 上期数) / 上期数 × 100%。 统计趋势图 近7天每天网络、应用、主机被访问产生的日志大小总和,单位为MB。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
