-
新增资产连接 - 安全云脑 SecMaster
剧本编排”,进入剧本管理页面后,选择“资产连接”页签,进入资产连接管理页面。 图2 资产连接管理页面 在资产连接管理页面中,单击“新增”,右侧弹出新增资产连接面板。 在新增资产连接面板中,配置资产连接参数,参数说明如表1所示。 表1 资产连接参数说明 参数名称 说明 连接名称 输入资产连接名称。名称规则如下:
-
管理连接 - 安全云脑 SecMaster
采集管理”,默认进入连接管理页面。 图4 进入采集管理页面 在连接管理页面中,查看连接管理的详细信息。 表1 连接管理参数说明 参数名称 参数说明 连接名称 连接的名称。 连接类型 连接的类型 连接信息 连接相关信息。 引用通道 连接被引用的通道数量。 描述 连接相关描述。 操作 支持对连接进行编辑、删除等操作。
-
资产连接 - 安全云脑 SecMaster
资产连接 新增资产连接 管理资产连接 父主题: 剧本编排管理
-
管理资产连接 - 安全云脑 SecMaster
速查询指定资产连接。 图3 查看资产连接信息 表1 资产连接参数说明 参数名称 参数说明 连接名称 资产连接的名称。 插件 资产连接对应的插件。 创建人 创建资产连接的用户。 创建时间 资产连接的创建时间。 修改人 最近一次修改资产连接的用户。 更新时间 资产连接最近一次更新的时间。
-
攻击链路分析告警通知 - 安全云脑 SecMaster
攻击链路分析告警通知 剧本说明 攻击者攻击域名成功之后会对后端服务器进行攻击,因此针对此链路攻击的路径,安全云脑提供了攻击链路分析告警通知剧本。当攻击者通过层层攻击到主机之后,进行告警,通知运营人员进行处置。 “攻击链路分析告警通知”剧本已匹配“攻击链路分析告警通知”流程,该流程需要使用消息通知服务(Simple
-
值班监控 - 安全云脑 SecMaster
尝试攻击典型告警 网络防线 NIP攻击日志 网络-检测黑客工具攻击、网络-登录爆破告警 请确认该操作是否为正常业务人员的行为,如果不是,可以参考以下处置建议: 切断网络连接:立即停止受攻击的设备或系统与网络的连接,以防止攻击者继续进行攻击或窃取数据。 收集证据:记录攻击发生的
-
日志字段含义 - 安全云脑 SecMaster
login_ip String 用户登录ip。 service_type String 登录的服务类型。 service_port Integer 登录服务端口。 login_mode String 登录方式。 login_lasttime Long 用户最后一次登录时间。 login_fail_count
-
启用安全模型 - 安全云脑 SecMaster
主机-虚拟机横向连接 sec-hss-log 推荐开启 开箱即用已开启 -- 网络-高危端口对外暴露 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-登录爆破告警 sec-nip-attack 推荐开启 开箱即用已开启 -- 主机-异常网络连接 sec-hss-alarm
-
启用告警模型 - 安全云脑 SecMaster
应用-WAF关键攻击告警、主机-虚拟机横向连接、网络-高危端口对外暴露、网络-登录爆破告警、主机-疑似外联、网络-源ip对多个目标进行攻击、网络-命令注入告警、网络-恶意外联、主机-反弹shell、主机-恶意程序、应用-分布式url遍历攻击、应用-源ip进行url遍历、主机-高危命令检测、应用-源ip对域名进行爆破
-
高危漏洞自动通知 - 安全云脑 SecMaster
剧本编排”,进入剧本管理页面后,选择“资产连接”页签,进入资产连接管理页面。 图8 资产连接管理页面 在资产连接管理页面中,单击“通知SMN运营人员凭证”所在行的“操作”列的“编辑”。 在右侧弹出的编辑资产连接页面中,配置endpoint信息。 图9 编辑资产连接 endPoint字段填写说明
-
分析溯源 - 安全云脑 SecMaster
流程缺失、安全意识薄弱等问题进行梳理,输出复盘报告。 安全分析能力提供原始日志数据查询统计能力,可以针对原始数据进行溯源分析。 操作步骤 登录安全脑控制台,并进入目标工作空间管理页面。 在左侧导航栏选择“威胁运营 > 安全分析”,进入安全分析页面。 图1 进入安全分析页面 在左侧
-
概述 - 安全云脑 SecMaster
名词解释 插件:是包含函数、连接器、公共库的聚合。插件有自定义插件和商业插件两种类型,其中,自定义的插件可以在集市中显示,也可以在剧本中使用。 插件集:是具有相同业务场景的插件集合。 函数:是可以在剧本中选用的执行函数,在剧本中执行特定的行为。 连接器:是用于连接数据源,将告警、事件等
-
业务信息梳理 - 安全云脑 SecMaster
网站业务提供安全保障。 安全云脑的资产管理功能会自动将WAF中已录入的域名同步过来,可以在安全云脑中进行统一管理。护网/重保期间需要保证所有网站均已接入WAF并开启防护,以提高网站安全性。 查看方法如下: 登录安全脑控制台,并进入目标工作空间管理页面。 在左侧导航栏选择“资产管理
-
基线检查项目 - 安全云脑 SecMaster
IAM用户的登录密码建议设置为安全程度强的密码。 IAM用户设置的登录密码分为弱、中、强三个级别。安全性高的密码可以使账号更安全,建议您定期更换密码以保护账号安全。 检查IAM用户的密码强度是否为最高级别。 CBH实例登录开启多因子认证检查 通过Web浏览器或SSH客户端登录CBH实
-
快速接入安全云脑 - 安全云脑 SecMaster
命令。 远程登录待安装Agent的ECS。 华为云主机 您可以登录弹性云服务器控制台,在“弹性云服务器”列表中,单击“远程登录”登录主机,详细操作请参见在云服务器控制台上登录主机。 如果您的主机已经绑定了弹性IP,您也可以使用远程管理工具(例如:PuTTY、Xshell等)登录主
-
安全运营 - 安全云脑 SecMaster
将资产的风险情况标识出来,例如:是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务(例如:ECS上应该安装HSS的Agent、域名应纳入到WAF的防护策略中)。 更多详细介绍及操作请参见资产管理。 检查并清理不安全的配置 在安全运营过程中,最常见的“脆弱性”是不安全的
-
成本管理 - 安全云脑 SecMaster
成本管理 随着上云企业越来越多,企业对用云成本问题也越发重视。使用安全云脑时,如何进行成本管理,减轻业务负担呢?本文将从成本构成、成本分配、成本分析和成本优化四个维度介绍成本管理,帮助您通过成本管理节约成本,在保障业务快速发展的同时获得最大成本收益。 成本构成 使用安全云脑时,成
-
自定义接入安全云脑 - 安全云脑 SecMaster
道。 步骤六:新增数据连接(来源、目的) 新增数据连接,包含数据来源、以及数据解析后转出位置。 在左侧导航栏选择“设置 > 采集管理”,默认进入连接管理页面。 图10 进入采集管理页面 新增数据连接来源。 在“连接管理”页面中,单击“新增”,进入选择数据连接页面。 在“来源”页签中,选择数据源类型的来源“用户数据协议
-
采集数据 - 安全云脑 SecMaster
认”。 单击页面右下角“保存并应用”。 步骤五:新增数据连接 在左侧导航栏选择“设置 > 采集管理”,默认进入连接管理页面。 图10 进入采集管理页面 在“连接管理”页面中,单击“新增”,进入选择数据连接页面。 新增数据连接来源。 在“来源”页签中,选择数据源类型的来源,并根据选择的类型进行参数配置。
-
批量阻断/批量取消阻断 - 安全云脑 SecMaster
批量阻断/批量取消阻断 操作场景 新增阻断时将设置某个IP地址或IP地址段/或IAM用户,如果该阻断也适用于其他操作连接,可以进行批量阻断操作。同时,配置阻断时将设置某个IP地址或IP地址段/或IAM用户,如果该阻断已不适用,可以进行批量取消阻断操作。 本章节介绍如何执行批量阻断、批量取消阻断操作。