检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
MTD权限管理 如果您需要对华为云上购买的MTD资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控
权限管理 创建用户组并授权使用MTD
在统一身份认证服务中,左侧导航栏选择“用户组”。 在目标子账号所属的用户组所在行的“操作”列,单击“权限配置”。 图4 权限配置 在弹出的“授权记录”界面,单击“授权”。 图5 授权 在授权界面, “在以下作用范围”选择“区域级项目”。 在“拥有以下权限”栏,选择步骤一:创建自定义策略配置好的策略。 图6 给用户组授权自定义策略
给用户组授权之前,请您了解用户组可以添加的MTD权限,并结合实际需求进行选择。若您需要对除MTD之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。 示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在统一身份认证控制台创建用户组,并授予MTD权限。 创建用户并加入用户组 在统一
检测设置”,进入“检测设置”界面。 选择需要开启检测的服务日志,单击,服务日志下的图标变为,表示目标服务的日志实时检测已开启,如图2所示。 图2 已开启服务日志检测 首次开启CTS的服务日志会出现需配置追踪器的提示框,需要您手动配置追踪器,威胁检测服务才能正常对接日志进行威胁检测。 单击提示框中
Access Management,简称IAM)为威胁检测服务提供了权限管理的功能。需要拥有MTD Administrator权限的用户才能使用MTD服务。如需开通该权限,请联系拥有Security Administrator权限的用户。威胁检测服务可以为IAM提供对日志数据中访客可能存在的恶意活动和未经授权行为进行检测。
选择需要停止检测的服务日志数据源,单击,服务日志下的图标变为,表示目标服务的日志实时检测已关闭,如图2所示。 图2 已关闭服务日志数据源 关闭开关后,状态显示为“未开启”,MTD将停止对该服务新产生的日志进行检测,但现有的检测结果将会为您保留,且不受影响。 父主题: 日志检测管理
威胁检测服务”,进入威胁检测服务界面,如图1所示。 图1 威胁检测服务首页 在左侧选择“设置 > 数据同步”,进入“数据同步”界面。 存储检测结果。 单击“存储至OBS桶”后的开启转存,如图2所示,将检测结果按照指定的频率存储至OBS桶,相关参数说明如表1所示。 图2 存储至OBS桶 表1 存储检测结果 参数名称 参数说明
再次单击“云审计服务日志(CTS)”后的,开启CTS日志检测,页面右上角提示“设置成功!”,如图 开启云审计服务日志所示。 图5 开启云审计服务日志 在页面左上角选择“检测结果”进入检测结果页面,此时页面中“以下服务无法直接获取日志数据,需要您进行配置”的提示框已关闭,并且显示已开启云审计服务日志数据检测,表示配置追踪器成功。如图
再次单击“云审计服务日志(CTS)”后的,开启CTS日志检测,页面右上角提示“设置成功!”,如图 开启云审计服务日志所示。 图5 开启云审计服务日志 在页面左上角选择“检测结果”进入检测结果页面,此时页面中“以下服务无法直接获取日志数据,需要您进行配置”的提示框已关闭,并且显示已开启云审计服务日志数据检测,表示配置追踪器成功。如图
创建威胁检测引擎后,威胁检测服务将实时检测目标Region中接入的各类服务日志数据。 前提条件 已通过主账号对子账号赋予MTD权限。详细操作请参见如何通过主账号对子账号赋予MTD权限?。 当您使用子账号对服务进行创建检测引擎或其它操作时,需要您通过主账号对子账号 进行授权才可使用子账号对MTD服务进行操作。
创建威胁检测引擎后,威胁检测服务将实时检测目标Region中接入的各类服务日志数据。 前提条件 已通过主账号对子账号赋予MTD权限。详细操作请参见如何通过主账号对子账号赋予MTD权限?。 当您使用子账号对服务进行创建检测引擎或其它操作时,需要您通过主账号对子账号 进行授权才可使用子账号对MTD服务进行操作。
查看检测结果 该章节指导您通过威胁检测服务查看被检测日志的告警详细信息。 前提条件 已购买威胁检测服务且已开启服务日志威胁检测。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图1所示。
d-warning-data 确认信息无误,单击“确认”,页面弹出“操作成功”,数据转存开启。 数据同步示例 数据同步开启后,可在对象存储服务(OBS)查看同步的告警数据。 MTD数据同步开启后,OBS会产生一定的存储费用,默认计费模式为按需计费,计费详情请参见计费说明,无存储空间限制。
产品介绍 什么是威胁检测服务 功能特性 产品优势 应用场景 03 入门 通过创建威胁检测引擎和配置追踪器开启威胁检测服务,帮您实时检测目标区域中各服务的日志数据源。 开启威胁检测 创建检测引擎 配置追踪器 05 实践 基于业务场景及客户需求的最佳实践,助您快速使用MTD检测云服务中潜在的恶意活动和未经授权行为。
的安全组、路由和ACL的网络访问权限。 严重级别:非固定,MTD根据告警实际威胁程度定级。 数据源:CTS日志。 此调查结果通知您,发现与历史情报相似的恶意IP尝试调用一个API,该API通常用于更改您的账户中的安全组、路由和ACL的网络访问权限。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。
的安全组、路由和ACL的网络访问权限。 严重级别:非固定,MTD根据告警实际威胁程度定级。 数据源:CTS日志。 此调查结果通知您,发现与历史情报相似的恶意IP尝试调用一个API,该API通常用于更改您的账户中的安全组、路由和ACL的网络访问权限。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。
您在某个区域(Region)启用威胁检测服务时,将在该区域(Region)生成一个检测器,威胁检测服务的所有检测结果都与检测器关联。 数据源 数据源是指威胁检测服务分析、处理的各类服务日志。为了检测各种未经授权的恶意活动,威胁检测服务会获取您授权开启检测的服务(包含IAM、DNS
表明凭据已被公开或您的OBS权限限制性不够,请修复受损的OBS存储桶权限访问策略。 UnauthorizedAccess 发现非授权访问。 默认严重级别:低危。 数据源:OBS日志。 此调查结果通知您,在此时间段范围,这个桶的API 操作出现多次权限错误。 修复建议: 如果此用户
表明凭据已被公开或您的OBS权限限制性不够,请修复受损的OBS存储桶权限访问策略。 UnauthorizedAccess 发现非授权访问。 默认严重级别:低危。 数据源:OBS日志。 此调查结果通知您,在此时间段范围,这个桶的API 操作出现多次权限错误。 修复建议: 如果此用户
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
