检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
什么是DGA域名生成算法? DGA(Domain Generate Algorithm域名生成算法)是一种使用时间,字典,硬编码的常量利用一定的算法生成的域名。 DGA生成的域名具有微随机性,用于中心结构的僵尸网络中与C&C服务器的连接,以逃避域名黑名单检测技术。 父主题: 产品咨询
名单IP或域名至名单库,添加后MTD将优先关联检测名单库中的IP或域名,及时发现(情报)/忽略(白名单)名单库中IP/域名地址的活动,降低检测响应时间,提升检测效率,减轻MTD运行负载。 如果目标IP或域名同时出现在情报和白名单中,因白名单优先级更高,因此目标IP或域名检测时将会直接被忽略。
报内的IP地址或域名进行威胁检测。 前提条件 Plaintext格式的威胁情报已上传至对象存储服务,上传威胁情报至对象存储服务的具体方法请参见上传文件。 情报:也称作黑名单,指受访问时被禁止的IP或域名,目前只能新增1个情报文件,文件内可容纳10000条IP或域名记录。 Plai
日志,持续实时检测日志中访问者的IP或域名是否存在潜在的恶意活动和未经授权行为并进行告警。 此服务集成了AI智能引擎、威胁情报、规则基线三种检测方式,智能检测来自多个云服务(包含IAM服务、DNS服务、CTS服务、OBS服务、VPC服务)日志数据中的访问行为,去发现是否存在潜在威
、凭证泄露、Token利用、异常委托、异地登录、未知威胁、暴力破解七大IAM高危场景实现了异常行为的智能检测。 挖掘数据特性,创新算法架构 在算法方面,分析DNS域名格式特点,创新的结合BERT思想构造三通道CNN模型,相比传统直接将域名输入到神经网络的方法具有更好的检测效果,在业界内较先采用。
查看威胁检测结果总览。 当未检测出威胁告警时。页面提示“已开始对您全部XX服务日志新产生的数据进行检测,截止目前相对健康,未发现风险。”,并展示告警类型示例,如图3所示。 图3 未发现风险 当已检测出威胁告警信息时。页面展示告警详情。 单击“当前已支持XX种告警类型”,页面弹出“告警类型示例”窗口,
选择需要从OBS桶添加至MTD服务的对象文件类型。 IP:服务将基于您白名单内的IP地址进行威胁检测。 域名:服务将基于您白名单内的域名进行威胁检测。 添加至MTD白名单后,威胁检测服务将优先关联检测白名单内的IP或域名,对日志中存在关联的白名单信息进行忽略。 IP 桶名称 对象文件所在的OBS桶名称。
学习模型、有监督学习模型实现对风险口令、凭证泄露、Token利用、异常委托、异地登录、未知威胁、暴力破解七大IAM高危场景进行智能检测。通过SVM、随机森林、神经网络等算法实现对隧道域名、DGA域名以及异常行为的智能检测。 AI引擎检测保持模型对真实数据的学习,保证数据对模型的反
威胁检测服务(Managed Threat Detection,简称MTD),通过接入目标区域中您在华为云操作所涉及到的IAM日志、DNS日志、CTS日志、OBS日志、VPC日志,持续实时监控日志中访问者的IP或域名是否存在潜在的恶意活动和未经授权行为并进行告警。此服务集成了AI智能引擎、
创建打算上传至OBS桶的白名单和情报对象文件时,对象文件仅支持Plaintext格式,文件内可写入的IP或域名条数上限为10000条。 Plaintext格式即您想要上传至OBS桶的白名单列表或情报列表中,IP地址或域名范围必须用回车键隔开,每行只显示一个,如下图所示。 编辑好的对象文件格式建议存储为.txt的文件扩展名格式。
此调查结果通知您,发现一个与历史情报相似的CNC服务器访问。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。 Exploit 发现与历史情报相似的漏洞利用域名访问。 默认严重级别:中危。 数据源:DNS日志。 此调查结果通知您,发现一个与历史情报相似的漏洞利用域名访问。 修复建议: 如果
此调查结果通知您,发现一个与历史情报相似的CNC服务器访问。 修复建议: 如果此虚拟机IP为您正常使用IP,请添加到MTD的白名单中。 Exploit 发现与历史情报相似的漏洞利用域名访问。 默认严重级别:中危。 数据源:DNS日志。 此调查结果通知您,发现一个与历史情报相似的漏洞利用域名访问。 修复建议: 如果
UserFirstAccess 发现OBS中有特定用户(user)首次访问桶对象。 默认严重级别:低危。 数据源:OBS日志。 此调查结果通知您,有用户首次访问这个桶,此用户没有此桶的历史访问记录。 修复建议: 如果此用户不是此桶的授权用户,则可能表明凭据已被公开或您的OBS权限限制性
UserFirstAccess 发现OBS中有特定用户(user)首次访问桶对象。 默认严重级别:低危。 数据源:OBS日志。 此调查结果通知您,有用户首次访问这个桶,此用户没有此桶的历史访问记录。 修复建议: 如果此用户不是此桶的授权用户,则可能表明凭据已被公开或您的OBS权限限制性
发现与历史情报相似的恶意攻击IP访问。 默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 BlackList 发现与历史情报相似的黑名单IP访问。 默认严重级别:中危。
、OBS服务、VPC服务)日志数据中的访问行为,去发现是否存在潜在威胁,对可能存在威胁的访问行为生成告警信息,输出告警结果。您可通过告警描述对告警信息进行核查、处理,在未造成信息泄露等重大损失之前,及时对潜在威胁进行处理,对服务安全进行升级加固,从而保护您的账户安全、保障服务稳定运行。
发现与历史情报相似的恶意攻击IP访问。 默认严重级别:中危。 数据源:IAM日志。 此调查结果通知您,有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议: 如果此IP为您正常使用IP,请添加到MTD的白名单中。 BlackList 发现与历史情报相似的黑名单IP访问。 默认严重级别:中危。
需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 MTD部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域对应的项目中设置相关权
威胁检测服务目前暂不支持自动防御措施功能。目前只支持对云服务(包含IAM服务、CTS服务、OBS服务、VPC服务、DNS服务)日志数据中的访问行为进行检测,去发现是否存在潜在威胁,对可能存在威胁的访问行为生成告警信息,输出告警结果。 父主题: 功能类
已购买威胁检测服务且已开启服务日志威胁检测。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 威胁检测服务”,进入威胁检测服务界面,如图1所示。 图1 威胁检测服务首页 查看威胁检测结果总览。 当未检测出威胁告警时。页面提示“已开始对您全部XX服务日