检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
工作空间通用规则 付费版本安全云脑:单账号单Region内最多创建5个工作空间。 免费版本安全云脑:单账号单Region内最多创建1个工作空间。 工作空间永久删除:永久删除的workspace立即删除,不能进行恢复。 空间托管: 单账号单Region内最多创建1个空间托管视图。
表1 指标参数说明 参数 说明 指标名称 自定义威胁情报指标名称,命名规则如下: 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。 类型 选择指标类型。 威胁度 选择威胁度等级。
然后设置安全组,入向规则,使其对当前将要使用的队列放开,并根据MySQL和kafka的地址测试队列连通性。若能连通,则表示跨源已经绑定成功;否则表示未成功。 在MySQL的flink数据库下创建表order_count,创建语句如下: CREATE TABLE `flink`.
威胁运营 安全编排 数据采集 数据集成 目录定制 安全云脑 安全云脑(SecMaster)是华为云原生的云安全运营平台,集华为云多年安全经验,基于云原生安全,提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力,可以鸟瞰整个云上安全,精简云安全配置、云防护策略的设置与维护
图2 进入安全分析页面 在左侧数据空间导航栏中,单击数据空间名称,展开数据管道后,单击目标管道名称后的“更多 > 投递”,右侧弹出现在数据投递设置页面。 图3 进入投递设置页面 (可选)在弹出的授权提示中,确认无误后,单击“确定”,完成授权。
如果Web服务器的应用漏洞无法修复,您可以通过配置安全组规则,限制只可内网访问,或使用WAF防护(只能降低风险,通过内网渗透或规则绕过依然有被入侵的风险)。
设置最小授权范围,请选择“所有资源”,设置完成后,单击“确定”。 添加成功后显示如下: 将操作账号用户添加到用户组中。 在左侧导航栏选择“用户组”,进入用户组页面。 在“SecMaster_ops”用户组所在行“操作”列,单击“用户组管理”。
批量阻断/批量取消阻断 操作场景 新增阻断时将设置某个IP地址或IP地址段/或IAM用户,如果该阻断也适用于其他操作连接,可以进行批量阻断操作。同时,配置阻断时将设置某个IP地址或IP地址段/或IAM用户,如果该阻断已不适用,可以进行批量取消阻断操作。
图1 进入目标工作空间管理页面 (可选)在左侧导航栏选择“设置 > 数据集成”,进入数据集成页面后,在安全云脑所在行“审计相关日志”列,开启合规基线日志设置。 每个Region的首个工作空间可自动加载当前Region所有数据,无需手动处理。
忽略检查项:如果您对某个检查项有其他检查要求(例如,“会话超时策略检查”检查项中检查会话时限是否设置为15分钟,而您的需求为会话时限是否设置为20分钟)或不需要对某检查项进行检查,可以执行忽略操作。 导入检查结果:将线上检查结果导出至本地。
在创建用户组页面,设置用户组名称和描述信息。 用户组名称:请设置为“租户采集用户组”。 描述:自定义描述信息即可。 单击“确定”。 添加权限。 在左侧导航栏选择“权限管理 > 权限”,并在权限页面右上角单击“创建自定义策略”。 配置策略。
在资产管理页面中,单击页面右上角“资产订阅设置”,右侧弹出订阅资产设置页面。 在订阅资产设置页面中,在需要订阅资产所在的region所在行“是否开通”列开启订阅。 单击页面右下角的“确认”。 订阅后,资产信息将在一分钟内同步展示。
解析器:Logstash配置的基础概念,主要为Logstash的filter部分,安全云脑解析器是对其filter部分的无码化封装和定制,用户只需在页面上配置解析器规则即可生成原生的filter配置脚本,从而轻松实现将原始日志转化为目标格式。
名称规则如下: 可输入英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(_)。 长度不能超过64个字符。 描述 可选参数,输入资产描述,描述信息长度不能超过64个字符。 插件 选择资产连接所需的插件。插件详细信息请参见查看插件详情。
剧本ID 最小长度:0 最大长度:64 playbook_version_id String 剧本版本ID 最小长度:0 最大长度:64 project_id String 项目ID 最小长度:0 最大长度:64 表8 RuleInfo 参数 参数类型 描述 id String 规则
剧本ID 最小长度:0 最大长度:64 playbook_version_id String 剧本版本ID 最小长度:0 最大长度:64 project_id String 项目ID 最小长度:0 最大长度:64 表7 RuleInfo 参数 参数类型 描述 id String 规则
(false:未激活, true:已激活) status 否 String 状态(APPROVING:审核中,EDITING-编辑中,UNPASSED-审核未通过,PUBLISHED-已发布) 最小长度:0 最大长度:64 rule_id 否 String 规则ID 最小长度:0
自动响应:内置规则使SIEM能够识别和阻止可能的威胁,无需人员交互。 另请务必注意,单靠SIEM不足以保护组织。用户需要将SIEM与其他系统集成,为基于规则的检测定义参数,并评估警报。正因为如此,定义SOC策略和聘用适当的员工至关重要。
名称规则如下: 可输入英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(_)。 长度不能超过64个字符。 描述 可选参数,输入资产连接描述,描述信息长度不能超过64个字符。 插件 选择资产连接所需的插件。插件相关介绍请参见查看插件详情。
20048005 剧本审核不通过,不能激活 400 SecMaster.20048006 剧本ID错误 400 SecMaster.20048007 剧本版本ID错误 400 SecMaster.20048008 剧本动作ID错误 400 SecMaster.20048009 剧本规则
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
