安全云脑

操作场景

安全云脑（SecMaster）是华为云原生的新一代安全运营中心，旨在为用户提供一站式的云上安全管理解决方案。通过安全云脑，用户可以实现对云上资产、安全态势、安全信息和事件的集中管理，从而提升安全运营效率和响应速度。

本文档将以首次在华北-北京四区域购买如下配置的安全云脑，并使用首个工作空间的默认配置进行安全运营的场景为例进行介绍：

• 计费模式：包周期
• 版本：基础版
• 主机配额：50

此场景的操作流程如下所示：

图1 操作流程

操作流程

准备工作

1. 在购买SecMaster之前，请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。

   如果您已开通华为云并进行实名认证，请忽略此步骤。

2. 请保证账户有足够的资金，以免购买SecMaster失败。具体操作请参见账户充值。
3. 请确保已为账号赋予“SecMaster FullAccess”权限。具体操作请参见创建用户并授权使用SecMaster。

   购买安全云脑时，还需要为账号授予“BSS Administrator”权限。

步骤一：购买安全云脑基础版

安全云脑提供了“基础版”、“标准版”、“专业版”供您使用，包括 态势感知 、基线检查、查询与分析以及安全编排等功能。

本步骤以购买基础版为例进行参数设置及介绍，更多购买安全云脑详细配置请参见购买安全云脑。

1. 登录华为云管理控制台。
2. 在页面上方选择区域后，在服务列表中选择“ 安全与合规 > 安全云脑 SecMaster”，进入安全云脑控制台。
3. 在总览页面中，单击“购买安全云脑”后，在弹出的访问授权页面中，勾选同意授权并单击“确认”。
4. 在购买安全云脑页面，配置购买参数。

   本示例中仅解释必要参数，其他参数请根据实际情况进行选择。

   表1 购买安全云脑参数配置说明

   参数	示例	说明
   计费模式	包周期	选择安全云脑的计费模式。 包周期：一种预付费模式，即先付费再使用，按照订单的购买周期进行结算。购买周期越长，享受的折扣越大。 按需：一种后付费模式，即先使用再付费，按照实际使用时长计费，秒级计费，按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用，无需提前预置资源，从而降低预置过多或不足的风险。
   区域	华北-北京四	根据已有云上资源所在的区域选择安全云脑的区域。
   版本	基础版	安全云脑提供有基础版、标准版、专业版供您选择，请根据您的需求进行选择，各版本的功能差异请参见产品功能。
   配额数	1	配额数是指支持防护的最大 ECS 主机资产数量。请根据当前账户下所有E CS 主机资产总数设置配额数，可设置最大主机配额需等于或大于当前账户下主机总数量，且不支持减少。 配额数最大限制为10000台。 为避免主机资产在防护份额外，不能及时感知攻击威胁，而造成数据泄露等安全风险。当主机资产数量增加后，请及时增加配额数。
   购买时长	1个月	根据需求选择购买时长。

5. 确认参数配置无误后，在页面右下角单击“立即购买”。
6. 确认订单详情无误后，阅读并勾选《安全云脑服务(SecMaster)免责声明》，单击“去支付”。
7. 在支付页面，选择付款方式完成付款，完成购买操作。
8. 单击“返回安全云脑控制台”，返回安全云脑控制台页面。

步骤二：新增工作空间

工作空间（ Workspace ）属于安全云脑顶层工作台，使用安全云脑功能前，需要先新增工作空间。

步骤三：安全运营

首个工作空间新增完成后，安全云脑将自动进行空间初始化操作。初始化完成后，将可以进行体验安全云脑功能。

1. 管理资产与风险

   安全运营的本质指安全风险管理，根据ISO的定义，其三要素包括“资产”，“脆弱性”和“威胁”。因此，梳理您要防护的资产，是安全运营的业务流起点。

   • 资产管理

     安全云脑可以帮助您将云上资产从不同租户、不同Region汇集到一个视图中，还可以将云外资产导入到安全云脑中，并标记其所属的环境。汇聚后，将资产的风险情况标识出来，例如：是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务（例如：ECS上应该安装 HSS 的Agent、域名应纳入到 WAF 的防护策略中）等，方便查看资产的安全状态。

     更多详细介绍及操作请参见资产管理。

   • 检查并清理不安全的配置

     在安全运营过程中，最常见的“脆弱性”是不安全的配置。安全云脑基于安全合规经验，形成自动化检查的基线，按照业界通用的规范标准，提供基线检查包。

     • 提供了多种基线标准。
     • 云服务中的配置可以自动检查。如： IAM 是否按角色进行授权分数、 VPC 的安全组中是否存在完全放通的策略、WAF的防护策略是否开启等。您可以根据“详情”中建议的方法，对配置进行加固。

     更多详细介绍及操作请参见安全治理、基线检查。

2. 使用总览仪表盘展示当前工作空间中资源的安全评分，快速了解当前的安全状况。

   更多详细介绍及操作请参见态势总览。

相关信息

体验安全云脑基础版后，如果需要运用安全云脑进行高效运营，并灵活融合业务需求，可以选购标准版或专业版，进一步接入多样化的数据源，激活全方位的模型与剧本功能，以实现更深层次、更全面的分析与运营策略制定：

• 接入日志数据：接入华为云云服务日志数据，以统一管理日志信息，以及检索并分析所有收集到的日志，可以实时监控系统和网络的安全状态，及时发现异常行为和潜在威胁。
• 采集数据：接入非华为 云日志 数据，整合和分析来自不同来源的信息，从而提供更全面的安全视角，可以更深入、全面地分析，方便快速定位系统故障的原因，加速问题解决过程。
• 漏洞管理：在修复配置类风险之后，安全云脑还可以发现并修复安全漏洞。支持检测Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞、网站漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解漏洞情况。
• 查看告警信息：威胁检测模型分析大量的安全云服务日志，找到疑似入侵的行为，即告警。安全云脑中的告警包含如下字段：名称、等级、发起可疑行为的资产/威胁、遭受可疑行为的资产。安全运营人员需要对告警做出分析判定。如果风险较低，则关闭告警（如：重复告警、运维操作）；如果风险较高，需要单击“转事件”，将告警转为事件。
• 查看事件信息：告警转成事件后，就可以在事件管理中查看到生成的事件，事件生成后可以进行调查分析，分析后对事件发起应急响应。您可以在事件上关联与可疑行为相关的实体：资产（如：VM）、情报（如：攻击源IP）、账号（如：泄露的账号）、进程（如：木马）等；也可以关联历史上相似的其他告警或事件。
• 新建告警模型：利用模型对管道中的日志数据进行监控，如果检测到有满足模型中设置触发条件的内容时，将产生告警提示。
• 安全分析：提供了日志数据检索功能，帮助筛选威胁。
• 启用剧本：通过剧本实现安全事件的高效、自动化响应处置，降低安全事件的平均响应时间（MTTR），提高整体的安全防护能力。
• 配置防线策略：通过配置防线策略，联动其他安全服务，以便构建一个多层次、全方位的安全防护体系。
• 新增应急策略：通过配置应急策略，可以迅速有效地应对网络安全威胁，限制或阻止来自特定IP地址的访问，从而保护网络资源和用户数据的安全。
• 创建安全报告：可以自动发送安全态势报告，展示安全评分、基线检查结果、安全漏洞、策略覆盖等信息，方便及时掌握资产的安全状况数据。
• 安全大屏：查看资源的实时态势并处理攻击事件等，可以帮助安全运营团队实时监控和分析各种安全威胁和事件，从而做出快速响应。