华为云用户手册

数据投递授权相关操作 在跨租投递权限授权页面可以对投递权限进行拒绝和取消授权操作： 表4 跨租投递权限管理 操作 具体操作方法 拒绝 在目标投递任务所在行“操作”列，单击“拒绝”。 如需批量拒绝授权，可以勾选所有需要拒绝的任务，然后单击列表左上角的“拒绝”。 取消 在目标投递任务所在行“操作”列，单击“取消”。 如需批量取消授权，可以勾选所有需要取消的任务，然后单击列表左上角的“取消”。 在弹出的确认框中，单击“确定”。

语法支持的类型 SecMaster SQL语法支持的类型如下： STRING，BOOLEAN，BYTES，DECIMAL，TINYINT，SMALLINT，INTEGER，BIGINT，FLOAT，DOUBLE，DATE，TIME，TIMESTAMP，TIMESTAMP WITH LOCAL TIME ZONE，INTERVAL，ARRAY，MULTISET，MAP，ROW。 注意事项 SecMaster SQL兼容Flink 1.7.2版本SQL语法。 Flink SQL 对于标识符（表、属性、函数名）有类似于 Java 的词法约定： 不管是否引用标识符，都保留标识符的大小写。 且标识符需区分大小写。 与 Java 不一样的地方在于，通过反引号，可以允许标识符带有非字母的字符（如："SELECT a AS `my field` FROM t"）。 字符串文本常量需要被单引号包起来（如 SELECT 'Hello World' ）。两个单引号表示转义（如 SELECT 'It''s me.'）。字符串文本常量支持 Unicode 字符，如需明确使用 Unicode 编码，请使用以下语法： 使用反斜杠（\）作为转义字符（默认）：SELECT U&'\263A' 使用自定义的转义字符： SELECT U&'#263A' UESCAPE '#' 慎用正则函数（REGEXP） 正则表达式是非常耗时的操作，对比加减乘除通常有百倍的性能开销，而且正则表达式在某些极端情况下可能会进入无限循环，导致作业阻塞，因此建议使用LIKE。正则函数包括： REGEXP REGEXP_REPLACE 父主题： SecMaster SQL语法参考

分析语句语法 完整的分析语句语法如下： 1234 SELECT [DISTINCT] (* | expression) [AS alias] [, ...][GROUP BY expression [, ...] [HAVING predicates]][ORDER BY expression [ASC | DESC] [, ...]][LIMIT size OFFSET offset] 其中，HAVING子句用于指定过滤分组结果（GROUP BY）或聚合计算结果的条件。本章节内容将介绍HAVING语法参数说明及示例。

示例流程 图1 给用户授予SecMaster权限流程 创建用户组并授权 在 IAM 控制台创建用户组，并授予 安全云脑 的权限“SecMaster FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在服务列表中选择除安全云脑外（假设当前策略仅包含“SecMaster FullAccess”）的任一服务，如果提示权限不足，表示“SecMaster FullAccess”已生效。

前提条件 给用户组授权之前，请您了解用户组可以添加的SecMaster权限，并结合实际需求进行选择，SecMaster支持的系统权限，请参见SecMaster系统权限。如果您需要对除SecMaster之外的其它服务授权，IAM支持服务的所有权限请参见系统权限。 如表1所示，包括了SecMaster的所有系统权限。 表1 SecMaster系统权限 系统角色/策略名称 描述 类别 SecMaster FullAccess 安全云脑的所有权限。 系统策略 SecMaster ReadOnlyAccess 安全云脑只读权限，拥有该权限的用户仅能查看安全云脑数据，不具备安全云脑配置权限。 系统策略

Union/Union ALL/Intersect/Except 语法格式 1 query UNION [ ALL ] | Intersect | Except query 语法说明 UNION返回多个查询结果的并集。 Intersect返回多个查询结果的交集。 Except返回多个查询结果的差集。 注意事项 集合运算是以一定条件将表首尾相接，所以其中每一个SELECT语句返回的列数必须相同，列的类型一定要相同，列名不一定要相同。 UNION默认是去重的，UNION ALL是不去重的。 示例 输出Orders1和Orders2的并集，不包含重复记录。 12 SELECT * FROM Orders1 UNION SELECT * FROM Orders2;

IN 语法格式 123 SELECT [ ALL | DISTINCT ] { * | projectItem [, projectItem ]* } FROM tableExpression WHERE column_name IN (value (, value)* ) | query 语法说明 IN操作符允许在where子句中规定多个值。若表达式在给定的表子查询中存在，则返回 true 。 注意事项 子查询表必须由单个列构成，且该列的数据类型需与表达式保持一致。 示例 输出Orders中NewProducts中product的user和amount信息。 12345 SELECT user, amountFROM OrdersWHERE product IN ( SELECT product FROM NewProducts);

log4j2日志配置 图2 log4j2.properties 表2 log4j2日志配置 配置项 配置类型 默认值 配置说明 appender.json_console_slowlog.layout.compact boolean true 是否开启json慢日志输出 appender.json_console_slowlog.layout.type string JSONLayout 追加json慢日志布局类型，采用默认值即可 appender.json_console_slowlog.type string Console 追加json慢日志类型，默认值Console，表示直接打印在控制台 appender.json_console_slowlog.layout.eventEol boolean true 是否开启json慢日志输出自动换行 appender.json_console_slowlog.name string json_console_slowlog json慢日志输出的名称，采用默认值即可

jvm运行内存配置 图1 jvm.options 表1 jvm运行内存配置 配置项 配置类型 默认值 配置说明 -Djava.awt.headless boolean true 服务端配置，在缺少设备（键盘或鼠标等）下可运行，用于数据类服务 -XX:+UseConcMarkSweepGC boolean false 是否使用CMS垃圾回收器回收采集器运行时堆内存生成的对象 -Xmn string 1024M 采集器堆内存中年轻代占用的大小，如果采集压较大力时，可适当调整，年轻代空间越大，内存回收次数越少，采集效率越高。Xmn必须小于等于Xmx -Xmx string 2048M 采集器堆空间的最大值，合理设置这个参数可以避免JVM过度消耗系统资源，从而提高应用程序的稳定性和性能。此值设置过低会导致采集器频繁进行内存回收，影响正常采集能力 -Djruby.jit.threshold number 0 表示方法调用的次数，当达到这个次数时，JRuby 的 JIT 编译器会尝试编译该方法的本地代码。设置这个值可以帮助平衡启动时间（编译成本）和执行时性能 -XX:CMSInitiatingOccupancyFraction number 75 CMS垃圾收集器，当老年代达到75%时，触发CMS垃圾回收 -Xms string 20248M 用于设置Java堆内存的初始大小。在JVM启动时，它将尝试分配指定数量的内存给堆。合理设置这个参数可以避免在应用程序运行过程中频繁地调整堆大小，从而提高性能。

操作场景 安全云脑联动Astro大屏应用（Astro Canvas，简称AstroCanvas），支持指标自定义接入，页面零代码开发，数据分钟级接入。 AstroCanvas以数据可视技术为核心，以屏幕轻松编排，多屏适配可视为基础，帮助非专业开发者通过图形化界面轻松搭建专业水准的 数据可视化 大屏应用，满足项目运营管理、业务监控、风险预警等多种业务场景下的一站式数据实时可视化大屏展示需求，更多AstroCanvas详细介绍请参见什么是Astro大屏应用。 本章节介绍如何升级为自定义大屏，以及新增自定义大屏。 （可选）升级为自定义大屏：如果需要使用AstroCanvas大屏，且购买安全云脑时未进行购买，请参考此步骤进行处理。 新增自定义大屏：购买AstroCanvas大屏后，可以根据需要新增自定义展示大屏。

分析语句语法 完整的分析语句语法如下： 1234 SELECT [DISTINCT] (* | expression) [AS alias] [, ...][GROUP BY expression [, ...] [HAVING predicates]][ORDER BY expression [ASC | DESC] [, ...]][LIMIT size OFFSET offset] 其中，ORDER BY表示按字段值排序。本章节内容将介绍ORDER BY语法参数说明及示例。

分析语句语法 完整的分析语句语法如下： 1234 SELECT [DISTINCT] (* | expression) [AS alias] [, ...][GROUP BY expression [, ...] [HAVING predicates]][ORDER BY expression [ASC | DESC] [, ...]][LIMIT size OFFSET offset] 其中，SELECT表示指定查询的字段。本章节内容将介绍SELECT语法参数说明及示例。

使用*查询所有字段 1 SELECT * 表1 使用*查询所有字段 account_number firstname gender city balance employer state lastname age 1 Amber M Brogan 39225 Pyrami IL Duke 32 16 Hattie M Dante 5686 Netagy TN Bond 36 13 Nanette F Nogal 32838 Quility VA Bates 28 18 Dale M Orick 4180 null MD Adams 32

SecMaster自定义策略样例 示例1：授权用户搜索告警列表、权限执行分析 1 2 3 4 5 6 7 8 9101112 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "secmaster:alert:list", "secmaster:search:createAnalysis" ] } ]} 示例2：拒绝用户修改告警配置信息 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予“SecMaster FullAccess”的系统策略，但不希望用户拥有“SecMaster FullAccess”中定义的修改告警配置的权限，您可以创建一条拒绝修改告警类型的自定义策略，然后同时将“SecMaster FullAccess”和拒绝策略授予用户，根据Deny优先原则，则用户可以对SecMaster执行除了修改告警类型外的所有操作。拒绝策略示例如下： 1 2 3 4 5 6 7 8 91011 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "secmaster:alert:updateType" ] } ]} 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： 1 2 3 4 5 6 7 8 910111213141516171819 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "secmaster:alert:get", "secmaster:alert:update" ] }, { "Effect": "Allow", "Action": [ "hss:vuls:set", "hss:vuls:list" ] } ]}

分析语句语法 完整的分析语句语法如下： 1234 SELECT [DISTINCT] (* | expression) [AS alias] [, ...][GROUP BY expression [, ...] [HAVING predicates]][ORDER BY expression [ASC | DESC] [, ...]][LIMIT size OFFSET offset] 其中，GROUP BY表示按值分组。本章节内容将介绍GROUP BY语法参数说明及示例。

目的连接器 安全云脑租户采集连接器，目前支持的目的连接器类型如下表所示： 表8 目的连接器类型 连接器名称 对应的logstash插件 描述 传输控制协议 TCP tcp 用于发送TCP协议日志，配置规则请参见表9。 用户数据协议 UDP udp 用于发送UDP协议日志，配置规则请参见表10。 消息队列 KAFKA kafka 用于将日志写入Kafka消息队列，配置规则请参见表11。 对象存储 OBS obs 用于写日志到 对象存储OBS 桶中，配置规则请参见表12。 云脑管道 PIPE pipe 用于将日志写入安全云脑管道中，配置规则请参见表13。 表9 tcp连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 端口 port number 1025 是 端口 解码类型 codec string plain 是 解码类型，json_lines或者plain plain：读取原始内容 json_lines：处理json格式内容 主机地址 host string 192.168.0.66 是 host地址 注：与节点网络互通 ssl证书 ssl_cert file -- 否 ssl_cert证书 是否SSL ssl_enable boolean false 否 是否开启ssl ssl-key文件 ssl_key file -- 否 ssl_key文件 ssl密钥 ssl_key_passphrase string -- 否 ssl_key_passphrase密钥 表10 udp连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 主机地址 host string -- 是 主机地址 注：与节点网络互通 端口 port number 1025 是 端口 解码类型 codec string json_lines 是 解码类型，json_lines或者plain plain：读取原始内容 json_lines：处理json格式内容 重试次数 retry_count number 3 否 重试次数 重试延迟毫秒数 retry_backoff_ms number 200 否 重试延迟毫秒数 表11 kafka连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 服务地址 bootstrap_servers string -- 是 服务地址eg:192.168.21.21:9092,192.168.21.24:9999 主题 topic_id string logstash 是 主题 解码类型 codec string plain 是 解码类型，json或者plain 请求体最大长度 max_request_size number 10485760 是 请求体最大长度 SSL证书 ssl_truststore_location file -- 否 SSL证书 当选择SSL相关协议时需要填写该参数 SSL密钥 ssl_truststore_password string -- 否 SSL密钥 当选择SSL相关协议时需要填写该参数 安全协议 security_protocol string PLAINTEXT 否 安全协议 sasl连接配置 sasl_jaas_config string -- 否 sasl连接配置 是否加密 is_pw_encrypted string true 否 是否加密 sasl机制 sasl_mechanism string PLAIN 否 sasl_mechanism 其中，“sasl连接配置”需要根据kafka规格进行填写。示例如下： 明文连接配置 org.apache.kafka.common.security.plain.PlainLoginModule required username='kafka用户' password='kafka密码'; 密文连接配置 org.apache.kafka.common.security.scram.ScramLoginModule required username='kafka用户名' password='kafka密码'; 表12 obs连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 region region string cn-north-4 是 region 桶 bucket string demo-obs-sec-mrd-datas 是 桶名 endpoint endpoint string https://obs.huawei.com 是 endpoint 缓存文件夹 temporary_directory string /temp/logstash/ 是 缓存路径 编码类型 codec string plain 否 编码格式plain或者json AK ak string -- 否 AK SK sk string -- 否 SK 前缀 prefix string test 否 路径前缀 编码格式 encoding string gzip 否 编码格式gzip或者纯文件 记忆路径 sincedb_path string /opt/cloud/logstash/pipeline/file_name 否 用于设置读取的位置信息，防止重启导致的全文遍历 表13 pipe连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 类型 type string 租户 是 类型 管道 pipeId string -- 是 管道 AK ak string -- 是 AK 选择平台类型需填写该参数 SK sk string -- 是 SK 选择平台类型需填写该参数 域账户 domain_name string domain_name 是 iam账户domain_name 选择租户类型需填写该参数 用户名 user_name string user_name 是 iam账户user_name 选择租户类型需填写该参数 密码 user_password string -- 是 iam账户user_password 选择租户类型需填写该参数 压缩类型 compression_type string NONE 否 报文压缩类型 队列满阻止 block_if_queue_full boolean true 否 队列满阻止进入 启用批处理 enable_batching boolean true 否 是否开启批处理

源连接器 安全云脑租户采集连接器，目前支持的源连接器类型如下表所示： 表1 源连接器类型 连接器名称 对应的logstash插件 描述 传输控制协议 TCP tcp 用于接收TCP协议日志，配置规则请参见表2。 用户数据协议 UDP udp 用于接收UDP协议日志，配置规则请参见表3。 对象存储 OBS obs 用于读取对象存储OBS桶的日志数据，配置规则请参见表4。 消息队列 KAFKA kafka 用于读取Kafka网络日志数据，配置规则请参见表5。 云脑管道 PIPE pipe 用于将安全云脑数据外发到租户侧，配置规则请参见表6。 Elasticsearch CSS elasticsearch 用于读取ES集群的数据，配置规则请参见表7。 表2 tcp连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 端口 port number 1025 是 采集节点端口号 解码类型 codec string plain 是 编码格式 plain：读取原始内容 json：处理json格式内容 报文标签 type string tcp 是 用于对日志标签 是否SSL ssl_enable boolean false 否 是否开启ssl认证 ssl证书 ssl_cert file null 否 cert证书 ssl-key文件 ssl_key file -- 否 ssl-key文件 ssl密钥 ssl_key_passphrase string -- 否 ssl证书密钥 表3 udp连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 端口 port number 1025 是 采集节点端口号 解码类型 codec string plain 是 解码类型 plain：读取原始内容 json：处理json格式内容 报文标签 type string udp 否 报文标签，用于后续处理的标记 队列大小 queue_size number 20000 否 队列大小 接收缓冲区字节数 receive_buffer_bytes number 20000 否 接收缓冲区字节数 缓冲区大小 buffer_size number 10000 否 缓冲区大小 工作线程 workers number 1 否 工作线程数 表4 obs连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 region region string cn-north-4 是 region 桶 bucket string demo-obs-sec-mrd-datas 是 对象桶名 endpoint endpoint string https://obs.huawei.com 是 endpoint地址，注意要添加https AK ak string -- 否 AK SK sk string -- 否 SK 前缀 prefix string /test 否 日志读的文件夹前缀 缓存文件夹 temporary_directory string /temp 否 日志读取时，缓存的文件夹 报文标签 type string -- 否 报文标签 记忆路径 sincedb_path string /opt/cloud/logstash/pipeline/file_name 否 用于设置读取的位置信息，防止重启导致的全文遍历 表5 kafka连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 服务地址 bootstrap_servers string -- 是 服务地址 主题 topics array logstash 是 主题，可同时消费多个主题 消费线程 consumer_threads number 1 是 消费线程 偏移复位 auto_offset_reset string latest 否 偏移复位 earliest：读取最早的消息 latest：读取最新的消息 SSL证书 ssl_truststore_location file -- 否 SSL证书 当选择SSL相关协议时需要填写该参数 SSL密钥 ssl_truststore_password string -- 否 SSL密钥 当选择SSL相关协议时需要填写该参数 安全协议 security_protocol string SASL_SSL 否 安全协议 sasl连接配置 sasl_jaas_config string -- 否 sasl连接配置 是否加密 is_pw_encrypted string false 否 是否加密 sasl机制 sasl_mechanism string PLAIN 否 sasl_mechanism 分组Id group_id string -- 否 group_id 其中，“sasl连接配置”需要根据kafka规格进行填写。示例如下： 明文连接配置 1 org.apache.kafka.common.security.plain.PlainLoginModule required username='kafka用户' password='kafka密码'; 密文连接配置 1 org.apache.kafka.common.security.scram.ScramLoginModule required username='kafka用户名' password='kafka密码'; 表6 pipe连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 类型 type string 租户 是 类型 管道 pipeId string -- 是 管道id 域账户 domain_name string domain_name 是 iam账户domaionName 用户名 user_name string user_name 是 iam账户user_name 密码 user_password string -- 是 iam账户user_password 订阅类型 subscription_type string true 否 订阅类型 Shared：共享模式 Exclusive：独占模式 Failover：灾备模式 订阅初始位置 subscription_initial_position string true 否 订阅初始位置 表7 elasticsearch连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 主机地址 hosts array -- 是 主机地址 索引 index string -- 是 索引 检索语句 query string -- 是 检索语句 用户名 user string -- 是 用户名 密码 user_password string -- 是 密码 查询数量 size number 20 是 查询数量 卷 scroll string 5m 是 卷 文档信息 docinfo boolean true 是 文档信息 是否配置加密 is_pw_encrypted boolean true 是 是否配置加密 是否SSL ssl boolean true 否 是否SSL 证书文件 ca_file file -- 否 证书文件 是否SSL证书校验 ssl_certificate_verification boolean true 否 是否SSL校验

事件类型：勒索软件攻击 勒索软件（Ransomware）又称勒索病毒，是一种特殊的恶意软件，属于“阻断访问式攻击”（denial-of-access attack）的一种。它通过技术手段限制受害者访问自己的系统或系统内的数据，如文档、邮件、数据库、源代码等，以此达到勒索钱财的目的。 一旦勒索软件对系统攻击成功后，再对系统实行中断攻击并减轻损害的措施是有限，并且极具挑战性的。因此，关注预防措施以减少此类攻击显得至关重要。 本文档介绍了一系列旨在有效管理和应对勒索软件攻击的步骤和策略。

事件响应流程 获取、保存、记录证据。 根据您的华为云环境的配置情况，您可能通过各种来源了解到潜在的勒索软件事件： 某IT员工反馈，通过SSH及其他类似方式无法访问E CS 实例。 ECS实例创建正常，华为云的 云监控 （Cloud Eye）或其他监控工具也没有上报告警，但依然无法访问ECS实例。 由ECS实例的异常指标或异常日志触发生成一个工单在您的工单系统中。 ECS实例在华为云控制台或云监控的告警中上报网络异常问题。 攻击者通过其他通信渠道（如电子邮件）收到勒索软件的请求。 通过华为 云安全 服务或其他安全工具发现ECS实例遭受到攻击。 您的华为云或者其他第三方监控系统发出告警或显示指标异常。 当确认某个事件为安全事件后，评估其影响范围至关重要，包括受影响资源的数量和所涉及数据的敏感性。 排查是否有任何已知事件可能导致服务中断或影响实例指标，例如，由于正在进行的事件导致云监控中的网络指标增加。 使用云监控或其他应用程序性能监控工具将记录的应用程序的性能基线指标与当前异常指标进行对比，判断是否存在异常行为。 确定存储在ECS实例、OBS桶或其他存储中的数据的分类级别。 请确保已为该事件创建工单。如果未创建，请手动创建一个。 如果为已有工单，请确定当前指示问题的告警或指标是什么。 如果工单是由告警或指标触发自动生成的工单，可明确其自动生成工单的什么的原因；如果工单非自动生成，则记录导致识别问题的告警或通知。确认服务中断是由已知事件还是其他原因造成的，如果不能判断，则记录攻击的实际媒介。 使用日志搜索来确定勒索攻击发生的时间。 可以使用华为云的 云审计 服务（Cloud Trace Service）服务，它提供对各种云资源操作记录的收集、存储和查询功能。 确定并记录对最终用户的影响及其体验。 如果用户受到影响，请在工单中记录导致攻击事件的详细步骤，以帮助识别攻击媒介并制定适当的缓解策略。 根据您企业/组织的事件响应计划确定事件涉及的角色。通知相关角色，包括法务人员、技术团队和开发人员，并确保他们被添加到工单和WarRoom中持续响应该事件。 确保您的组织的法律顾问了解并参与到事件的内部响应和外部沟通中，并将负责公共或外部沟通的同事添加到工单中，以便他们能够及时履行其沟通职责。如果地方或联邦法规要求报告此类事件，请通知有关当局，并向其法律顾问或执法部门寻求关于收集证据和保存监管链的指导。如果法规没有要求，向开放数据库、政府机构或非政府组织报告此类事件也可能有助于推进响应此事件。 控制事件。 尽早检测异常用户行为或网络活动是减少勒索软件事件影响的关键。可以参考以下步骤来帮助您控制事件。如果以下步骤适用，请与您的企业/组织的法律和合规团队合作，采取任何必要的响应措施，并继续进行事件响应流程。 确定攻击事件中涉及的勒索软件的类型。常见的勒索软件类型如下： 加密勒索软件：加密文件和对象。 锁定勒索软件：锁定对设备的访问。 其他类型：新类型或以前未记载的类型。 受攻击影响的工作负载，对于已识别出的与其相关联的华为云资源，可以通过修改安全组、OBS桶策略或相关身份和访问管理策略来隔离网络或互联网连接，以最大限度地减少感染传播的机会，或最大限度地减少攻击者访问这些资源的机会。 请注意，由于连接跟踪，有时修改安全组可能不会达到预期效果。 评估ECS实例是否需要恢复。如果该实例属于弹性伸缩组，则请从组中移除该实例。此外，如果事件与主机操作系统中的漏洞有关，请更新系统并确保已修补漏洞。 通过云审计服务查看操作日志，查看是否存在未经授权的活动，例如，创建未经授权的IAM用户、策略、角色或临时安全凭证。如果有，请删除任何未经授权的IAM用户、角色和策略，并撤销所有临时凭据。 如果攻击媒介是由未修补的软件、操作系统更新、过期的恶意软件或防病毒工具造成的，请确保所有ECS实例都更新到最新版本的操作系统，所有软件包和补丁程序都是最新的，并且所有ECS实例上的病毒特征码和定义文件都是最新的。您可以通过如下方式进行处理：针对可变架构，请立即进行修补；针对不可变架构，请进行重新部署。 根据5中的更新，删除被识别为有感染风险的所有剩余资源（可能访问了下载勒索软件的同一媒介，无论是通过电子邮件、访问受感染的网站，还是其他方式）。对于通过弹性伸缩管理的资源，重点识别攻击媒介，并采取措施防止其他资源通过同一媒介受到感染。 消除事件。 评估事件的影响是否仅限于环境的特定部分。如果能从备份或快照中恢复被勒索的数据，请参考备份或快照进行恢复。 请注意，在隔离的环境下调查事件以进行根本原因分析，对于实施控制措施以防止将来发生类似事件具有极大价值。 考虑使用最新的防病毒或防恶意软件来消除勒索软件。 请谨慎此操作，因为此操作可能会向攻击者发出警报。建议在隔离的取证环境中查看被锁定或加密的对象，例如，从受感染的ECS实例中删除网络访问权限。 删除在取证分析过程中识别到的所有恶意软件，并识别入侵指标。 如果已确定勒索软件毒种，请检查是否有可用的第三方解密工具或其他可能有助于解密数据的在线资源。 从事故中恢复。 确定从备份执行的所有还原操作的还原点。 查看备份策略，以确定是否可以恢复所有对象和文件，这取决于在资源上应用的生命周期策略。 使用取证方法确认数据在恢复之前是安全的，然后从备份中恢复数据，或者恢复到ECS实例的早期快照。 如果您已成功使用任何开源解密工具恢复数据，请从实例中删除该数据，并执行必要的分析以确认数据是安全的。然后，恢复实例，终止或隔离实例并创建新的实例，并将数据还原至新实例中。 如果从备份恢复或解密数据都不可行，请评估在新环境中重新开始的可能性。 事故后活动。 将在模拟和现场事件中吸取的经验教训记录并应用到后续的流程和程序中，可以使受害方更好地了解事件是如何在系统配置和流程中发生的（例如，哪里存在弱点、哪里的自动化可能出现故障、哪里缺乏可见性），以及如何加强其整体安全态势。 如果您已经确定了最初的攻击媒介或进入点，请如何降低风险再次发生的最佳方法。 例如，如果恶意软件最初通过一个未修补的面向公众的ECS实例进入，并且您已将缺失的补丁程序应用于所有当前实例，请考虑如何改进补丁程序管理流程，旨在更快速和一致地测试和应用补丁程序，以防止将来出现类似问题。 如果您已经制定了解决特定威胁的技术步骤，请评估当检测到相关威胁时自动执行这些步骤的几率。使用自动化处理，可以帮助更快地减轻威胁，从而最大限度地减少影响的范围和严重性。 向响应过程中的所有角色收集其获得的经验教训，并根据需要更新您的事件响应计划、灾难恢复计划和本响应方案。同时，酌情考虑和资助新的技术能力和人员技能，以弥补已发现的差距。

安全大屏概述 在现场讲解汇报、实时监控等场景下，为了获得更好的演示效果，通常需要将安全云脑服务的分析结果展示在大型屏幕上。如果只是单纯将控制台界面放大显示，视觉效果并不是很理想。此时可以利用安全大屏，展示专为大型屏幕设计的服务界面，获得更清晰的态势信息和更好的视觉效果。安全云脑默认提供如下安全大屏： 综合态势感知大屏：可以还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力，实现一屏全面感知。 值班响应大屏：可以查看未处理告警、事件、漏洞、基线的总览情况，实现一屏全面感知。 资产大屏：可以查看资产总数、受攻击资产数、未防护资产数等总览情况，实现一屏全面感知。 威胁态势大屏：可以查看网络攻击次数、应用拦截次数、主机层拦截次数等总览情况，实现一屏全面感知。 脆弱性大屏：可以查看脆弱性资产、漏洞、基线、未防护资产等总览情况，实现一屏全面感知。 此外，安全云脑联动Astro大屏应用（Astro Canvas，简称AstroCanvas），支持指标自定义接入，页面零代码开发，数据分钟级接入。AstroCanvas以数据可视技术为核心，以屏幕轻松编排，多屏适配可视为基础，帮助非专业开发者通过图形化界面轻松搭建专业水准的数据可视化大屏应用，满足项目运营管理、业务监控、风险预警等多种业务场景下的一站式数据实时可视化大屏展示需求，更多AstroCanvas详细介绍请参见什么是Astro大屏应用。 安全云脑支持升级为自定义大屏，以及新增自定义大屏。 （可选）升级为自定义大屏：如果需要使用AstroCanvas大屏，且购买安全云脑时未进行购买，请参考此章节进行处理。 新增自定义大屏：购买AstroCanvas大屏后，可以根据需要新增自定义展示大屏。 父主题： 查看安全大屏

GROUP WINDOW 语法说明 Group Window定义在GROUP BY里，每个分组只输出一条记录，包括以下几种： 分组函数 表1 分组函数表 分组窗口函数 说明 TUMBLE(time_attr, interval) 定义一个滚动窗口。滚动窗口把行分配到有固定持续时间（ interval ）的不重叠的连续窗口。比如，5 分钟的滚动窗口以 5 分钟为间隔对行进行分组。滚动窗口可以定义在事件时间（批处理、流处理）或处理时间（流处理）上。 HOP(time_attr, interval, interval) 定义一个跳跃的时间窗口（在 Table API 中称为滑动窗口）。滑动窗口有一个固定的持续时间（ 第二个 interval 参数 ）以及一个滑动的间隔（第一个 interval 参数 ）。若滑动间隔小于窗口的持续时间，滑动窗口则会出现重叠；因此，行将会被分配到多个窗口中。比如，一个大小为 15 分组的滑动窗口，其滑动间隔为 5 分钟，将会把每一行数据分配到 3 个 15 分钟的窗口中。滑动窗口可以定义在事件时间（批处理、流处理）或处理时间（流处理）上。 SESSION(time_attr, interval) 定义一个会话时间窗口。会话时间窗口没有一个固定的持续时间，但是它们的边界会根据 interval 所定义的不活跃时间所确定；即一个会话时间窗口在定义的间隔时间内没有时间出现，该窗口会被关闭。例如时间窗口的间隔时间是 30 分钟，当其不活跃的时间达到30分钟后，若观测到新的记录，则会启动一个新的会话时间窗口（否则该行数据会被添加到当前的窗口），且若在 30 分钟内没有观测到新纪录，这个窗口将会被关闭。会话时间窗口可以使用事件时间（批处理、流处理）或处理时间（流处理）。 在流处理表中的 SQL 查询中，分组窗口函数的 time_attr 参数必须引用一个合法的时间属性，且该属性需要指定行的处理时间或事件时间。 time_attr设置为event-time时参数类型为timestamp(3)类型。 time_attr设置为processing-time时无需指定类型。 对于批处理的 SQL 查询，分组窗口函数的 time_attr 参数必须是一个timestamp类型的属性。 窗口辅助函数 可以使用以下辅助函数选择组窗口的开始和结束时间戳以及时间属性。 表2 窗口辅助函数表 辅助函数 说明 TUMBLE_START(time_attr, interval) HOP_START(time_attr, interval, interval) SESSION_START(time_attr, interval) 返回相对应的滚动、滑动和会话窗口范围内的下界时间戳。 TUMBLE_END(time_attr, interval) HOP_END(time_attr, interval, interval) SESSION_END(time_attr, interval) 返回相对应的滚动、滑动和会话窗口范围以外的上界时间戳。 注意： 范围以外的上界时间戳不可以 在随后基于时间的操作中，作为行时间属性使用，比如基于时间窗口的join以及分组窗口或分组窗口上的聚合。 TUMBLE_ROWTIME(time_attr, interval) HOP_ROWTIME(time_attr, interval, interval) SESSION_ROWTIME(time_attr, interval) 返回的是一个可用于后续需要基于时间的操作的时间属性（rowtime attribute），比如基于时间窗口的join以及 分组窗口或分组窗口上的聚合。 TUMBLE_PROCTIME(time_attr, interval) HOP_PROCTIME(time_attr, interval, interval) SESSION_PROCTIME(time_attr, interval) 返回一个可用于后续需要基于时间的操作的 处理时间参数，比如基于时间窗口的join以及分组窗口或分组窗口上的聚合. 辅助函数必须使用与GROUP BY 子句中的分组窗口函数完全相同的参数来调用。 示例 1 2 3 4 5 6 7 8 91011121314151617181920212223242526 // 每天计算SUM（金额）（事件时间）。SELECT name, TUMBLE_START(ts, INTERVAL '1' DAY) as wStart, SUM(amount) FROM Orders GROUP BY TUMBLE(ts, INTERVAL '1' DAY), name;// 每天计算SUM（金额）（处理时间）。SELECT name, SUM(amount) FROM Orders GROUP BY TUMBLE(proctime, INTERVAL '1' DAY), name;// 每个小时计算事件时间中最近24小时的SUM（数量）。SELECT product, SUM(amount) FROM Orders GROUP BY HOP(ts, INTERVAL '1' HOUR, INTERVAL '1' DAY), product;// 计算每个会话的SUM（数量），间隔12小时的不活动间隙（事件时间）。SELECT name, SESSION_START(ts, INTERVAL '12' HOUR) AS sStart, SESSION_END(ts, INTERVAL '12' HOUR) AS sEnd, SUM(amount) FROM Orders GROUP BY SESSION(ts, INTERVAL '12' HOUR), name;

OVER WINDOW Over Window与Group Window区别在于Over window每一行都会输出一条记录。 语法格式 1 2 3 4 5 6 7 8 91011 SELECT agg1(attr1) OVER ( [PARTITION BY partition_name] ORDER BY proctime|rowtime ROWS BETWEEN (UNBOUNDED|rowCOUNT) PRECEDING AND CURRENT ROW FROM TABLENAMESELECT agg1(attr1) OVER ( [PARTITION BY partition_name] ORDER BY proctime|rowtime RANGE BETWEEN (UNBOUNDED|timeInterval) PRECEDING AND CURRENT ROW FROM TABLENAME 语法说明 表5 参数说明 参数 参数说明 PARTITION BY 指定分组的主键，每个分组各自进行计算。 ORDER BY 指定数据按processing time或event time作为时间戳。 ROWS 个数窗口。 RANGE 时间窗口。 注意事项 所有的聚合必须定义到同一个窗口中，即相同的分区、排序和区间。 当前仅支持 PRECEDING (无界或有界) 到 CURRENT ROW 范围内的窗口、FOLLOWING 所描述的区间并未支持。 ORDER BY 必须指定于单个的时间属性。 示例 1 2 3 4 5 6 7 8 91011121314151617 // 计算从规则启动到目前为止的计数及总和(in proctime)SELECT name, count(amount) OVER (PARTITION BY name ORDER BY proctime RANGE UNBOUNDED preceding) as cnt1, sum(amount) OVER (PARTITION BY name ORDER BY proctime RANGE UNBOUNDED preceding) as cnt2 FROM Orders; // 计算最近四条记录的计数及总和(in proctime)SELECT name, count(amount) OVER (PARTITION BY name ORDER BY proctime ROWS BETWEEN 4 PRECEDING AND CURRENT ROW) as cnt1, sum(amount) OVER (PARTITION BY name ORDER BY proctime ROWS BETWEEN 4 PRECEDING AND CURRENT ROW) as cnt2 FROM Orders;// 计算最近60s的计数及总和(in eventtime),基于事件时间处理，事件时间为Orders中的timeattr字段。SELECT name, count(amount) OVER (PARTITION BY name ORDER BY timeattr RANGE BETWEEN INTERVAL '60' SECOND PRECEDING AND CURRENT ROW) as cnt1, sum(amount) OVER (PARTITION BY name ORDER BY timeattr RANGE BETWEEN INTERVAL '60' SECOND PRECEDING AND CURRENT ROW) as cnt2 FROM Orders;

语法说明 ROW_NUMBER(): 从第一行开始，依次为每一行分配一个唯一且连续的号码。 PARTITION BY col1[, col2...]: 指定分区的列，例如去重的键。 ORDER BY time_attr [asc|desc]: 指定排序的列。所指定的列必须为时间属性。目前仅支持proctime。升序（ ASC ）排列指只保留第一行，而降序排列（ DESC ）则只保留最后一行。 WHERE rownum = 1: Flink 需要 rownum = 1 以确定该查询是否为去重查询。

示例 根据order_id对数据进行去重，其中proctime为事件时间属性列。 123456 SELECT order_id, user, product, number FROM ( SELECT *, ROW_NUMBER() OVER (PARTITION BY order_id ORDER BY proctime ASC) as row_num FROM Orders) WHERE row_num = 1;

响应方案 针对以上背景，安全云脑提供的HSS文件隔离查杀剧本，自动隔离查杀恶意软件。 “HSS文件隔离查杀”剧本已匹配“HSS文件隔离查杀”流程，当有恶意软件和勒索软件告警生成时，通过判断受攻击资产HSS防护版本，版本为专业版或者高于专业版但未开启自动隔离查杀的就满足隔离查杀条件，人工审批进行隔离查杀，就会通过HSS文件隔离查杀进行告警处置，隔离软件成功，关闭告警。隔离失败，添加手动处理的评论，提示需要进行手动操作。 图1 HSS文件隔离查杀

事件响应 获取、保护、记录证据。 根据您华为云环境的配置，通过 企业主机安全 配置可通过AV检测和HIPS检测帮助您发现资产中的安全威胁，检测到恶意软件和勒索软件。 可通过SSH等方法访问云服务器，查看实例状态和监控等信息，查看是否有异常。或者通过其他方式收到攻击信息或勒索信息请求发现潜在威胁。 一旦确认攻击是事件，需要评估受影响范围、受攻击机器和受影响业务及数据信息。 通过安全云脑“转事件”能力，持续跟踪对应事件，记录所有涉及事件信息。详细操作请参见告警转事件。 同时可通过日志信息溯源，通过“安全分析”能力审核所有相关日志信息，在“事件管理”中记录存档，便于后续跟踪运营。 控制事件。 通过告警和日志信息，确定攻击类型、影响主机和业务进程信息。 通过HSS文件隔离查杀脚本对涉及进程软件进行进程查杀、软件隔离操作。降低后续影响。 排查感染范围，有感染风险都需要进行排查，一旦有沦陷及时处理控制。 同时也可使用其他剧本流程进行风险控制，比如“主机隔离”，通过安全组策略，从访问控制方面隔离受感染机器，隔离网络传播风险。 消除事件。 评估受影响机器是否需要加固恢复。如果已经沦陷，需要通过溯源结果加固恢复机器。如安全凭证泄露造成的攻击，则删除任何未经授权的IAM用户、角色和策略，并吊销凭据等操作进行主机加固。 对受感染机器可以进行风险排查，排查是否有漏洞、过时的软件、未修补的漏洞等，这些都可能会造成后续机器的持续沦陷，可以通过“漏洞管理”排查和修复处理对应机器漏洞；排查是否有风险配置，可以通过“基线检查”排查机器配置，针对有风险配置进行及时处理修复。 评估影响范围，如果已经有其他机器沦陷，需要同步处理所有影响主机。 从事故中恢复。 确定从备份执行的所有还原操作的还原点。 查看备份策略，以确定是否可以恢复所有对象和文件，这取决于在资源上应用的生命周期策略。 使用取证方法确认数据在恢复之前是安全的，然后从备份中恢复数据，或者恢复到ECS实例的早期快照。 如果您已成功使用任何开源解密工具恢复数据，请从实例中删除该数据，并执行必要的分析以确认数据是安全的。然后，恢复实例，终止或隔离实例并创建新的实例，并将数据还原至新实例中。 如果从备份恢复或解密数据都不可行，请评估在新环境中重新开始的可能性。 事故后活动。 通过整个告警处理流程中分析告警发生详细信息，持续运营优化模型，提升模型告警准确率。如判断是业务相关的，无风险的告警可以直接通过模型进行筛选。 通过溯源告警发生，更好的了解事件的整个流程，持续优化资产防护策略，降低资源风险，收缩攻击面。 通过告警事件处理，结合自己业务实际场景，优化自动化处理剧本流程，例如，通过分析之后告警准确率提升可替换人工审核策略，以全自动化替代，提升处理效率，更快速的对风险进行处理。 风险分析可结合所有同类恶意软件和勒索软件攻击点，进行风险前置，在未发生事件之前进行风险控制处理。

背景说明 攻击链路在网络安全领域中是一个重要的概念，它主要指的是攻击者为了达成攻击目的，在目标网络或系统中采取的一系列攻击步骤和路径。这些步骤和路径构成了攻击链路，通过它们，攻击者能够逐步深入目标系统，最终实现其攻击目标。 攻击链路对目标网络或系统的危害是巨大的。一旦攻击者成功构建了攻击链路，并突破了目标系统的防御措施，就可以对目标系统进行任意操作，包括窃取敏感信息、破坏系统数据、瘫痪系统服务等。这些危害不仅会导致经济损失，还可能对国家安全和社会稳定造成严重影响。

事件响应 获取、保护、记录证据。 根据您华为云环境的配置，通过企业主机安全（HSS）以及 Web应用防火墙 （WAF）来源检测相关类型的告警。 可通过SSH等方法访问云服务器，查看实例状态和监控等信息，查看是否有异常。或者通过其他方式收到的告警信息。 一旦确认攻击是事件，需要评估受影响范围、攻击机器和受影响业务及数据信息。 通过安全云脑“转事件”能力，持续跟踪对应事件，记录所有涉及事件信息。详细操作请参见告警转事件。 同时可通过日志信息溯源，通过“安全分析”能力审核所有相关日志信息，在“事件管理”中记录存档，便于后续跟踪运营。 控制事件。 通过告警和日志信息，确定攻击类型、影响主机和业务进程信息。 通过隔离查杀，策略阻断等脚本对涉及进程软件进行进程查杀、软件隔离等操作，降低后续影响。 排查感染范围，有感染风险都需要进行排查，一旦有沦陷及时处理控制。 同时也可使用其他剧本流程进行风险控制，比如“主机隔离”，通过安全组策略，从访问控制方面隔离受感染机器，隔离网络传播风险。 消除事件。 评估受影响机器是否需要加固恢复。如果已经沦陷，需要通过溯源结果加固恢复机器。如安全凭证泄露造成的攻击，则删除任何未经授权的IAM用户、角色和策略，并吊销凭据等操作进行主机加固。 对受感染机器可以进行风险排查，排查是否有漏洞、过时的软件、未修补的漏洞等，这些都可能会造成后续机器的持续沦陷，可通过“漏洞管理”排查和修复处理对应机器漏洞；排查是否有风险配置，可以通过“基线检查”排查机器配置，针对有风险配置进行及时处理修复。 评估影响范围，如果已经有其他机器沦陷，需要同步处理所有影响主机。 从事故中恢复。 确定从备份执行的所有还原操作的还原点。 查看备份策略，以确定是否可以恢复所有对象和文件，这取决于在资源上应用的生命周期策略。 使用取证方法确认数据在恢复之前是安全的，然后从备份中恢复数据，或者恢复到ECS实例的早期快照。 如果您已成功使用任何开源解密工具恢复数据，请从实例中删除该数据，并执行必要的分析以确认数据是安全的。然后，恢复实例，终止或隔离实例并创建新的实例，并将数据还原至新实例中。 如果从备份恢复或解密数据都不可行，请评估在新环境中重新开始的可能性。 事故后活动。 通过整个告警处理流程中分析告警发生详细信息，持续运营优化模型，提升模型告警准确率。如判断是业务相关的，无风险的告警可以直接通过模型进行筛选。 通过溯源告警发生，更好的了解事件的整个流程，持续优化资产防护策略，降低资源风险，收缩攻击面。 通过告警事件处理，结合自己业务实际场景，优化自动化处理剧本流程，例如，通过分析之后告警准确率提升可替换人工审核策略，以全自动化替代，提升处理效率，更快速的对风险进行处理。 通过风险分析，结合攻击链路告警分析，进行风险前置，在未发生事件之前进行风险控制处理。

响应方案 攻击者攻击 域名 成功之后会对后端服务器进行攻击，因此针对此链路攻击的路径，安全云脑提供了攻击链路分析告警通知剧本。当攻击者通过层层攻击到主机之后，进行告警，通知运营人员进行处置。 “攻击链路分析告警通知”剧本已匹配“攻击链路分析告警通知”流程，该流程需要使用 消息通知 服务（Simple Message Notification， SMN ）来创建安全云脑告警通知主题，并完成订阅即可接收到告警通知。 “攻击链路分析告警通知”流程是通过资产关联，查询对应HSS告警影响资产所关联的网站资产列表，流程预置默认查询最多3条网站资产。 如果有关联网站资产，则每条网站资产查询3小时前到现在这个时间段内对应的WAF告警数据（告警类型为XSS、SQL注入、命令注入、本地文件包含、远程文件包含、Webshell、漏洞攻击），同样的，最多查询3条告警数据。 如果有对应WAF告警，则将WAF告警数据与本条HSS告警数据进行关联，并通过SMN通知到邮箱。 图1 攻击链路分析告警通知

背景说明 恶意软件攻击是指通过电子邮件、远程下载、恶意广告等多种手段，向用户传播恶意软件（如病毒、蠕虫、木马、勒索软件等），并在目标主机上执行恶意程序，从而实现对远程主机的控制、攻击网络系统、窃取敏感信息或进行其他恶意行为。这类攻击对计算机系统、网络和个人设备的安全构成了严重威胁，可能导致数据泄露、系统崩溃、个人隐私泄露、金融损失以及其他安全风险。 针对以上问题，通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，能有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，检测出主机中未知的恶意程序和病毒变种，也可检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。因此，当有此类攻击发生的时候如何预防降低风险就至关重要。 本文档就恶意软件和勒索软件隔离查杀进行详细介绍。