检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
签,进入应急策略管理页面。 图2 进入应急策略管理页面 应急策略管理页面默认进入“策略视图”页面,查看任务下发成功的应急策略统计情况: 图3 查看应急策略 策略过期分布:以饼图形式呈现“自动过期”策略占比,并统计“有自动过期”和“无自动过期”的策略数量。 策略分布:以柱状图形式呈
单账号单Region内最多创建1个空间托管视图。 一个托管视图可以跨Region管理不同账号下的最多150个工作空间。 单账号最多创建10个账号委托。 安全报告 表3 安全报告 模块 约束与限制 安全报告 单账号单workspace内,最多可创建10个安全报告(包含日报、周报和月报)。 告警模型 表4 告警模型
SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。 图3 进入目标工作空间管理页面 在左侧导航栏选择“威胁管理 > 告警管理”,进入告警管理页面。 图4 告警管理页面 单击告警列表左上角的“更多 >
SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。 图3 进入目标工作空间管理页面 在左侧导航栏选择“安全编排 > 剧本编排”,默认进入剧本管理页面。 图4 进入剧本管理页面 在剧本管理页面中,单
(可选)步骤2:购买数据磁盘 购买数据磁盘,保障日志采集器有足够的运行空间,数据磁盘和ECS属于同一可用区,且数据磁盘容量 ≥ 100 GB。 (可选)步骤3:挂载数据磁盘 将符合条件的数据磁盘挂载在已有的符合条件的ECS上,保障日志采集器有足够的运行空间。 步骤4:创建非管理员IAM账户 创建非
(可选)步骤2:购买数据磁盘 购买数据磁盘,保障日志采集器有足够的运行空间,数据磁盘和ECS属于同一可用区,且数据磁盘容量 ≥ 100 GB。 (可选)步骤3:挂载数据磁盘 将符合条件的数据磁盘挂载在已有的符合条件的ECS上,保障日志采集器有足够的运行空间。 步骤4:创建非管理员IAM账户 创建非
理页面。 图3 进入目标工作空间管理页面 在左侧导航栏选择“建模分析 > 智能建模”,进入智能建模的可用模型页面。 图4 可用模型页面 在可用模型列表左上角单击“新建模型”,进入新建告警模型页面。 在新增告警模型页面中,配置告警模型基础信息,参数说明如表3所示。 表3 告警模型基础配置
安全数据”,进入安全分析页面。 图2 进入安全分析页面 在左侧数据空间导航栏中,单击数据空间名称,展开数据管道列后,再单击管道名称,右侧将显示管道数据的检索页面。 图3 管道数据页面 输入查询分析语句,设置时间范围,并单击“查询/分析”,显示查询分析结果。 更多查询分析详细操作请参见查询与分析日志。 单击页
SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。 图3 进入目标工作空间管理页面 在左侧导航栏选择“日志审计 > 组件管理”,默认进入节点管理页面。 图4 进入节点管理页面 在节点管理页面中,单击目标节点所在行“操作”列的“注销”。
空间托管”,进入空间托管管理页面。 图1 空间托管页面 在“托管视图”页签中,单击“创建托管视图”,右侧弹出创建托管视图页面。 图2 创建托管视图 配置托管视图参数。 表3 创建托管视图参数说明 参数名称 参数说明 托管视图名称 设置托管视图名称。配置约束如下: 可输入中文字符、英文大写字母(A~Z)、英文小写
每天晚上7点,统计未关闭的告警,并发送邮件/短信通知给客户 高危告警自动化安全封堵 针对高危和致命告警,源IP地址攻击次数达到阈值(次数>3)且命中微步在线的恶意标签,根据告警来源将该ip对应策略阻断(WAF、VPC、CFW、IAM) 低危告警自动关闭 对于低危和提示的告警,进行自动化关闭
SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。 图3 进入目标工作空间管理页面 在左侧导航栏选择“日志审计 > 安全数据”,进入安全分析页面后,选择“数据投递管理”页签,进入数据投递管理页面。
SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。 图3 进入目标工作空间管理页面 在左侧导航栏选择“日志审计 > 采集管理”,进入采集管理页面后,选择“解析器管理”页签,进入解析器管理页面。 图4
SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。 图3 进入目标工作空间管理页面 在左侧导航栏选择“风险预防 > 策略管理”,默认进入防线策略管理页面。 图4 进入防线策略管理页面 单击需配置防
进入安全分析页面 在左侧数据空间导航栏中,单击数据空间名称,展开数据管道后,单击目标管道名称后的“更多 > 投递”,右侧弹出现在数据投递设置页面。 图3 进入投递设置页面 (可选)首次投递到目的投递类型需要进行授权,如果已经授权,请跳过该步骤。 在弹出的授权提示中,确认无误后,单击“确定”,完成授权。
SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。 图3 进入目标工作空间管理页面 在左侧导航栏选择“风险预防 > 基线检查”,进入基线检查页面后,选择“安全遵从包”页签,并在安全遵从包页面中,选
配置策略。 策略名称:请设置为“租户采集最小权限策略”。 策略配置方式:选择“JSON视图”。 策略内容:请直接复制粘贴以下内容。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 { "Version": "1.1", "Statement":
基线检查”,进入基线检查页面后,选择“安全遵从包”页签,默认进入遵从包页面。 图2 进入遵从包页面 在遵从包页面查看已有遵从包信息,参数说明如表1所示。 图3 查看已有遵从包 表1 查看已有遵从包 参数名称 参数说明 遵从包总数及状态 已有遵从包总数及不同状态遵从包数量。 遵从包总数 启用的遵从包个数
传输控制协议 TCP tcp 用于接收TCP协议日志,配置规则请参见表2。 用户数据协议 UDP udp 用于接收UDP协议日志,配置规则请参见表3。 对象存储 OBS obs 用于读取对象存储OBS桶的日志数据,配置规则请参见表4。 消息队列 KAFKA kafka 用于读取Kafka网络日志数据,配置规则请参见表5。
“一键接入”配置页面。在一键接入配置页面,下拉选择数据源区域,下拉勾选需要接入的云服务日志。配置完成后,单击右下角“确定”,完成设置。 图3 云服务日志一键接入配置页面 云服务日志接入也支持设置单个云产品的日志接入。在云服务接入管理页面,单击云服务产品所在行操作列的“设置”,右侧弹出日志接入设置配置页面。
