检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
String 公司名称 source_type Integer 来源类型 product_name String 产品名称 product_feature String 产品特性 表17 environment 参数 参数类型 描述 domain_id String 租户ID domain_name
编辑已有漏洞类型:介绍如何编辑自定义新增的漏洞类型。 管理已有漏洞类型:介绍如何启用、禁用、删除自定义新增的漏洞类型。 约束与限制 系统内置漏洞类型暂不支持自定义关联布局。 系统内置漏洞类型默认处于启用状态,暂不支持进行编辑、启用、禁用、删除操作。 自定义漏洞类型新增成功后,不支持修改类型标识。
区域性法律 数据保护 操作系统配置基线 该遵从包包含口令复杂度策略检测、经典弱口令检测、配置检查,可检测主机中不安全的口令配置、关键软件中含有风险的配置信息,并针对所发现的风险为您提供修复建议,帮助您正确地处理服务器内的各种风险配置信息。 全球 行业标准 操作系统 经典弱口令检测 经典
在类型管理页面,选择“告警类型”页签,进入告警类型管理页面。 在告警类型管理页面中,对告警类型进行管理。 系统内置告警类型默认处于启用状态,无需手动启用。 暂不支持禁用或删除系统内置告警类型。 暂不支持删除系统内置告警类型。 表4 管理已有告警类型 操作 操作说明 启用 在告警类型管理页面中,选择
服务韧性 华为云SecMaster当前主要部署在国内,已部署数据中心都处于正常运营状态,无一闲置。数据中心互为灾备中心,如一地出现故障,系统在满足合规政策前提下自动将客户应用和数据转离受影响区域,保证业务的连续性。为了减少由硬件故障、自然灾害或其他灾难带来的服务中断,华为云SecMaster提供灾难恢复计划。
板快速创建模型。 模型:模型是基于模板创建的,安全云脑支持利用模型对管道中的日志数据进行扫描,如果检测到有满足模型中设置触发条件的内容时,系统将产生告警提示。 操作场景 本文介绍模型模板的管理操作。 查看模型模板:安全云脑根据常用场景内置了多种模型模板(包括场景说明、模型原理、处
忽略或取消忽略漏洞 操作场景 某些漏洞只在特定条件下存在风险,比如某漏洞必须通过开放端口进行入侵,如果主机系统并未开放该端口,则该漏洞不存在危害。如果评估后确认某些漏洞无害,可以忽略该漏洞,无需修复。忽略后,下次HSS漏洞扫描后仍然会对该漏洞进行告警,安全云脑也将同步漏洞信息。同
将华为云日志转出至第三方系统或产品场景,请跳过此步骤。 在安全云脑中创建日志存储位置(管道),用于日志存储、分析。 步骤九:配置连接器 配置日志来源、接收目的的参数信息。 请根据场景选择操作步骤: 将第三方日志接入安全云脑 将安全云脑日志转出至第三方系统或产品 (可选)步骤十:配置日志解析器
evtx。其中Windows日志路径获取方法如下: 在Windows系统中,搜索并打开“事件查看器”。 在左侧导航栏中选择“Windows 日志 > 系统”,进入系统某页面,单击信息“属性”。 在日志属性-系统页面,查看“日志路径”。 日志转发配置 安全云脑采集节点是使用Logs
择。SecMaster支持的系统策略,请参见身份策略权限管理。如果您需要对除SecMaster之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。 示例流程 图1 给用户授予SecMaster权限流程 在IAM控制台创建用户或用户组。 将系统身份策略附加至用户或用户组 为
编辑已有事件类型:介绍如何编辑自定义新增的事件类型。 管理已有事件类型:介绍如何启用、禁用、删除自定义新增的事件类型。 约束与限制 系统内置事件类型已默认关联已有布局,暂不支持自定义关联布局。 系统内置事件类型默认处于启用状态,暂不支持进行编辑、启用、禁用、删除操作。 自定义事件类型新增成功后,不支持修改
安全云脑的日志采集功能支持将安全日志接入安全云脑,同时,也支持将安全云脑日志转出至第三方系统/产品。 表1 日志接入或转出场景说明 场景 操作指导 华为云日志接入安全云脑 具体操作请参见接入云服务日志。 安全云脑日志转出至第三方系统/产品 参考本实践的操作步骤处理即可。 第三方(非华为云)日志接入安全云脑
启用流程 流程是剧本触发时响应的方式,安全云脑默认提供了“WAF一键解封”、“主机告警状态同步”、“告警指标提取”等流程。流程的初始版本(V1)系统默认启用,无需手动启用。同时,还支持对已有流程版本进行自定义编辑,使用自定义流程。 本章节将介绍如何配置并启用自定义版本的流程: 复制流程版本
新增或编辑情报指标 操作场景 情报指标库呈现当前您的所有指标信息。 本章节主要介绍如何新建或编辑情报指标。 新增情报指标:当发现对系统和用户潜在的威胁信息时,可通过新增情报指标记录威胁信息,以便安全负责人可以快速采取措施来保护其人员、信息和资产,加快威胁检测和修正。 编辑情报指标
权限" } 状态码:500 系统内部错误 { "error_code" : "csb.00180001", "error_msg" : "系统繁忙,请稍后重试" } 状态码 状态码 描述 200 所需权限列表 403 请求权限不足 500 系统内部错误 错误码 请参见错误码。
选择采集通道来源名称。 选择后系统将自动生成已选择来源的相关信息。 目的配置 目的名称 选择采集通道目的名称。 选择后系统将自动生成已选择目的相关信息。 基础配置完成后,单击页面右下角“下一步”,进入“解析器配置”页面。 在“解析器配置”页面中,选择解析器,选择后,系统将显示已选择解析器的相关信息。
删除管道:删除管道后数据将会被同步删除,且不可恢复,请谨慎操作。 约束与限制 单账号单Region单数据空间最多创建20个数据管道。 系统创建的数据管道不支持编辑操作。 系统创建的数据管道不支持删除操作。 单个管道接入吞吐规格限制是4MB/s。 创建管道 登录安全云脑 SecMaster控制台。
图12 采集通道配置完成 在CBH侧配置数据转发。 用户已获取“系统”模块管理权限,以admin账号登录云堡垒机 CBH系统。 选择“系统 > 数据维护 > 日志备份”,进入系统日志备份配置管理页面。 图13 进入系统日志备份配置管理页面 在“远程备份至Syslog服务器”区域,单
查看自定义类型 操作场景 本章节介绍如何查看自定义类型。 约束与限制 系统内置的类型和子类型不支持关联布局、编辑、删除、启用和禁用。 其中,内置的IP和主机(物理机和虚拟机)类型可以执行启用和禁用操作,实现“资产管理”页面中展示类型的控制,详细操作请参见如何自定义导入主机资产?、
y权限" } 状态码:500 系统内部错误 { "error_code" : "csb.00180001", "error_msg" : "系统繁忙,请稍后重试" } 状态码 状态码 描述 201 请求成功 403 请求权限不足 500 系统内部错误 错误码 请参见错误码。
