检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
其中Windows日志路径获取方法如下: 在Windows系统中,搜索并打开“事件查看器”。 在左侧导航栏中选择“Windows 日志 > 系统”,进入系统某页面,单击信息“属性”。 在日志属性-系统页面,查看“日志路径”。
模型:模型是基于模板创建的,安全云脑支持利用模型对管道中的日志数据进行扫描,如果检测到有满足模型中设置触发条件的内容时,系统将产生告警提示。 操作场景 本文介绍模型模板的管理操作。
系统内置事件类型默认处于启用状态,无需手动启用。 暂不支持禁用或删除系统内置事件类型。 表4 管理已有事件类型 操作 操作说明 启用 在事件类型管理页面中,选择需要启用的类型,并单击类型列表左上角“批量启用”。
方案概述 安全云脑的日志采集功能支持将安全日志接入安全云脑,同时,也支持将安全云脑日志转出至第三方系统/产品。 表1 日志接入或转出场景说明 场景 操作指导 华为云日志接入安全云脑 具体操作请参见接入云服务日志。
新增情报指标:当发现对系统和用户潜在的威胁信息时,可通过新增情报指标记录威胁信息,以便安全负责人可以快速采取措施来保护其人员、信息和资产,加快威胁检测和修正。 编辑情报指标:当情报指标的威胁度、状态、责任人等参数信息发生变化时,支持编辑情报指标,修改情报指标信息。
流程的初始版本(V1)系统默认启用,无需手动启用。同时,还支持对已有流程版本进行自定义编辑,使用自定义流程。
安全云脑日志转出至第三方系统/产品 与第三方(非华为云)日志接入安全云脑步骤相同。 主要区别在于: 将非华为云日志接入安全云脑场景时,需要执行创建日志存储管道步骤。将华为云日志转出至第三方系统或产品场景,请跳过此步骤。 配置连接器的时候,数据连接来源和目的参数配置有差异。
在左侧数据空间导航栏中,单击数据空间名称右侧的,并在下拉选项中选择的“创建管道”,系统从右侧弹出创建管道页面。 图3 创建管道 在创建管道页面中,配置管道参数,参数说明如表1所示。 表1 创建管道 参数名称 参数说明 数据空间 该管道所属的数据空间,系统默认生成。
选择后系统将自动生成已选择来源的相关信息。 目的配置 目的名称 选择采集通道目的名称。 选择后系统将自动生成已选择目的相关信息。 基础配置完成后,单击页面右下角“下一步”,进入“解析器配置”页面。 在“解析器配置”页面中,选择解析器,选择后,系统将显示已选择解析器的相关信息。
约束与限制 系统内置的类型和子类型不支持关联布局、编辑、删除、启用和禁用。 其中,内置的IP和主机(物理机和虚拟机)类型可以执行启用和禁用操作,实现“资产管理”页面中展示类型的控制,详细操作请参见如何自定义导入主机资产?、如何让IP类型资产在资产管理页面中显示?。
SecMaster自定义策略 如果系统预置的SecMaster权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考SecMaster权限及授权项。
情报指标支持如下管理操作: 新增情报指标:当发现对系统和用户潜在的威胁信息时,可通过新增情报指标记录威胁信息,以便安全负责人可以快速采取措施来保护其人员、信息和资产,加快威胁检测和修正。
工作空间创建时系统会执行工作空间初始化,待工作空间初始化完成后才可执行删除工作空间操作。 父主题: 空间管理
“操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包不支持在安全云脑侧执行基线检查,安全云脑仅支持查看HSS的基线检查结果。若需执行HSS的基线检查请在HSS侧执行,详细操作请参见HSS执行基线检查。
如果是非正常业务引起的,建议您立即登录系统终止该Rootkit安装行为,利用主机安全告警信息全面排查系统风险,避免系统遭受进一步破坏。
中国 国家标准 网络安全 您是否涉及网络安全等级保护工作的作用对象,主要包括基础信息网络(为信息流通、信息系统运行等起基础支撑作用的信息网络,包括电信网、广播电视传输网、互联网、业务专网等网络设备设施)、信息系统(例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统以及其他信息系统
数据投递概述 操作场景 安全云脑支持将数据实时投递至其他管道或其他华为云产品中,便于您存储数据或联合其它系统消费数据。配置数据投递后,安全云脑将定时将采集到的数据投递至其他管道或对应的云产品。
如果未执行立即检查,系统将按照已设置的检查计划,在指定时间内执行检查,例如,默认每隔3天检查一次,每次在00:00~06:00执行。检查完成后,将可以在检查结果页面中进行查看。 本章节介绍如何查看基线检查结果。 前提条件 已进行云服务基线扫描。
要求Linux系统主机中Agent版本为3.2.9及以上,Windows系统主机中Agent版本为4.0.19及以上。更多主机Agent版本说明请参见Agent版本说明。升级主机Agent请参见升级主机Agent。
要求Linux系统主机中Agent版本为3.2.9及以上,Windows系统主机中Agent版本为4.0.19及以上。更多主机Agent版本说明请参见Agent版本说明。升级主机Agent请参见升级主机Agent。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
