检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
场景一:系统默认激活剧本的初始版本(V1),仅开启剧本启用即可,参考启用剧本。
请按需进行配置,接入EulerOS日志,支持的范围如下: 表6 EulerOS日志类型说明 日志类型 日志内容 kern 内核信息 user 用户程序产生的相关信息 mail 邮件系统信息 daemon 守护进程产生的信息 auth pam认证系统信息 syslog 日志系统自身信息
请立即修改被暴力破解的系统账户口令。 请立即执行检测入侵风险账户,排查可疑账户并处理。 请及时执行恶意程序云查杀,排查系统恶意程序。 如果您的主机被暴力破解,攻击源IP被HSS拦截,请参考如下措施,加固主机安全。 请及时确认登录主机的源IP的可信情况。
系统内置漏洞类型默认处于启用状态,无需手动启用。 暂不支持禁用或删除系统内置漏洞类型。 表4 管理已有漏洞类型 操作 操作说明 启用 在漏洞类型管理页面中,选择需要启用的类型,并单击类型列表左上角“批量启用”。
系统内置告警类型默认处于启用状态,无需手动启用。 暂不支持禁用或删除系统内置告警类型。 暂不支持删除系统内置告警类型。 表4 管理已有告警类型 操作 操作说明 启用 在告警类型管理页面中,选择需要启用的告警类型,并单击类型列表左上角“批量启用”。
口令复杂度策略检测功能支持检测Linux系统账号的口令复杂度策略并给出修改建议,帮助用户提升口令安全性 全球 行业标准 操作系统 PCI-DSS PCI-DSS(Payment Card Industry Data Security Standard,支付卡行业数据安全标准)是由五大支付卡品牌
模型:模型是基于模板创建的,安全云脑支持利用模型对管道中的日志数据进行扫描,如果检测到有满足模型中设置触发条件的内容时,系统将产生告警提示。 操作场景 本文介绍模型模板的管理操作。
忽略或取消忽略漏洞 操作场景 某些漏洞只在特定条件下存在风险,比如某漏洞必须通过开放端口进行入侵,如果主机系统并未开放该端口,则该漏洞不存在危害。如果评估后确认某些漏洞无害,可以忽略该漏洞,无需修复。忽略后,下次HSS漏洞扫描后仍然会对该漏洞进行告警,安全云脑也将同步漏洞信息。
数据中心互为灾备中心,如一地出现故障,系统在满足合规政策前提下自动将客户应用和数据转离受影响区域,保证业务的连续性。为了减少由硬件故障、自然灾害或其他灾难带来的服务中断,华为云SecMaster提供灾难恢复计划。
将华为云日志转出至第三方系统或产品场景,请跳过此步骤。 在安全云脑中创建日志存储位置(管道),用于日志存储、分析。 步骤九:配置连接器 配置日志来源、接收目的的参数信息。
其中Windows日志路径获取方法如下: 在Windows系统中,搜索并打开“事件查看器”。 在左侧导航栏中选择“Windows 日志 > 系统”,进入系统某页面,单击信息“属性”。 在日志属性-系统页面,查看“日志路径”。
SecMaster自定义身份策略样例 如果系统预置的SecMaster系统策略,不满足您的授权要求,可以创建自定义身份策略。自定义身份策略中可以添加的授权项(Action)请参考身份策略授权参考。
方案概述 安全云脑的日志采集功能支持将安全日志接入安全云脑,同时,也支持将安全云脑日志转出至第三方系统/产品。 表1 日志接入或转出场景说明 场景 操作指导 华为云日志接入安全云脑 具体操作请参见接入云服务日志。
流程的初始版本(V1)系统默认启用,无需手动启用。同时,还支持对已有流程版本进行自定义编辑,使用自定义流程。
新增情报指标:当发现对系统和用户潜在的威胁信息时,可通过新增情报指标记录威胁信息,以便安全负责人可以快速采取措施来保护其人员、信息和资产,加快威胁检测和修正。 编辑情报指标:当情报指标的威胁度、状态、责任人等参数信息发生变化时,支持编辑情报指标,修改情报指标信息。
约束与限制 系统内置事件类型已默认关联已有布局,暂不支持自定义关联布局。 系统内置事件类型默认处于启用状态,暂不支持进行编辑、启用、禁用、删除操作。 自定义事件类型新增成功后,不支持修改“类型名称”、“类型标识”、“子类型标识”参数信息。
选择后系统将自动生成已选择来源的相关信息。 目的配置 目的名称 选择采集通道目的名称。 选择后系统将自动生成已选择目的相关信息。 基础配置完成后,单击页面右下角“下一步”,进入“解析器配置”页面。 在“解析器配置”页面中,选择解析器,选择后,系统将显示已选择解析器的相关信息。
用户已获取“系统”模块管理权限,以admin账号登录云堡垒机 CBH系统。 选择“系统 > 数据维护 > 日志备份”,进入系统日志备份配置管理页面。
系统创建的数据管道不支持编辑操作。 系统创建的数据管道不支持删除操作。 单个管道接入吞吐规格限制是4MB/s。 创建管道 登录安全云脑 SecMaster控制台。 单击管理控制台左上角的,选择区域和项目。
约束与限制 系统内置的类型和子类型不支持关联布局、编辑、删除、启用和禁用。 其中,内置的IP和主机(物理机和虚拟机)类型可以执行启用和禁用操作,实现“资产管理”页面中展示类型的控制,详细操作请参见如何自定义导入主机资产?、如何让IP类型资产在资产管理页面中显示?。
