快速掌控MTD潜在威胁
MTD服务是检测您在目标区域所使用的华为云全局服务的IAM日志、DNS日志、CTS日志、OBS日志、VPC日志,如图1所示。MTD实时检测日志中访问者的IP或域名是否存在潜在的恶意活动和未经授权行为并进行告警,您可通过本实践操作步骤快速掌控MTD检测潜在威胁,对已发现的告警信息按照告警等级由高至低的优先级对告警信息进行核查、处理,保障您所使用服务的安全和运行能力。
检测结果总览
- 登录管理控制台。
- 在左侧导航树中,单击,选择图2所示。 ,进入威胁检测服务界面,如
- 查看威胁检测结果总览。
- 当未检测出威胁告警时。页面提示“已开始对您全部XX服务日志新产生的数据进行检测,截止目前相对健康,未发现风险。”,并展示告警类型示例,如图3所示。
- 当已检测出威胁告警信息时。页面展示告警详情。
- 单击“当前已支持XX种告警类型”,页面弹出“告警类型示例”窗口,可查看所有告警类型示例和各服务日志分别的告警类型示例,详情请参见查看告警类型详情。
- 由于AI检测模型的普遍特性,一般上线后需要基于您的真实数据学习训练大致3个月,学习阶段检测结果可能存在误差,您可以在告警列表的“操作”列单击“反馈可信度”反馈出现的问题。
- 告警详细信息按照最新发生时间靠前的排序方式进行排序,相关参数说明如表1所示。
表1 告警信息 参数名称
参数说明
日志类型
产生该告警的服务日志。
- 统一身份认证服务(IAM)
- 虚拟私有云(VPC)
- 云解析服务(DNS)
- 云审计服务(CTS)
- 对象存储服务(OBS)
告警类型
支持68种告警,更多详细内容请参见查看告警类型详情。
标题
告警类型的具体描述。
严重等级
告警的风险等级,分为:
- 致命
- 高危
- 中危
- 低危
- 提示
告警信息目前需要人工核查处理,建议您参照查看告警类型详情对应描述,按照告警等级由高到低的优先级进行处理。
受影响资源
受到威胁攻击的资源个数。
发生次数
该告警产生的次数,可单击切换排序。
首次发生
该告警首次发生的具体时间,可单击切换排序。
最近发生
该告警最近一次发生的具体时间,可单击切换排序。
- 单击“标题”列的值可查看“结果详情”,如图图4所示,您可根据告警结果详情的资源名称、ID、类型、区域以及攻击这些主要信息,为处理潜在威胁提供方向。
- 反馈可信度。
反馈可信度:指反馈告警结果是否准确。