文档首页/ 安全云脑 SecMaster/ 最佳实践/ 使用安全云脑纳管华北-北京一Region资源
更新时间:2024-10-24 GMT+08:00
分享

使用安全云脑纳管华北-北京一Region资源

场景说明

由于“华北-北京一”region已转存量维护局点,存在无资源部署的问题。在此情况下,可以通过安全云脑实现资源纳管,支撑用户使用安全云脑进行安全运营。

支持纳管以下资源:

  • 资产:

    主机、网站、数据库、VPC、EIP

  • 日志:

    HSS安全日志、告警日志、漏洞扫描日志、基线日志;WAF攻击日志、访问日志;APIG请求日志;CTS服务日志;DCS告警日志;IAM审计日志;安全云脑基线日志

本场景介绍如何在“华北-北京四”region的安全云脑中完成操作,实现纳管“华北-北京一”region中云服务资源。

步骤一:在“华北-北京四”region购买安全云脑

此步骤在“华北-北京四”region,以包周期购买1个月的1个配额的专业版安全云脑为例进行介绍。

  1. 登录管理控制台。
  2. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在总览页面中,单击“购买安全云脑”
  4. (可选)首次购买需要进行访问授权。

    在弹出的访问授权页面中,勾选同意授权并单击“确认”

  5. 在购买安全云脑页面,配置购买参数。
    表1 购买安全云脑

    参数名称

    取值样例

    参数说明

    计费模式

    包周期

    选择计费模式。

    区域

    华北-北京四

    根据待查看的云上资源所在的区域就近选择购买安全云脑的区域。

    版本

    专业版

    选择安全云脑的版本,不同版本提供的功能存在差异。

    主机配额

    1

    请根据当前账户下所有ECS主机资产总数设置配额数。

    增值包

    • 安全大屏:开通
    • 智能分析配额:1 GB/天
    • 安全编排:1万次/天

    根据需要选购安全大屏、智能分析配额、安全编排。

    标签

    --

    如果您需要使用同一标签标识多种云资源,即所有服务均可在标签输入框下选择同一标签,建议在TMS中创建预定义标签,也可以直接在此处创建标签。

    购买时长

    1个月

    选择安全云脑购买时长。

  6. 确认参数配置无误后,在页面右下角单击“立即购买”
  7. 确认订单详情无误后,阅读并勾选《安全云脑服务(SecMaster)免责声明》,单击“去支付”
  8. 在支付页面,选择付款方式完成付款,完成购买操作。
  9. 单击“返回安全云脑控制台”,返回安全云脑控制台页面。

步骤二:在“华北-北京四”region创建工作空间

此步骤以在“华北-北京四”region,创建一个名称为“纳管北京一”工作空间为例进行介绍。

  1. 在左侧导航栏选择工作空间 > 空间管理,进入工作空间管理页面。
    图1 工作空间管理页面
  2. 创建首个工作空间。
    1. (可选)委托授权。
      首次使用时需要授权安全云脑访问您账号下的资源信息,便于统一查看并管理资源。
      1. 在空间管理页面上方单击“服务委托授权-当前租户”,右侧弹出授权页面。
      2. 在授权页面中,默认已勾选所需全部权限,请勾选权限下方的“同意授权”,并单击“确认”
    2. 在工作空间管理页面中,单击“新增”,系统从右侧弹出新增工作空间页面。
    3. 配置新建工作空间参数,参数说明如下表所示:
      • 区域:根据待查看的云上资源所在的区域就近选择创建工作空间的区域。此处示例选择“华北-北京四”
      • 项目:选择工作空间所属的项目,此处示例选择“default”
      • 工作空间名称:自定义工作空间的名称。
      • 其他参数:请根据需要进行配置。
    4. 单击“确定”
  3. 重复2,再创建一个的用于纳管北京一云服务数据的工作空间。

    由于每个Region的首个工作空间可自动加载当前Region所有数据与资产,并启用预置模型与剧本。后续新增的用于自定义运营的工作空间,不会自动加载数据与资产,需要用户自定义接入。因此,纳管北京一云服务需要再创建一个空间。

    • 区域:此处示例选择“华北-北京四”
    • 工作空间名称:此处示例工作空间名称为“纳管北京一”
    • 其他参数:请根据需要进行配置。

步骤三:接入“华北-北京一”region日志、告警和漏洞数据

在已创建的用于纳管“华北-北京一”region的工作空间中接入“华北-北京一”region的日志、告警和漏洞数据。

此步骤以接入WAF、HSS日志、告警和漏洞数据为例进行介绍。

  1. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击“纳管北京一”工作空间名称,进入工作空间管理页面。
  2. 在左侧导航栏选择设置 > 数据集成,进入数据集成页面。
    图2 数据集成页面
  3. 选择“华北-北京一”region,并在待接入云产品的“审计相关日志”列,单击,开启接入的云服务日志。

    此处示例,接入WAF(攻击、访问日志)和HSS(告警、漏洞、安全日志)的所有类型日志。

    在安全云脑的“漏洞管理”页面可以接入主机漏洞扫描结果,如果数据集成操作时接入了主机漏洞扫描结果,但是未开启自动转告警,则在“漏洞管理”将不会展示主机相关的漏洞扫描情况。

  4. 在待设置云产品的“自动转告警”列,单击,开启接入的云服务日志满足告警条件时,自动转为告警,并且在“告警管理”页面中进行展示。

    此处示例,开启HSS“主机安全告警”“主机漏洞扫描结果”转告警设置。

    如果此处未开启自动转告警,在对应日志满足告警条件时,将不会转为告警,也不会在“告警管理”页面中进行展示。

  5. 单击“保存”,并在弹出的配置保存框中,单击“确定”

    操作成功后,日志数据订阅预计在十分钟内生效。

    图3 接入日志数据

步骤四:订阅“华北-北京一”region资产

在已创建的用于纳管“华北-北京一”region的工作空间中订阅“华北-北京一”region资产

  1. 在左侧导航栏选择资产管理 > 资产管理,进入资产管理页面后,单击页面右上角“资产订阅设置”
  2. 在资产订阅页面中,开通“华北-北京一”资产订阅,并单击“确定”
    图4 资产订阅

步骤五:在纳管“华北-北京一”的空间中创建告警模型

安全云脑支持利用模型对管道中的日志数据进行监控,如果数据信息在模型范围内容,将产生告警提示。此步骤以通过“应用-WAF关键攻击告警”模型创建告警为例进行介绍。

请根据需要创建告警模型,详细操作请参见创建告警模型

  1. 在左侧导航栏选择威胁运营 > 智能建模,进入智能建模页面后,选择“模型模板”页签,进入模型模板页面。
    图5 模型模板页面
  2. 在模板列表中,单击“应用-WAF关键攻击告警”模板所在行“操作”列的“详情”,右侧弹出模板详情页面后,单击右下角“创建模型”
  3. 在新增告警模型页面中,配置告警模型基础信息。
    • 管道名称:选择该告警模型的执行管道。此处示例选择“sec-waf-attack”
    • 其他参数保持缺省值即可。
  4. 设置完成后,单击页面右下角“下一步”,进入设置模型逻辑页面。
  5. 在模型逻辑设置页面,无需进行配置,保持缺省值即可,单击页面右下角“下一步”,进入模型详情预览页面。
  6. 预览确认无误后,单击页面右下角“确定”

步骤六:创建连接器,连接“华北-北京一”云服务

在已创建的用于纳管“华北-北京一”region的工作空间中创建连接器,连接“华北-北京一”region云服务。

本步骤以创建HSS资产连接器为例进行介绍。

  1. 在左侧导航栏选择安全编排 > 剧本编排,进入剧本管理页面后,选择“资产连接”页签,进入资产连接管理页面。
    图6 资产连接管理页面
  2. 在资产连接管理页面中,单击“新增”,右侧弹出新增资产连接面板。
  3. 在新增资产连接面板中,配置资产连接参数。
    • 连接名称:输入资产连接名称。此处示例设置为“HSS-北京一”
    • 插件:选择资产连接所需的插件。此处示例选择为“HSS”
    • 连接类型:选择资产连接的类型。此处示例选择为“其它”
    • 凭证信息:
      • endPoint:填写北京一endpoint信息,不同服务不同区域的终端节点不同,您可以从地区和终端节点中查询服务的终端节点。

        此处示例填写为:https://hss.cn-north-1.myhuaweicloud.com

      • iamEndpoint:填写北京一IAMendpoint信息,https://iam.cn-north-1.myhuaweicloud.com
      • 其他参数信息请根据实际情况进行填写。
  4. 单击“确认”,返回资产列表,即可查询已经创建的资产连接信息。

步骤七:创建响应剧本,联动“华北-北京一”region云服务自动化处置

在已创建的用于纳管“华北-北京一”region的工作空间中创建响应剧本,联动“华北-北京一”region云服务自动化处置。

此步骤以修改“HSS文件隔离查杀”流程为例进行介绍。

  1. 在左侧导航栏选择安全编排 > 剧本编排,进入剧本管理页面后,选择“流程”页签,进入流程管理页面。
    图7 流程管理页面

复制流程版本

  1. “HSS文件隔离查杀”流程“操作”列,单击“版本管理”,弹出流程版本管理页面。
  2. 流程版本管理页面中,单击“版本信息”栏中v1版本所在行的“操作”列的“复制”
    图8 复制流程版本
  3. 在弹出的确认框中,单击“确定”

编辑并提交流程版本

  1. 流程版本管理页面中,单击“版本信息”栏中草稿版本所在行的“操作”列的“编辑”
    图9 编辑流程
  2. 在流程图绘制页面中,单击所有节点排查,将节点参数中的“资产”修改为新增的“HSS-北京一”
    图10 修改节点参数
  3. 单击右上角“保存并提交”,并在弹出的流程自动校验框中,单击“确定”

审核流程版本

  1. 编辑并提交流程版本后,页面返回流程管理页面。在流程管理页面中,单击“HSS文件隔离查杀”流程“操作”“版本管理(1)”,右侧弹出流程版本管理页面。
  2. 流程版本管理页面中,单击v2版本所在行的“操作”列的“审核”
    图11 审核流程版本
  3. 在审核确认框中,选择“审核意见”“通过”,并单击“确定”

激活流程版本

  1. 流程版本管理页面中,单击“版本信息”栏中v2版本所在行的“操作”列的“激活”
    图12 激活流程版本
  2. 在弹出确认框中,单击“确定”

启用流程

“HSS文件隔离查杀”流程自动启用,无需手动操作。

启用剧本

  1. 在剧本编排页面中,选择剧本页签,并单击“HSS文件隔离查杀”剧本所在行“操作”列的“启用”
    图13 启用剧本
  2. 在弹出的确认框中,选择v2版本,并单击“确认”

安全运营

以上操作完成后,即可在“华北-北京四”region的指定工作空间中对“华北-北京一”region的云服务进行运营。

图14 安全运营
  • 管理资产与风险

    安全运营的本质指安全风险管理,根据ISO的定义,其三要素包括“资产”“脆弱性”“威胁”。因此,梳理您要防护的资产,是安全运营的业务流起点。

    • 梳理资产

      安全云脑可以帮助您:

      • 将云上资产从不同租户、不同Region汇集到一个视图中。
      • 将云外资产导入到安全云脑中,并标记其所属的环境。
      • 将资产的风险情况标识出来,例如:是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务(例如:ECS上应该安装HSS的Agent、域名应纳入到WAF的防护策略中)。

      更多详细介绍及操作请参见资产管理

    • 检查并清理不安全的配置

      在安全运营过程中,最常见的“脆弱性”是不安全的配置。安全云脑基于安全合规经验,形成自动化检查的基线,按照业界通用的规范标准,提供基线检查包。

      • 提供了多种基线标准。法规类标准,如:ISO系列标准、PCI DSS;隐私保护类,如:某国家或地区的隐私保护基线。
      • 云服务中的配置可以自动检查。如:IAM是否按角色进行授权分数、VPC的安全组中是否存在完全放通的策略、WAF的防护策略是否开启等。您可以根据“详情”中建议的方法,对配置进行加固。

      更多详细介绍及操作请参见安全治理基线检查

    • 发现并修复漏洞

      在修复配置类风险之后,安全云脑还可以帮助您,发现并修复安全漏洞。支持检测Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞,提供漏洞概览,包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5,帮助您实时了解主机漏洞情况。

      更多详细介绍及操作请参见漏洞管理

  • 检测与寻找威胁

    数据源连接到安全云脑后,我们已经清点了要保护的资产,并查找及修复了不安全的配置和漏洞,接下来就是识别可疑活动和威胁。

    安全云脑可提供多种内置的由安全专家和分析团队根据已知威胁、常见攻击媒介和可疑活动上报链设计的模板,使您能够执行某些对应操作时收到此类威胁的通知。启用这些模板后,它们将自动在整个环境中搜索可疑活动。同时,可以根据需要自定义模板,以搜索或筛选出活动。

    同时,还支持云服务安全日志数据检索、分析功能,提供专业级的安全分析能力,实现对云负载、各类应用及数据的安全保护。

    更多详细介绍及操作请参见模型模板安全分析

  • 调查告警与事件
    • 调查告警

      威胁检测模型分析大量的安全云服务日志,找到疑似入侵的行为,即告警。安全云脑中的告警包含如下字段:名称、等级、发起可疑行为的资产/威胁、遭受可疑行为的资产。安全值班人员,需要在较短的时间内对告警做出判定。如果风险较低,则关闭告警(如:重复告警、运维操作);如果风险较高,需要单击“转事件”,将告警转为事件。

      更多详细介绍及操作请参见查看告警信息告警转事件

    • 调查事件

      告警转成事件后,就可以在事件管理中查看到生成的事件,事件生成后可以进行调查分析。您可以在事件上关联与可疑行为相关的实体:资产(如:VM)、情报(如:攻击源IP)、账号(如:泄露的账号)、进程(如:木马)等;也可以关联历史上相似的其他告警或事件。

      更多详细介绍及操作请参见查看事件信息编辑事件

  • 响应威胁

    利用实时自动化,您可以通过对重复类型的告警实现常规响应自动化来减少告警研判工作量。同时,也可以利用自动化的剧本,完成自动化止血操作。

    更多详细介绍及操作请参见安全编排

  • 使用总大屏、报告
    • 安全大屏
      • 综合态势感知:可以还原攻击历史,感知攻击现状,预测攻击态势,呈现安全运营的全局指标情况。
      • 值班响应大屏:可以查看未处理告警、事件、漏洞、基线等需要处理的安全风险事项。
      • 资产大屏:可以查看资产总数、受攻击资产数、未防护资产数等需要处理的资产以及资产视角的风险情况。
      • 威胁态势大屏:可以查看DDoS攻击次数、网络攻击次数、应用拦截次数、主机层拦截次数等威胁攻击趋势及其防御、检测情况。
      • 脆弱性大屏:可以查看脆弱性资产、漏洞、基线、未防护资产等脆弱性配置或资产的趋势及分布。

      更多详细介绍及操作请参见安全大屏

    • 安全报告

      展示安全评分、基线检查结果、安全漏洞、策略覆盖等信息,您可以通过创建安全报告,及时掌握资产的安全状况数据。

      更多详细介绍及操作请参见安全报告

相关文档