文档首页/ 安全云脑 SecMaster/ 快速入门/ 购买和使用安全云脑标准版
更新时间:2024-12-05 GMT+08:00
查看PDF
分享

购买和使用安全云脑标准版

操作场景

安全云脑实现了开箱即用,即默认在每个区域(Region)的首个工作空间中自动加载当前区域的所有资产,以及接入推荐的云服务日志数据,并启用精选预置模型和剧本。无需进行繁琐的手动配置,简化了使用流程并提升了效率。后续新增的用于自定义运营的工作空间,不会自动加载数据与资产,需要用户自定义处理。

购买安全云脑并新增首个工作空间完成后,您将可以在安全云脑中执行查看资源安全态势、统一管理资产、全面分析日志数据和自动化安全编排处理事件等操作,帮助您为您的资产构建一个全面的安全防御体系,实现自动化的安全运营和管理工作,满足您的安全需求。

本文档将以首次在亚太-曼谷区域购买如下配置的安全云脑,并使用首个工作空间的默认配置进行安全运营的场景为例进行介绍:

  • 计费模式:包周期
  • 版本:标准版
  • 主机配额:50

此场景的操作流程如下所示:

图1 操作流程

操作流程

操作步骤

说明

准备工作

注册华为账号、开通华为云,并为账户充值、赋予SecMaster权限。

步骤一:购买安全云脑标准版

购买安全云脑,选择版本(本文以标准版为例)、主机配额等信息。

步骤二:新增工作空间

新增首个用于安全运营的工作空间。

步骤三:安全运营

每个区域的首个工作空间新增完成后,安全云脑将自动进行空间初始化操作。初始化完成后,将可以进行管理资产、检查与寻找威胁、调查告警、响应威胁等安全运营操作,同时,还可以使用仪表盘、大屏等查看安全态势。

初始化操作包括接入云上当前区域当前账号中的所有资产、接入推荐的云服务日志数据(例如,WAF攻击日志)、并启用精选预置模型(例如,主机异常网络连接)和剧本(例如,高危漏洞自动通知)。

准备工作

  1. 在购买SecMaster之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云实名认证

    如果您已开通华为云并进行实名认证,请忽略此步骤。

  2. 请保证账户有足够的资金,以免购买SecMaster失败。具体操作请参见账户充值
  3. 请确保已为账号赋予“SecMaster FullAccess”权限。具体操作请参见创建用户并授权使用SecMaster

    购买安全云脑时,还需要为账号授予“BSS Administrator”权限。

步骤一:购买安全云脑标准版

安全云脑提供了“基础版”“标准版”“专业版”供您使用,包括态势感知、基线检查、查询与分析以及安全编排等功能。

本步骤以购买标准版为例进行参数设置及介绍,更多购买安全云脑详细配置请参见购买安全云脑

  1. 登录华为云管理控制台
  2. 在页面上方选择区域后,在服务列表中选择安全与合规 > 安全云脑 SecMaster,进入安全云脑控制台。
  3. 在总览页面中,单击“购买安全云脑”后,在弹出的访问授权页面中,勾选同意授权并单击“确认”
  4. 在购买安全云脑页面,配置购买参数。
    表1 购买安全云脑参数配置说明

    参数

    示例

    说明

    计费模式

    包周期

    选择安全云脑的计费模式。

    • 包周期:一种预付费模式,即先付费再使用,按照订单的购买周期进行结算。购买周期越长,享受的折扣越大。
    • 按需:一种后付费模式,即先使用再付费,按照实际使用时长计费,秒级计费,按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用,无需提前预置资源,从而降低预置过多或不足的风险。

    区域

    亚太-曼谷

    根据已有云上资源所在的区域选择安全云脑的区域。

    版本

    标准版

    安全云脑提供有基础版、标准版、专业版供您选择,请根据您的需求进行选择,各版本的功能差异请参见产品功能

    配额数

    50

    配额数是指支持防护的最大ECS主机资产数量。请根据当前账户下所有ECS主机资产总数设置配额数,可设置最大主机配额需等于或大于当前账户下主机总数量,且不支持减少。

    • 配额数最大限制为10000台。
    • 为避免主机资产在防护份额外,不能及时感知攻击威胁,而造成数据泄露等安全风险。当主机资产数量增加后,请及时增加配额数。

    安全大屏

    关闭

    确认是否需要使用安全云脑提供的“安全大屏”功能,是否需要增配“日志审计”“安全分析”“安全编排”功能。如果需要购买,请根据您的需要设置对应的购买量。

    增值包说明、配置推荐详细介绍请参见增值包说明

    日志审计

    暂不购买

    安全分析

    暂不购买

    安全编排

    暂不购买

    标签
    • 标签键:test
    • 标签值:01

    为安全云脑绑定标签,用来标识资源。标签更多详细介绍请参见值包说明标签管理服务

    购买时长

    1个月

    根据需求选择购买时长,“按需”模式无需配置。

    勾选“自动续费”后,当服务期满时,系统会自动按照购买周期进行续费。
  5. 确认参数配置无误后,在页面右下角单击“立即购买”
  6. 确认订单详情无误后,阅读并勾选《安全云脑服务(SecMaster)免责声明》,单击“去支付”
  7. 在支付页面,选择付款方式完成付款,完成购买操作。
  8. 单击“返回安全云脑控制台”,返回安全云脑控制台页面。

步骤二:新增工作空间

工作空间(Workspace)属于安全云脑顶层工作台,使用安全云脑功能前,需要先新增工作空间。

  1. 在左侧导航栏选择工作空间 > 空间管理,进入工作空间管理页面。
    图2 工作空间管理页面
  2. 在弹出的授权页面中,默认已勾选所需全部权限,请勾选权限下方的“同意授权”,并单击“确认”

    由于安全云脑功能对其他云服务资源有依赖,需要您将相关云服务的操作权限委托给安全云脑,让安全云脑以您的身份使用这些云服务,代替您进行一些任务调度、资源运维等工作。

    当您首次使用安全云脑时,需要先进行委托授权操作,才能正常访问和使用安全云脑。

  3. 在工作空间管理页面中,单击“新增”,并配置工作空间参数。

    本示例中仅解释必要参数,其他参数请根据实际情况进行选择。

    表2 新增工作空间参数配置说明

    参数

    示例

    说明

    区域

    亚太-曼谷

    根据待查看的云上资源所在的区域选择创建工作空间的区域。

    项目类型

    普通项目

    选择工作空间所属的项目。

    工作空间名称

    SecMaster

    安全运营工作空间的名称。
  4. 单击“确定”

步骤三:安全运营

首个工作空间新增完成后,安全云脑将自动进行空间初始化操作。初始化完成后,将可以进行管理资产、检查与寻找威胁、调查告警、响应威胁等安全运营操作,同时,还可以使用仪表盘、大屏等查看安全态势。

图3 安全运营
  1. 管理资产与风险

    安全运营的本质指安全风险管理,根据ISO的定义,其三要素包括“资产”,“脆弱性”和“威胁”。因此,梳理您要防护的资产,是安全运营的业务流起点。

    • 资产管理

      安全云脑可以帮助您将云上资产从不同租户、不同Region汇集到一个视图中,还可以将云外资产导入到安全云脑中,并标记其所属的环境。汇聚后,将资产的风险情况标识出来,例如:是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务(例如:ECS上应该安装HSS的Agent、域名应纳入到WAF的防护策略中)等,方便查看资产的安全状态。

      更多详细介绍及操作请参见资产管理

    • 检查并清理不安全的配置

      在安全运营过程中,最常见的“脆弱性”是不安全的配置。安全云脑基于安全合规经验,形成自动化检查的基线,按照业界通用的规范标准,提供基线检查包。

      • 云服务中的配置可以自动检查。如:IAM是否按角色进行授权分数、VPC的安全组中是否存在完全放通的策略、WAF的防护策略是否开启等。您可以根据“详情”中建议的方法,对配置进行加固。

      更多详细介绍及操作请参见安全治理基线检查

    • 发现并修复漏洞

      在修复配置类风险之后,安全云脑还可以帮助您,发现并修复安全漏洞。支持检测Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞、网站漏洞,提供漏洞概览,包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5,帮助您实时了解漏洞情况。

      更多详细介绍及操作请参见漏洞管理

  2. 检测与寻找威胁

    数据源连接到安全云脑后,我们已经清点了要保护的资产,并查找及修复了不安全的配置和漏洞,接下来就是识别可疑活动和威胁。

    安全云脑可提供多种内置的由安全专家和分析团队根据已知威胁、常见攻击媒介和可疑活动上报链设计的模型,使您能够执行某些对应操作时收到此类威胁的通知。启用这些模型后,它们将自动在整个环境中搜索可疑活动。同时,可以根据您的需要自定义模型,以搜索或筛选出威胁。

    同时,提供了日志数据检索功能,帮助您筛选威胁。

    更多详细介绍及操作请参见模型模板安全分析

  3. 调查告警与事件
    • 调查告警

      威胁检测模型分析大量的安全云服务日志,找到疑似入侵的行为,即告警。安全云脑中的告警包含如下字段:名称、等级、发起可疑行为的资产/威胁、遭受可疑行为的资产。安全运营人员需要对告警做出分析判定。如果风险较低,则关闭告警(如:重复告警、运维操作);如果风险较高,需要单击“转事件”,将告警转为事件。

      更多详细介绍及操作请参见查看告警信息告警转事件

    • 调查事件

      告警转成事件后,就可以在事件管理中查看到生成的事件,事件生成后可以进行调查分析,分析后对事件发起应急响应。您可以在事件上关联与可疑行为相关的实体:资产(如:VM)、情报(如:攻击源IP)、账号(如:泄露的账号)、进程(如:木马)等;也可以关联历史上相似的其他告警或事件。

      更多详细介绍及操作请参见查看事件信息编辑事件

  4. 响应威胁

    当您在对告警、事件进行响应时,可以使用剧本来做自动化处置,提高效率。

    更多详细介绍及操作请参见安全编排

  5. 使用总览仪表盘、大屏、报告
    • 总览仪表盘

      展示当前工作空间中资源的安全评分,快速了解当前的安全状况。

    • 安全大屏

      查看资源的实时态势并处理攻击事件等,可以帮助安全运营团队实时监控和分析各种安全威胁和事件,从而做出快速响应。

    • 安全报告

      可以自动发送安全态势报告,展示安全评分、基线检查结果、安全漏洞、策略覆盖等信息,及时掌握资产的安全状况数据。

    更多详细介绍及操作请参见态势总览安全大屏安全报告

相关信息

在运用安全云脑进行高效运营的基础上,您还能灵活融合业务需求,进一步接入多样化的数据源,激活全方位的模型与剧本功能,以实现更深层次、更全面的分析与运营策略制定:

  • 接入日志数据:接入华为云云服务日志数据,以统一管理日志信息,以及检索并分析所有收集到的日志,可以实时监控系统和网络的安全状态,及时发现异常行为和潜在威胁。

    建议将安全云脑管理的资产以及资产的告警、基线检查结果、漏洞数据、日志数据接入同一个工作空间,便于统一运营,进行安全分析关联。

  • 采集数据:接入非华为云日志数据,整合和分析来自不同来源的信息,从而提供更全面的安全视角,可以更深入、全面地分析,方便快速定位系统故障的原因,加速问题解决过程。
  • 新建告警模型:利用模型对管道中的日志数据进行监控,如果检测到有满足模型中设置触发条件的内容时,将产生告警提示。
  • 启用剧本:通过剧本实现安全事件的高效、自动化响应处置,降低安全事件的平均响应时间(MTTR),提高整体的安全防护能力。
  • 执行基线检查:通过执行基线检查可以帮助您评估当前系统、软件、数据库等的安全状态、识别安全风险、防范潜在威胁以及满足合规性要求等。
  • 配置防线策略:通过配置防线策略,联动其他安全服务,以便构建一个多层次、全方位的安全防护体系。
  • 新增应急策略:通过配置应急策略,可以迅速有效地应对网络安全威胁,限制或阻止来自特定IP地址的访问,从而保护网络资源和用户数据的安全。
  • 创建安全报告:可以自动发送安全态势报告,展示安全评分、基线检查结果、安全漏洞、策略覆盖等信息,方便及时掌握资产的安全状况数据。