网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts盘古助手
华为云Astro大屏应用
计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
云手机服务器 CPH
专属主机 DeH
弹性伸缩 AS
镜像服务 IMS
函数工作流 FunctionGraph
云耀云服务器(旧版)
VR云渲游平台 CVR
Huawei Cloud EulerOS
云化数据中心 CloudDC
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
CDN与智能边缘
内容分发网络 CDN
智能边缘云 IEC
智能边缘平台 IEF
CloudPond云服务
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
可信智能计算服务 TICS
推荐系统 RES
云搜索服务 CSS
数据可视化 DLV
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
湖仓构建 LakeFormation
智能数据洞察 DataArts Insight
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
开天aPaaS
应用平台 AppStage
开天企业工作台 MSSE
开天集成工作台 MSSI
API中心 API Hub
云消息服务 KooMessage
交换数据空间 EDS
云地图服务 KooMap
云手机服务 KooPhone
组织成员账号 OrgID
云空间服务 KooDrive
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
区块链
区块链服务 BCS
数字资产链 DAC
华为云区块链引擎服务 HBS
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
价格
成本优化最佳实践
专属云商业逻辑
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
其他
管理控制台
消息中心
产品价格详情
系统权限
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
云服务信任体系能力说明
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts盘古助手
华为云Astro大屏应用
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
存储容灾服务 SDRS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
云存储网关 CSG
专属分布式存储服务 DSS
数据工坊 DWR
地图数据 MapDS
键值存储服务 KVS
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
云原生服务中心 OSC
应用服务网格 ASM
华为云UCS
数据库
云数据库 RDS
数据复制服务 DRS
文档数据库服务 DDS
分布式数据库中间件 DDM
云数据库 GaussDB
云数据库 GeminiDB
数据管理服务 DAS
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
AI开发平台ModelArts
华为HiLens
图引擎服务 GES
图像识别 Image
文字识别 OCR
自然语言处理 NLP
内容审核 Moderation
图像搜索 ImageSearch
医疗智能体 EIHealth
企业级AI应用开发专业套件 ModelArts Pro
人脸识别服务 FRS
对话机器人服务 CBS
语音交互服务 SIS
人证核身服务 IVS
视频智能分析服务 VIAS
城市智能体
自动驾驶云服务 Octopus
盘古大模型 PanguLargeModels
IoT物联网
设备接入 IoTDA
全球SIM联接 GSL
IoT数据分析 IoTA
路网数字化服务 DRIS
IoT边缘 IoTEdge
设备发放 IoTDP
企业应用
域名注册服务 Domains
云解析服务 DNS
企业门户 EWP
ICP备案
商标注册
华为云WeLink
华为云会议 Meeting
隐私保护通话 PrivateNumber
语音通话 VoiceCall
消息&短信 MSGSMS
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
云桌面 Workspace
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMA Exchange
API全生命周期管理 ROMA API
政企自服务管理 ESM
视频
实时音视频 SparkRTC
视频直播 Live
视频点播 VOD
媒体处理 MPC
视频接入服务 VIS
数字内容生产线 MetaStudio
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
专属云
专属计算集群 DCC
开发者工具
SDK开发指南
API签名指南
DevStar
华为云命令行工具服务 KooCLI
Huawei Cloud Toolkit
CodeArts API
云化转型
云架构中心
云采用框架
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
支持计划
专业服务
合作伙伴支持计划
我的凭证
华为云公共事业服务云平台
工业软件
工业数字模型驱动引擎
硬件开发工具链平台云服务
工业数据转换引擎云服务
文档首页/ 安全云脑 SecMaster/ 快速入门/ 购买和使用安全云脑专业版

购买和使用安全云脑专业版

更新时间:2024-12-26 GMT+08:00
分享

操作场景

安全云脑(SecMaster)是华为云原生的新一代安全运营中心,旨在为用户提供一站式的云上安全管理解决方案。通过安全云脑,用户可以实现对云上资产、安全态势、安全信息和事件的集中管理,从而提升安全运营效率和响应速度。

本文档将以首次在华北-北京四区域购买如下配置的安全云脑,并使用首个工作空间进行安全运营的场景为例进行介绍:

  • 计费模式:包周期
  • 版本:专业版
  • 主机配额:50
  • 增值包:安全大屏、日志审计、安全分析、安全编排

此场景的操作流程如下所示:

图1 操作流程

操作流程

操作步骤

说明

准备工作

注册华为账号、开通华为云,并为账户充值、赋予SecMaster权限。

步骤一:购买安全云脑专业版

购买安全云脑,选择版本(本文以专业版为例)、主机配额等信息。

步骤二:新增工作空间

新增首个用于安全运营的工作空间。

步骤三:接入数据

接入数据信息,便于安全云脑对资源进行全面管理。

  • 订阅资产数据:订阅当前账号当前region中所有资产信息,方便统一管理资产信息。
  • 接入日志数据:接入其他服务日志数据,便于统一管理和分析。
    • 接入华为云服务日志数据
    • (可选)接入非华为云日志数据

步骤四:配置和启用相关检查

启用告警模型、剧本,执行基线检查,并配置策略管理,全面检查资源。

  • 启用内置模型:可以利用模型对日志数据进行监控,如果检测到满足触发条件的内容时,将产生告警提示。
  • 启用剧本:可以实现安全事件的高效、自动化响应处置。
  • 执行基线检查:可以了解最新的云服务基线配置状态,获取云服务基线的风险配置。
  • (可选)配置防线策略和应急策略:通过配置防线策略,实现全流程安全防护;通过配置应急策略进行风险控制。

步骤五:创建报告

设置报告信息,实现安全运营报告自动发送。

步骤六:安全运营

配置完成后,便可以针对集成的数据执行资产管理、检测威胁、调查告警等操作。

准备工作

  1. 在购买SecMaster之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云实名认证

    如果您已开通华为云并进行实名认证,请忽略此步骤。

  2. 请保证账户有足够的资金,以免购买SecMaster失败。具体操作请参见账户充值
  3. 请确保已为账号赋予“SecMaster FullAccess”权限。具体操作请参见创建用户并授权使用SecMaster

    购买安全云脑时,还需要为账号授予“BSS Administrator”权限。

步骤一:购买安全云脑专业版

安全云脑提供了“基础版”“标准版”“专业版”供您使用,包括态势感知、基线检查、查询与分析以及安全编排等功能。

本步骤以购买专业版为例进行参数设置及介绍,更多购买安全云脑详细配置请参见购买安全云脑

  1. 登录华为云管理控制台
  2. 在页面上方选择区域后,在服务列表中选择安全与合规 > 安全云脑 SecMaster,进入安全云脑控制台。
  3. 在总览页面中,单击“购买安全云脑”后,在弹出的访问授权页面中,勾选同意授权并单击“确认”
  4. 在购买安全云脑页面,配置购买参数。
    表1 购买安全云脑参数配置说明

    参数

    示例

    说明

    计费模式

    包周期

    选择安全云脑的计费模式。

    • 包周期:一种预付费模式,即先付费再使用,按照订单的购买周期进行结算。购买周期越长,享受的折扣越大。
    • 按需:一种后付费模式,即先使用再付费,按照实际使用时长计费,秒级计费,按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用,无需提前预置资源,从而降低预置过多或不足的风险。

    区域

    华北-北京四

    根据已有云上资源所在的区域选择安全云脑的区域。

    版本

    专业版

    安全云脑提供有基础版、标准版、专业版供您选择,请根据您的需求进行选择,各版本的功能差异请参见产品功能

    配额数

    50

    配额数是指支持防护的最大ECS主机资产数量。请根据当前账户下所有ECS主机资产总数设置配额数,可设置最大主机配额需等于或大于当前账户下主机总数量,且不支持减少。

    • 配额数最大限制为10000台。
    • 为避免主机资产在防护份额外,不能及时感知攻击威胁,而造成数据泄露等安全风险。当主机资产数量增加后,请及时增加配额数。

    安全大屏

    开启

    确认是否需要使用安全云脑提供的“安全大屏”功能,是否需要增配“日志审计”“安全分析”“安全编排”功能。如果需要购买,请根据您的需要设置对应的购买量。

    增值包说明、配置推荐详细介绍请参见增值包说明

    日志审计

    现在购买并根据每日新增日志量设置规格。

    安全分析

    现在购买并根据需要设置每日每台服务器的配额数量。

    安全编排

    现在购买并设置每日数据采集量和数据存储总量。

    标签

    • 标签键:test
    • 标签值:01

    为安全云脑绑定标签,用来标识资源。标签更多详细介绍请参见值包说明标签管理服务

    购买时长

    1个月

    根据需求选择购买时长,“按需”模式无需配置。

    勾选“自动续费”后,当服务期满时,系统会自动按照购买周期进行续费。

  5. 确认参数配置无误后,在页面右下角单击“立即购买”
  6. 确认订单详情无误后,阅读并勾选《安全云脑服务(SecMaster)免责声明》,单击“去支付”
  7. 在支付页面,选择付款方式完成付款,完成购买操作。
  8. 单击“返回安全云脑控制台”,返回安全云脑控制台页面。

步骤二:新增工作空间

工作空间(Workspace)属于安全云脑顶层工作台,使用安全云脑功能前,需要先新增工作空间。

  1. 在左侧导航栏选择工作空间 > 空间管理,进入工作空间管理页面。
    图2 工作空间管理页面
  2. 在弹出的授权页面中,默认已勾选所需全部权限,请勾选权限下方的“同意授权”,并单击“确认”

    由于安全云脑功能对其他云服务资源有依赖,需要您将相关云服务的操作权限委托给安全云脑,让安全云脑以您的身份使用这些云服务,代替您进行一些任务调度、资源运维等工作。

    当您首次使用安全云脑时,需要先进行委托授权操作,才能正常访问和使用安全云脑。

  3. 在工作空间管理页面中,单击“新增”,并配置工作空间参数。

    本示例中仅解释必要参数,其他参数请根据实际情况进行选择。

    表2 新增工作空间参数配置说明

    参数

    示例

    说明

    区域

    华北-北京四

    根据待查看的云上资源所在的区域选择创建工作空间的区域。

    项目类型

    普通项目

    选择工作空间所属的项目。

    工作空间名称

    SecMaster

    安全运营工作空间的名称。

  4. 单击“确定”

步骤三:接入数据

由于安全云脑中的数据来源于其他云服务,因此,工作空间创建完成后,需要接入数据信息,便于安全云脑对资源进行全面管理。

  • 接入资产

    安全云脑纳管了网站、弹性云服务器、数据库、IP、VPC等资产,并关联对应的安全服务,护网、重保期间立志于从网络层、应用层、主机层、数据层等多方面构建整体网络防护架构,全面保障用户业务系统的安全稳定。

    每个Region的首个工作空间可自动加载当前Region所有资产。后续新增的用于自定义运营的工作空间,不会自动加载资产,需要用户自定义接入。

    本部分介绍如何手动接入资产数据信息。

    1. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
      图3 进入目标工作空间管理页面
    2. 在左侧导航栏选择资产管理 > 资产管理,进入资产管理页面。
      图4 资产管理
    3. 在资产管理页面中,单击页面右上角“资产订阅设置”,右侧弹出订阅资产设置页面。
    4. 在订阅资产设置页面中,在需要订阅资产所在的region所在行“是否开通”列开启订阅。
    5. 单击页面右下角的“确认”

      订阅后,资产信息将在一分钟内同步展示。后续,将每天晚上自动同步资产信息。

  • 接入云服务日志数据

    日志作为安全运营提供重要数据支撑,安全云脑支持一键接入WAF、HSS等多种华为云云产品的日志数据。接入后,可以统一管理日志信息,以及检索并分析所有收集到的日志。

    每个Region的首个工作空间可自动加载当前Region推荐接入的云服务日志数据(未全部接入)。后续新增的用于自定义运营的工作空间,不会自动加载数据,需要用户自定义接入。

    说明:

    建议将安全云脑管理的资产以及资产的告警、基线检查结果、漏洞数据、日志数据接入同一个工作空间,便于统一运营,进行安全分析关联。

    本部分介绍如何接入所需要的且未自动接入的云服务日志数据。

    1. 在左侧导航栏选择设置 > 数据集成,进入云服务日志接入页面。
      图5 数据集成页面
    2. 在待接入云产品的“审计相关日志”列,单击,开启接入的云服务日志。

      建议直接单击“一键接入服务日志”前的按钮,一键接入当前region所有云服务日志。

    3. 设置生命周期,建议保持默认即可。
    4. 设置是否自动转告警。

      在待设置云产品的“自动转告警”列,单击,开启接入的云服务日志满足告警条件时,自动转为告警。

    5. 单击“保存”

      接入完成后,将创建默认数据空间和管道。

  • (可选)接入非华为云日志数据

    安全云脑的日志采集功能支持将第三方(非华为云)安全日志接入安全云脑,详细操作请参见采集数据

步骤四:配置和启用相关检查

  • 新建并启用告警模型

    安全云脑内置了基于应用、网络、主机多维度的安全分析模型,自动化的完成数据汇聚、分析和报警。

    通过模型汇聚分析筛选告警,降低误报率,提升值班人员分析处理效率。同时,也可以结合用户场景编辑模型进行模型调整,适配不同用户场景,降噪告警。

    每个Region的首个工作空间可自动启用推荐使用的内置的告警模型(未全部启用),后续新增的用于自定义运营的工作空间,不会自动启用预置模型,需要用户自定义创建并启用。

    如果有需要使用的且未自动启用的模型,请参照以下步骤使用已有模板创建模型:

    1. 在左侧导航栏选择威胁运营 > 智能建模,进入智能建模页面后,选择“模型模板”页签,进入模型模板页面。
      图6 模型模板页面
    2. 在模型模板列表中,单击目标模型模板所在行“操作”列的“详情”,并在右侧弹出模板详情页面右下角单击“创建模型”
    3. 在新增告警模型页面中,配置告警模型基础信息。
      • 管道名称:选择该告警模型的执行管道。依赖的执行管道名称可根据描述中的“使用约束”选择。
        图7 获取管道名称
      • 其他参数建议保持默认值即可。
    4. 设置完成后,单击页面右下角“下一步”,进入设置模型逻辑页面。
    5. 设置模型逻辑,建议保持默认即可。
    6. 设置完成后,单击页面右下角“下一步”,进入模型详情预览页面。
    7. 预览确认无误后,单击页面右下角“确定”
    8. 重复2-7为其他模板创建告警模型。
  • 启用剧本

    数据接入后,针对云上安全事件提供了安全编排剧本,实现安全事件的高效、自动化响应处置。

    每个Region的首个工作空间可自动启用内置的流程,无需再进行手动启用。同时,内置的剧本中推荐使用的高频剧本默认已启用(未全部启用)。后续新增的用于自定义运营的工作空间,不会自动启用剧本,需要用户自定义启用。

    若还需开启未默认启用的剧本,请参考下述操作步骤进行启用:

    1. 在左侧导航栏选择安全编排 > 剧本编排,默认进入剧本管理页面。
      图8 进入剧本管理页面
    2. 在剧本页面中,单击目标剧本所在行“操作”列的“启用”
    3. 在弹出启用确认信息框中,选择启用的剧本版本v1,并单击“确认”
  • 执行基线检查

    接入数据后,需要执行基线检查,以便检查云上资产的关键配置项。通过执行扫描任务,检查云服务基线配置风险状态,分类呈现云服务配置检测结果,告警提示存在安全隐患的配置,并提供相应配置加固建议和帮助指导。基线检查功能支持定期自动检查和立即检查:

    • 定期自动检查:根据安全云脑提供的默认基线检查计划或您自定义的基线检查计划,定时自动执行基线检查。
    • 立即检查:支持立即检查所有检查规范或某个检查计划,实时查看是否存在基线风险。

    本步骤以立即检查已有的遵从包中所有检查项的遵从情况为例进行介绍。

    1. 在左侧导航栏选择风险预防 > 基线检查,默认进入检查结果管理页面。
      图9 进入基线检查结果页面
    2. 在检查结果页面中,单击“立即检查”,并在弹出的确认框中,单击“确认”,立即执行扫描任务。

      刷新页面,查看“最近检查时间”,即可确认是否为最新的扫描结果。

  • (可选)配置防线策略和应急策略

    通过策略配置可以开通、配置和使用七层安全防线,实现全流程安全防护。同时,支持通过应急策略功能进行风险控制。

    1. 配置防线策略。

      本部分以配置应用防线WAF防护策略为例进行介绍。

      1. 在左侧导航栏选择风险预防 > 策略管理,默认进入防线策略管理页面。
        图10 进入防线策略管理页面
      2. 单击应用防线名称,右侧滑出应用防线对应的云产品信息。
      3. 在WAF页签中,单击“防护策略”,进入WAF防护策略配置页面。

        如果还未购买WAF,请在产品介绍描述信息中单击产品名称“Web应用防火墙”,进入WAF控制台页面后,单击“购买WAF实例”,进入购买WAF页面,参见购买WAF开通WAF产品。

      4. 在WAF防护策略配置,选择“策略管理”页签,进入策略管理页面后,单击列表的左上角的“添加防护策略”
      5. 在弹出的对话框中,输入策略名称,单击“确认”,添加的策略会展示在策略列表中。
      6. 在目标策略所在行,单击策略名称,进入防护规则配置页面,参见配置防护规则为策略添加防护规则。
    2. 配置应急策略。
      1. 在左侧导航栏选择风险预防 > 策略管理,进入策略管理页面后,选择“应急策略”页签,进入应急策略管理页面。
        图11 进入应急策略管理页面
      2. 在应急策略管理页面中,单击“新增”,右侧弹出新增应急策略页面。
      3. 在新增策略页面中,配置策略信息。
        表3 新增应急策略

        参数名称

        参数说明

        阻断对象类型

        选择阻断对象的类型,可选择IP或IAM。

        阻断对象

        • 当阻断对象类型选择IP时,输入需要阻断的单个(或多个)IP地址或IP地址段,如有多个IP地址或地址段,请使用英文逗号隔开。
        • 当阻断对象类型为IAM时,请填写IAM用户名称。
        • 单次下发应急策略阻断对象说明如下:
          • 当需要下发策略至CFW时,单用户单次最多可新增50个IP作为阻断对象。
          • 当需要下发策略至WAF时,单用户单次最多可新增50个IP作为阻断对象。
          • 当需要下发策略至VPC时,单用户单次1分钟内最多可新增20个IP作为阻断对象。
          • 当需要下发策略至IAM时,单用户单次最多可新增50个IAM用户作为阻断对象。

        标签

        自定义应急策略的标签。

        操作连接

        操作七层防线中安全服务的阻断流程所绑定的资产连接。

        选择该策略的操作连接。

        阻断老化

        确认是否老化该条阻断。

        • 如果选择是,请设置策略老化时间,如设置为180天,即该策略在设置后的180天内有效,180天后将不再继续阻断设置的IP地址或IP地址段或IAM用户。
        • 如果选择否,则该策略将一直有效,阻断设置的IP地址或IP地址段或IAM用户。

        策略描述

        自定义该策略的描述信息。

      4. 单击“确定”

步骤五:创建报告

安全云脑可以自动发送安全态势报告,展示安全评分、基线检查结果、安全漏洞、策略覆盖等信息,方便及时掌握资产的安全状况数据。

本步骤以创建安全运营日报为例进行介绍。

  1. 在左侧导航栏选择安全态势 > 安全报告,进入安全报告页面。
    图12 进入安全报告页面
  2. 在安全报告页面中单击按钮,进入配置报告基本信息页面后,配置报告基本信息。
    表4 报告基本信息参数说明

    参数

    示例

    说明

    报告名称

    安全态势报告-日报

    自定义报告名称。

    报告类型

    日报

    选择安全态势报告的类型。

    统计周期

    --

    根据您选择的“报告类型”显示安全报告统计周期,无需单独配置。

    报告发送时间

    --

    设置安全态势报告的发送时间点。

    当报告类型为日报时,默认发送前一天00:00:00~23:59:59的安全信息报告。

    邮件标题

    安全云脑安全态势日报

    设置报告发送邮件的标题信息。

    报告接收人邮箱

    test01@example.com

    添加接收人邮箱地址。

    • 最多可添加100个邮箱地址。
    • 有多个邮箱地址,请使用英文分号隔开。例如:test01@example.com;test02@example.com

    (可选)抄送

    test03@example.com

    添加抄送人邮箱地址。

    • 最多可添加100个邮箱地址。
    • 有多个邮箱地址,请使用英文分号隔开。例如:test03@example.com;test04@example.com

    (可选)备注

    --

    自定义安全报告的备注信息。

  3. 报告基本信息配置完成后,单击右下角“下一步:报告选择”,进入报告选择页面。
  4. “报告选择”页面的左侧已有报告布局中,选择已有报告布局。选择完成后,可以在右侧页面中预览报告样式。

    此处示例选择“日报”

  5. 单击右下角“完成”,返回安全报告管理页面,即可查看创建的安全报告。

步骤六:安全运营

首个工作空间新增完成后,安全云脑将自动进行空间初始化操作。初始化完成后,将可以进行管理资产、检查与寻找威胁、调查告警、响应威胁等安全运营操作,同时,还可以使用仪表盘、大屏等查看安全态势。

图13 安全运营
  1. 管理资产与风险

    安全运营的本质指安全风险管理,根据ISO的定义,其三要素包括“资产”,“脆弱性”和“威胁”。因此,梳理您要防护的资产,是安全运营的业务流起点。

    • 资产管理

      安全云脑可以帮助您将云上资产从不同租户、不同Region汇集到一个视图中,还可以将云外资产导入到安全云脑中,并标记其所属的环境。汇聚后,将资产的风险情况标识出来,例如:是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务(例如:ECS上应该安装HSS的Agent、域名应纳入到WAF的防护策略中)等,方便查看资产的安全状态。

      更多详细介绍及操作请参见资产管理

    • 检查并清理不安全的配置

      在安全运营过程中,最常见的“脆弱性”是不安全的配置。安全云脑基于安全合规经验,形成自动化检查的基线,按照业界通用的规范标准,提供基线检查包。

      • 提供了多种基线标准。
      • 云服务中的配置可以自动检查。如:IAM是否按角色进行授权分数、VPC的安全组中是否存在完全放通的策略、WAF的防护策略是否开启等。您可以根据“详情”中建议的方法,对配置进行加固。

      更多详细介绍及操作请参见安全治理基线检查

    • 发现并修复漏洞

      在修复配置类风险之后,安全云脑还可以帮助您,发现并修复安全漏洞。支持检测Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞、网站漏洞,提供漏洞概览,包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5,帮助您实时了解漏洞情况。

      更多详细介绍及操作请参见漏洞管理

  2. 检测与寻找威胁

    数据源连接到安全云脑后,我们已经清点了要保护的资产,并查找及修复了不安全的配置和漏洞,接下来就是识别可疑活动和威胁。

    安全云脑可提供多种内置的由安全专家和分析团队根据已知威胁、常见攻击媒介和可疑活动上报链设计的模型,使您能够执行某些对应操作时收到此类威胁的通知。启用这些模型后,它们将自动在整个环境中搜索可疑活动。同时,可以根据您的需要自定义模型,以搜索或筛选出威胁。

    同时,提供了日志数据检索功能,帮助您筛选威胁。

    更多详细介绍及操作请参见模型模板安全分析

  3. 调查告警与事件
    • 调查告警

      威胁检测模型分析大量的安全云服务日志,找到疑似入侵的行为,即告警。安全云脑中的告警包含如下字段:名称、等级、发起可疑行为的资产/威胁、遭受可疑行为的资产。安全运营人员需要对告警做出分析判定。如果风险较低,则关闭告警(如:重复告警、运维操作);如果风险较高,需要单击“转事件”,将告警转为事件。

      更多详细介绍及操作请参见查看告警信息告警转事件

    • 调查事件

      告警转成事件后,就可以在事件管理中查看到生成的事件,事件生成后可以进行调查分析,分析后对事件发起应急响应。您可以在事件上关联与可疑行为相关的实体:资产(如:VM)、情报(如:攻击源IP)、账号(如:泄露的账号)、进程(如:木马)等;也可以关联历史上相似的其他告警或事件。

      更多详细介绍及操作请参见查看事件信息编辑事件

  4. 响应威胁

    当您在对告警、事件进行响应时,可以使用剧本来做自动化处置,提高效率。

    更多详细介绍及操作请参见安全编排

  5. 使用总览仪表盘、大屏、报告
    • 总览仪表盘

      展示当前工作空间中资源的安全评分,快速了解当前的安全状况。

    • 安全大屏

      查看资源的实时态势并处理攻击事件等,可以帮助安全运营团队实时监控和分析各种安全威胁和事件,从而做出快速响应。

    • 安全报告

      可以自动发送安全态势报告,展示安全评分、基线检查结果、安全漏洞、策略覆盖等信息,及时掌握资产的安全状况数据。

    更多详细介绍及操作请参见态势总览安全大屏安全报告

提示

您即将访问非华为云网站,请注意账号财产安全

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容