已找到“”相关的3158条内容
7.8.1 通知
7.8.1.1 概述
云安全中心支持通过短信、站内信、邮件的方式向您发送告警通知。您可根据业务需要配置进程异常行为、网页木马、网络威胁、反弹shell、持久化后门等告警通知。
7.8.1.2 设置短信/邮件告警通知
(1)登录CSOC控制台。
(2)单击左侧导航栏的“系统设置 > 通知”,进入通知页面。
(3)单击操作列的“设置”,弹出“设置-威胁告警”对话框。
(4)根据需要选择告警类别、风险等级、通知方式和通知时间后,完成后单击“保存”。
(5)在“系统设置 > 通知”页面,设置消息通知开关为开启。
(6)若触发告警,则可以在短信、站内信或邮件查看通知信息。
来自:文档中心
7.7.3 日志检索
7.7.3.1 概述
您可以在“日志检索”页面查询接入平台(云服务器、云数据库、云堡垒机、云防火墙等)的云产品告警日志、攻击日志、访问日志等原始日志详情、报文匹配自定义审计策略产生的审计事件详情;也可以查看日志聚合后的统计结果。
7.7.3.2 查看/下载原始日志
简介
您可以在“原始日志”页面查看日志发展趋势、日志详情,或下载日志到本地。
前提条件
请确认开通 CSOC 实例时已购买了日志审计资产授权数,并通过“换规格”授权(见切换服务规格)。
已完成多源日志接入配置。
操作步骤
(1)登录CSOC控制台。
(2)单击左侧导航栏的“日志审计 > 日志检索”,进入日志检索页面。
(...
来自:文档中心
7.7.2 审计概览
简介
“审计概览”页面展示接入平台的日志审计结果概览,包括原始日志发展趋势、审计事件发展趋势、不同审计类型的日志量、日志量备份情况等。
前提条件
请确认开通 CSOC 实例时已购买了日志审计资产授权数,并通过“换规格”授权(见切换服务规格)。
已完成多源日志接入配置。
操作步骤
(1)登录CSOC控制台。
(2)单击左侧导航栏的“日志审计 > 审计概览”,进入“审计概览”页面。
(3)(可选)设定统计分析的时间范围。
单击“近1天”、“近7天”、“近14天”、“近30天”或自定义时间,页面刷新展示原始日志发展趋势、审计事件发展趋势、审计类型日志量、审计类型日志量备份。
(4)(可...
来自:文档中心
7.5.7 告警白名单
7.5.7.1 概述
CSOC支持将信任的告警添加到白名单策略中,加白后,系统不再对符合白名单规则的事件告警。
您可以通过以下方式添加对应的白名单规则:
在处理告警事件时,通过“告警处置”中的“加白”方式添加,具体参见处理告警中的“加白”说明。
在“威胁检测 > 告警白名单”页面,通过“新建告警白名单”自行创建白名单规则,具体参见新建告警白名单。
7.5.7.2 新建告警白名单
简介
您可以将信任的告警类型添加到告警白名单中,系统在检测时不再产生相应的告警。
例如:如果您确认某进程为正常业务进程,并清楚该进程源文件的MD5值,您便可自定义白名单规则,将该进程源文件加入到白名单列表中...
来自:文档中心
7.7.1 概述
CSOC 可对接入的平台日志(云工作负载安全、云服务器、数据库审计、云堡垒机、云原生防火墙、TCS告警日志等)进行审计规则匹配,命中规则后产生审计事件。
“日志审计”页面提供日志审计结果概览、全量日志查询与分析、审计策略管理。您可在此页面执行与日志审计相关的操作。
1.日志审计功能正常使用的前提条件
请确认开通 CSOC 实例时已购买了日志审计资产授权数,并通过“换规格”授权(见切换服务规格)。
已完成多源日志接入配置。
2.审计日志存储说明
每个租户的日志存储容量最大为100GB,当日志存储达到容量阈值时,系统进行删除,删除比例为25%。
您可以在“审计概览”页面右上方的“存储使用...
来自:文档中心
7.5.6 查看告警攻击溯源
简介
CSOC支持自动化攻击溯源,可对攻击事件进行自动化溯源并提供原始数据预览。CSOC对所有告警都支持攻击溯源。
攻击溯源指结合多种云产品原始日志、主机/容器告警日志,通过大数据分析引擎对数据进行加工、聚合、可视化,最后形成攻击者入侵的链路图,帮助您在最短时间内定位入侵原因和制定应急决策。
操作步骤
(1)登录CSOC控制台。
(2)单击左侧导航栏的“威胁检测”,进入威胁检测页面。
(3)(可选)筛选出目标告警,参见过滤查看告警事件。
在“告警详情”区域,找到要查看攻击溯源的告警,单击告警类型列右侧的,进入攻击溯源页面。
(5)您可以设置查看步长。在攻击链路拓扑图中,您可以查看攻击告...
来自:文档中心
7.6.1 封禁处置
7.6.1.1 概述
云安全中心 CSOC 通过接入云原生防火墙CNFW设备,对入云流量做分析,如果达到致命级别,就会关联路径上的安全设备予以封禁。系统支持手动添加封禁IP、手动封禁、解封等;通过API调用方式下发策略到该租户的CNFW设备中实现封禁联动。
7.6.1.2 添加封禁IP
简介
您可以手动添加封禁IP,在封禁IP添加成功后,可以通过手动封禁封禁该IP,封禁时长为手动封禁时设置的时长。
操作步骤
(1)登录CSOC控制台。
(2)单击左侧导航栏的“调查响应 > 封禁处置”,进入封禁处置页面。
(3)单击“添加封禁IP”,弹出“添加封禁IP”对话框。
(4)设置参数后,...
来自:文档中心
7.5.1 概述
为解决告警事件数量庞大,分析和处置方法复杂,告警事件无法统一管理等问题,CSOC 的威胁检测模块提供了安全告警事件统一处置与响应功能,帮助用户集中处理全网安全事件,提升安全运营效率。
您可以在“威胁检测”页面查看所有告警事件详情和处理建议、Top10风险工作负载和Top10告警类型。
“威胁检测”页面展示的是聚合的告警,“告警详情”展示的是满足聚合条件的最新一条告警的详细信息。
CSOC 提供的安全告警事件统一处置与响应功能包括:
支持多种告警类型,如:进程异常行为、反弹shell、可信环境异常、横向移动、网页木马、网络威胁、异常登录、网络侦察、恶意软件查杀、拒绝服务攻击、Web攻击、...
来自:文档中心
9.11.2 定期清理
简介
定期清理的配置主要控制本地保存的记录,当录像与日志存储到外部存储中,不受该页面配置影响。
定期清理类型有:登录、任务、操作、上传下载日志和数据库记录,可以配置定时清理周期和按使用量清理,为服务器存储减轻压力。
操作步骤
(1)登录云原生堡垒机系统。
(2)单击右上角的“系统设置”按钮,进入系统设置页面。
(3)单击左侧导航栏的“日志管理”,进入日志管理页面。
(4)单击“定期清理”页签,进入定期清理页面。
(5)根据下表中的参数说明配置参数信息。
(6)根据需求配置信息,单击“重置”,可清除当前更新的信息,单击“提交”,完成更新操作。
来自:文档中心
9.7.2 登录限制
简介
登录限制页面是对用户登录云原生堡垒机的一系列设置。
操作步骤
(1)登录云原生堡垒机系统。
(2)单击右上角的“系统设置”按钮,进入系统设置页面。
(3)单击左侧导航栏的“安全设置”,进入安全设置页面。
(4)单击“登录限制”页签,进入登录限制页面。
(5)根据下表中的参数说明配置参数信息。
(6)根据需求配置信息,单击“重置”,可清除当前更新的信息,单击“提交”,完成更新操作。
来自:文档中心
