操作場(chǎng)景

安全云腦（SecMaster）是華為云原生的新一代安全運(yùn)營中心，旨在為用戶提供一站式的云上安全管理解決方案。通過安全云腦，用戶可以實(shí)現(xiàn)對(duì)云上資產(chǎn)、安全態(tài)勢(shì)、安全信息和事件的集中管理，從而提升安全運(yùn)營效率和響應(yīng)速度。

本文檔將以首次在華北-北京四區(qū)域購買如下配置的安全云腦，并使用首個(gè)工作空間的默認(rèn)配置進(jìn)行安全運(yùn)營的場(chǎng)景為例進(jìn)行介紹：

• 計(jì)費(fèi)模式：包周期
• 版本：基礎(chǔ)版
• 主機(jī)配額：50

此場(chǎng)景的操作流程如下所示：

圖1 操作流程

操作流程

準(zhǔn)備工作

1. 在購買SecMaster之前，請(qǐng)先注冊(cè)華為賬號(hào)并開通華為云。具體操作詳見注冊(cè)華為賬號(hào)并開通華為云、實(shí)名認(rèn)證。

   如果您已開通華為云并進(jìn)行實(shí)名認(rèn)證，請(qǐng)忽略此步驟。

2. 請(qǐng)保證賬戶有足夠的資金，以免購買SecMaster失敗。具體操作請(qǐng)參見賬戶充值。
3. 請(qǐng)確保已為賬號(hào)賦予“SecMaster FullAccess”權(quán)限。

   購買安全云腦時(shí)，還需要為賬號(hào)授予“BSS Administrator”權(quán)限。

步驟一：購買安全云腦基礎(chǔ)版

安全云腦提供了“基礎(chǔ)版”、“標(biāo)準(zhǔn)版”、“專業(yè)版”供您使用，包括態(tài)勢(shì)感知、基線檢查、查詢與分析以及安全編排等功能。

本步驟以購買基礎(chǔ)版為例進(jìn)行參數(shù)設(shè)置及介紹，更多購買安全云腦詳細(xì)配置請(qǐng)參見購買安全云腦。

1. 登錄安全云腦 SecMaster控制臺(tái)。
2. 在頁面上方選擇區(qū)域后，在服務(wù)列表中選擇“ 安全與合規(guī) > 安全云腦 SecMaster”，進(jìn)入安全云腦控制臺(tái)。
3. 在總覽頁面中，單擊“購買安全云腦”后，在彈出的訪問授權(quán)頁面中，勾選同意授權(quán)并單擊“確認(rèn)”。
4. 在購買安全云腦頁面，配置購買參數(shù)。

   本示例中僅解釋必要參數(shù)，其他參數(shù)請(qǐng)根據(jù)實(shí)際情況進(jìn)行選擇。

   表1 購買安全云腦參數(shù)配置說明

   參數(shù)	示例	說明
   計(jì)費(fèi)模式	包周期	選擇安全云腦的“包周期”計(jì)費(fèi)模式。
   區(qū)域	華北-北京四	根據(jù)已有云上資源所在的區(qū)域選擇安全云腦的區(qū)域。
   版本	基礎(chǔ)版	安全云腦提供有基礎(chǔ)版、標(biāo)準(zhǔn)版、專業(yè)版供您選擇，請(qǐng)根據(jù)您的需求進(jìn)行選擇，各版本的功能差異請(qǐng)參見產(chǎn)品功能。
   配額數(shù)	1	配額數(shù)是指支持防護(hù)的最大 ECS 主機(jī)資產(chǎn)數(shù)量。請(qǐng)根據(jù)當(dāng)前賬戶下所有E CS 主機(jī)資產(chǎn)總數(shù)設(shè)置配額數(shù)，可設(shè)置最大主機(jī)配額需等于或大于當(dāng)前賬戶下主機(jī)總數(shù)量，且不支持減少。 配額數(shù)最大限制為10000臺(tái)。 為避免主機(jī)資產(chǎn)在防護(hù)份額外，不能及時(shí)感知攻擊威脅，而造成數(shù)據(jù)泄露等安全風(fēng)險(xiǎn)。當(dāng)主機(jī)資產(chǎn)數(shù)量增加后，請(qǐng)及時(shí)增加配額數(shù)。
   購買時(shí)長	1個(gè)月	根據(jù)需求選擇購買時(shí)長。

5. 確認(rèn)參數(shù)配置無誤后，在頁面右下角單擊“立即購買”。
6. 確認(rèn)訂單詳情無誤后，閱讀并勾選《安全云腦服務(wù)(SecMaster)免責(zé)聲明》，單擊“去支付”。
7. 在支付頁面，選擇付款方式完成付款，完成購買操作。
8. 單擊“返回安全云腦控制臺(tái)”，返回安全云腦控制臺(tái)頁面。

步驟二：新增工作空間

工作空間（ Workspace ）屬于安全云腦頂層工作臺(tái)，使用安全云腦功能前，需要先新增工作空間。

步驟三：安全運(yùn)營

首個(gè)工作空間新增完成后，安全云腦將自動(dòng)進(jìn)行空間初始化操作。初始化完成后，將可以進(jìn)行體驗(yàn)安全云腦功能。

1. 管理資產(chǎn)與風(fēng)險(xiǎn)

   安全運(yùn)營的本質(zhì)指安全風(fēng)險(xiǎn)管理，根據(jù)ISO的定義，其三要素包括“資產(chǎn)”，“脆弱性”和“威脅”。因此，梳理您要防護(hù)的資產(chǎn)，是安全運(yùn)營的業(yè)務(wù)流起點(diǎn)。

   • 資產(chǎn)管理

     安全云腦可以幫助您將云上資產(chǎn)從不同租戶、不同Region匯集到一個(gè)視圖中，還可以將云外資產(chǎn)導(dǎo)入到安全云腦中，并標(biāo)記其所屬的環(huán)境。匯聚后，將資產(chǎn)的風(fēng)險(xiǎn)情況標(biāo)識(shí)出來，例如：是否有不安全的配置、是否有OS或者應(yīng)用漏洞、是否存在疑似入侵的告警、是否覆蓋了對(duì)應(yīng)的防護(hù)云服務(wù)（例如：ECS上應(yīng)該安裝 HSS 的Agent、域名應(yīng)納入到 WAF 的防護(hù)策略中）等，方便查看資產(chǎn)的安全狀態(tài)。

     更多詳細(xì)介紹及操作請(qǐng)參見資產(chǎn)管理。

   • 檢查并清理不安全的配置

     在安全運(yùn)營過程中，最常見的“脆弱性”是不安全的配置。安全云腦基于安全合規(guī)經(jīng)驗(yàn)，形成自動(dòng)化檢查的基線，按照業(yè)界通用的規(guī)范標(biāo)準(zhǔn)，提供基線檢查包。

     • 提供了多種基線標(biāo)準(zhǔn)。
     • 云服務(wù)中的配置可以自動(dòng)檢查。如： IAM 是否按角色進(jìn)行授權(quán)分?jǐn)?shù)、 VPC 的安全組中是否存在完全放通的策略、WAF的防護(hù)策略是否開啟等。您可以根據(jù)“詳情”中建議的方法，對(duì)配置進(jìn)行加固。

     更多詳細(xì)介紹及操作請(qǐng)參見安全治理、基線檢查。

2. 使用總覽儀表盤展示當(dāng)前工作空間中資源的安全評(píng)分，快速了解當(dāng)前的安全狀況。

   更多詳細(xì)介紹及操作請(qǐng)參見態(tài)勢(shì)總覽。

相關(guān)信息

體驗(yàn)安全云腦基礎(chǔ)版后，如果需要運(yùn)用安全云腦進(jìn)行高效運(yùn)營，并靈活融合業(yè)務(wù)需求，可以選購標(biāo)準(zhǔn)版或?qū)I(yè)版，進(jìn)一步接入多樣化的數(shù)據(jù)源，激活全方位的模型與劇本功能，以實(shí)現(xiàn)更深層次、更全面的分析與運(yùn)營策略制定：

• 接入日志數(shù)據(jù)：接入華為云云服務(wù)日志數(shù)據(jù)，以統(tǒng)一管理日志信息，以及檢索并分析所有收集到的日志，可以實(shí)時(shí)監(jiān)控系統(tǒng)和網(wǎng)絡(luò)的安全狀態(tài)，及時(shí)發(fā)現(xiàn)異常行為和潛在威脅。
• 采集數(shù)據(jù)：接入多種云服務(wù)日志數(shù)據(jù)，整合和分析來自不同來源的信息，從而提供更全面的安全視角，可以更深入、全面地分析，方便快速定位系統(tǒng)故障的原因，加速問題解決過程。
• 漏洞管理：在修復(fù)配置類風(fēng)險(xiǎn)之后，安全云腦還可以發(fā)現(xiàn)并修復(fù)安全漏洞。支持檢測(cè)Linux軟件漏洞、Windows系統(tǒng)漏洞、Web-CMS漏洞、應(yīng)用漏洞、網(wǎng)站漏洞，提供漏洞概覽，包括主機(jī)漏洞檢測(cè)詳情、漏洞統(tǒng)計(jì)、漏洞類型分布、漏洞TOP5和風(fēng)險(xiǎn)服務(wù)器TOP5，幫助您實(shí)時(shí)了解漏洞情況。
• 查看告警信息：威脅檢測(cè)模型分析大量的安全云服務(wù)日志，找到疑似入侵的行為，即告警。安全云腦中的告警包含如下字段：名稱、等級(jí)、發(fā)起可疑行為的資產(chǎn)/威脅、遭受可疑行為的資產(chǎn)。安全運(yùn)營人員需要對(duì)告警做出分析判定。如果風(fēng)險(xiǎn)較低，則關(guān)閉告警（如：重復(fù)告警、運(yùn)維操作）；如果風(fēng)險(xiǎn)較高，需要單擊“轉(zhuǎn)事件”，將告警轉(zhuǎn)為事件。
• 查看事件信息：告警轉(zhuǎn)成事件后，就可以在事件管理中查看到生成的事件，事件生成后可以進(jìn)行調(diào)查分析，分析后對(duì)事件發(fā)起應(yīng)急響應(yīng)。您可以在事件上關(guān)聯(lián)與可疑行為相關(guān)的實(shí)體：資產(chǎn)（如：VM）、情報(bào)（如：攻擊源IP）、賬號(hào)（如：泄露的賬號(hào)）、進(jìn)程（如：木馬）等；也可以關(guān)聯(lián)歷史上相似的其他告警或事件。
• 新建告警模型：利用模型對(duì)管道中的日志數(shù)據(jù)進(jìn)行監(jiān)控，如果檢測(cè)到有滿足模型中設(shè)置觸發(fā)條件的內(nèi)容時(shí)，將產(chǎn)生告警提示。
• 安全分析：提供了日志數(shù)據(jù)檢索功能，幫助篩選威脅。
• 啟用劇本：通過劇本實(shí)現(xiàn)安全事件的高效、自動(dòng)化響應(yīng)處置，降低安全事件的平均響應(yīng)時(shí)間（MTTR），提高整體的安全防護(hù)能力。
• 配置防線策略：通過配置防線策略，聯(lián)動(dòng)其他安全服務(wù)，以便構(gòu)建一個(gè)多層次、全方位的安全防護(hù)體系。
• 新增應(yīng)急策略：通過配置應(yīng)急策略，可以迅速有效地應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，限制或阻止來自特定IP地址的訪問，從而保護(hù)網(wǎng)絡(luò)資源和用戶數(shù)據(jù)的安全。
• 創(chuàng)建安全報(bào)告：可以自動(dòng)發(fā)送安全態(tài)勢(shì)報(bào)告，展示安全評(píng)分、基線檢查結(jié)果、安全漏洞、策略覆蓋等信息，方便及時(shí)掌握資產(chǎn)的安全狀況數(shù)據(jù)。
• 安全大屏：查看資源的實(shí)時(shí)態(tài)勢(shì)并處理攻擊事件等，可以幫助安全運(yùn)營團(tuán)隊(duì)實(shí)時(shí)監(jiān)控和分析各種安全威脅和事件，從而做出快速響應(yīng)。