产品介绍
文档版本 33
发布日期 2022-02-11
版权所有 © 华为技术有限公司 2022。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传 播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或 特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声 明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文 档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
目 录
1 什么是态势感知?... 1
2 功能特性...2
3 应用场景...13
4 服务版本差异...14
5 计费说明...20
6 基本概念...23
7 SA 权限管理...26
8 与其他云服务的关系... 29
A 修订记录... 30
1 什么是态势感知?
态势感知(Situation Awareness,SA)是华为云安全管理与态势分析平台。能够检测 出超过20大类的云上安全风险,包括DDoS攻击、暴力破解、Web攻击、后门木马、僵 尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术,态势感知可以 对攻击事件、威胁告警和攻击源头进行分类统计和综合分析,为用户呈现出全局安全 攻击态势。
工作原理
态势感知通过采集全网流量数据和安全防护设备日志信息,并利用大数据安全分析平 台进行处理和分析,态势感知检测出威胁告警,同时将企业主机安全、Web防火墙和 DDoS流量清洗等安全服务上报的告警数据进行汇合,实时为用户呈现完整的全网攻击 态势,进而为安全事件的处置决策提供依据。
2 功能特性
态势感知提供全局安全态势集中管理,包括安全概览、资源管理、业务分析、综合大 屏、资产管理、威胁告警、漏洞管理、基线检查、安全报告、检查结果、产品集成、
日志管理等功能。
安全概览
安全概览呈现云上整体安全评估状况,并联动其他云安全服务,集中展示云上安全。
表2-1 安全概览功能介绍 功能模块 功能详情
安全评分 根据版本威胁检测能力,评估整体资产安全健康得分,可快速了解未 处理风险对资产的整体威胁状况。
评估得分越低,即风险值越大,则整体资产安全隐患越大。
安全监控 集中呈现未处理的威胁告警、漏洞和基线检查的风险数目,支持快速 查看威胁告警、漏洞和基线风险详情。
安全趋势 呈现最近7天整体资产安全健康得分的趋势图。
威胁检测 集中呈现最近7天检测到的告警数量及类型。
资源管理
态势感知24小时全方位防护云上资产,呈现云上资产实时安全状态。
表2-2 资源管理功能说明 功能模块 功能详情
资源管理 同步当前帐号中所有资源的安全状态统计信息。
支持查看资源的名称、所属服务、所属区域、安全状况等,帮助您快 速定位安全风险问题并提供解决方案。
目前支持查看以下资源的安全状况:
● 弹性云服务器 ECS
● 虚拟私有云 VPC
● 对象存储服务 OBS
● 弹性公网IP EIP
● 云解析服务 DNS
● 弹性负载均衡 ELB
● 云数据库 RDS
● 裸金属服务器 BMS
● 云容器引擎 CCE
● 云容器实例 CCI
● Web应用防火墙 WAF
● SSL证书管理 SCM
● 云硬盘 EVS
业务分析
业务分析全面展示云上资产的安全状态和存在的安全风险。
表2-3 业务分析功能说明 功能模块 功能详情 HSS专项分
析
关联HSS云主机资产防护服务,分析并呈现主机的安全状态和存在的 安全风险,需先购买HSS服务。
WAF专项分 析
关联WAF网络应用防火墙服务,分析并呈现网络应用的安全状态和存 在的安全风险,需先购买WAF服务。
DBSS专项分 析
关联DBSS数据库安全服务,分析并呈现数据的安全状态和存在的安 全风险,需先购买DBSS审计服务。
综合大屏
利用AI技术将海量云安全数据的分析并分类,通过综合大屏将数据可视化展示,集中 呈现云上实时动态,云上关键风险一目了然,掌握云上安全态势更简单,更直观,更 高效。
表2-4 综合大屏功能说明 功能模块 功能详情 综合态势感
知
大屏集中展示云上综合安全态势,支持查看以下组件内容:
● 全网安全地图
将攻击源和受威胁资产具象化,投射到全球区域地图,动态呈现全 网受威胁资产区域和攻击来源地。
● 全网威胁度
统计全网资产受威胁数目。
● 今日威胁雷达图
呈现当日检测出的威胁事件数目。
● 威胁事件趋势
呈现近7天的威胁事件数目的变化趋势。
● 受威胁资产数量趋势
呈现近7天的受威胁资产数量的变化趋势。
● 威胁类型分布
呈现不同威胁类型的分布状况。
● 受攻击资产区域分布
呈现受威胁主机的区域分布状况。
● 威胁源主机TOP5
呈现攻击次数前五的攻击源主机信息。
主机安全态 势
大屏集中呈现华为云主机安全态势,支持查看以下组件内容:
● 风险主机地图
将风险主机具象化,投射到各区域,动态呈现当日总主机风险数 量、Windows系统主机风险数量、Linux系统主机风险数量。
● 主机安全事件统计
呈现5类威胁事件发生次数,以及受威胁资产数量,主要包括暴力 破解、异地登录、恶意程序、网站后门和文件变更。
● 资产统计
呈现当前华为云Windows系统主机和Linux系统主机数量。
● 近7天暴力破解趋势
呈现近7天暴力破解攻击次数的变化趋势。
● 近7天风险主机趋势
呈现近7天风险主机被攻击次数的变化趋势。
● TOP5风险云主机
呈现被攻击次数前五的风险主机信息。
● 暴力破解类型
资产安全
态势感知24小时全方位防护云上主机和网站安全,呈现云上资产实时安全状态。
表2-5 资产安全功能说明 功能模块 功能详情
主机资产 同步主机资产信息,列表统计主机整体安全状况的信息。
支持查看主机资产的防护状态、当前安全状况、风险值和被攻击次数 等。
网站资产 通过添加目标网站,并一键扫描任务,检查网站安全状态和所有漏洞 项目,列表呈现各网站资产的总体安全状况统计信息。
支持查看网站扫描结果详情,包括“扫描项总览”、“漏洞列表”和
“站点结构”,并支持下载网站漏洞安全报告。
● 扫描项总览
呈现当前网站漏洞扫描检查的所有项目和检测结果。呈现的检查项 包括“恶意内容”、“潜在风险”和“网站安全漏洞”。
– 恶意内容包括检测恶意外链、挖矿后门和网页木马。
– 潜在风险包括检测网站请求头、https协议。
– 网站安全漏洞包括检测跨站请求伪造、应急漏洞、信息泄露、注 入攻击、跨站脚本攻击等。
● 漏洞列表
扫描出的漏洞详细列表信息。
● 站点结构
显示网站扫描监测出的漏洞,以及漏洞的具体站点位置。
威胁告警
通过利用大数据量、高准确度的威胁情报库,“实时监控”云上威胁攻击,提供告警 通知和监控,记录近180天告警事件详情,分析威胁攻击情况,并针对典型威胁事件预 置策略实施防御手段。
目前支持检测和呈现8大类威胁告警事件,包括DDoS、暴力破解、Web攻击、后门木 马、僵尸主机、异常行为、漏洞攻击和命令与控制,详细说明请参见威胁告警事件。
表2-6 威胁告警功能说明 功能模块 功能详情
告警列表 列表呈现威胁告警事件统计信息,支持查看告警事件和受威胁资产详 情,并支持导出全部告警事件。
威胁分析 支持从“攻击源”或“被攻击资产”查询威胁攻击,统计威胁攻击次 数或资产被攻击次数。
告警监控 自定义监控的威胁名单、告警类型、告警级别等,选择性呈现关注的
功能模块 功能详情
通知告警 自定义威胁告警通知,支持设置每日定时告警通知和实时告警通知,
通过接收消息通知及时了解威胁风险。
威胁告警事件
默认“实时监控”并上报威胁告警事件,支持检测和呈现8大类威胁告警事件,包括 DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控 制。
表2-7 威胁告警事件说明 告警名称 威胁告警说明
DDoS “实时检测”华为云、非华为云及IDC的互联网主机的DDoS攻击。
共支持检测100+种子类型DDoS威胁。
● 网络层攻击
NTP Flood攻击、CC攻击等。
● 传输层攻击
SYN Flood攻击、ACK Flood攻击等。
● 会话层攻击 SSL连接攻击等。
● 应用层攻击
HTTP Get Flood攻击、HTTP Post Flood攻击等。
暴力破解 “实时检测”入侵资产的行为和主机资产内部的风险,检测SSH、
RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击,
以及检测资产账户是否被破解异常登录。
共支持检测22种子类型的暴力破解威胁。
● 支持检测的暴力破解威胁
包括SSH暴力破解(2种)、RDP暴力破解、MSSQL暴力破解、
MySQL暴力破解、FTP暴力破解、SMB暴力破解(3种)、HTTP暴 力破解(4种)、Telnet暴力破解。
● 接入的HSS服务上报的告警事件
包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破 解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统 被成功爆破事件。
告警名称 威胁告警说明
Web攻击 “实时检测”Web恶意扫描器、IP、网马等威胁。
共支持检测38种子类型的Web攻击威胁。
● 支持检测的Web攻击威胁
包括Webshell攻击(3种)、跨站脚本攻击、代码注入攻击(7 种)、SQL注入攻击(9种)、命令注入攻击。
● 接入的HSS服务上报的告警事件
包括Webshell攻击、Linux网页篡改、Windows网页篡改。
● 接入的WAF服务上报的告警事件
包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻 击、本地文件包含、远程文件包含、远程代码执行、网站后门、网 站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页 防爬虫。
后门木马 “实时检测”资产系统是否存在后门木马风险,以及被后门木马程序 入侵后的恶意请求行为。
共支持检测5种子类型的后门木马威胁。
● 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。
● 检测资产被植入木马特性
检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后 执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载 木马程序,被入侵后访问HFS下载服务器等。
僵尸主机 “实时检测”资产被入侵后对外发起攻击的威胁。
共支持检测7种子类型的僵尸主机威胁。
● 对外发起SSH暴力破解
● 对外发起RDP暴力破解
● 对外发起Web暴力破解
● 对外发起MySQL暴力破解
● 对外发起SQLServer暴力破解
● 对外发起DDoS攻击
● 被入侵后安装挖矿程序
告警名称 威胁告警说明
异常行为 “实时检测”资产系统异常变更和操作行为。
共支持检测21种子类型的异常行为威胁。
● 支持检测的异常行为威胁
包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。
● 接入的HSS服务上报的告警事件
包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网 卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常 自启动、文件提权、进程提权、Rootkit程序。
● 接入的WAF服务上报的告警事件
包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、
IP黑白名单、非法访问。
● 接入的MTD服务上报的告警事件
包括暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权 行为。
漏洞攻击 “实时检测”资产被尝试使用漏洞进行攻击。
共支持检测2种子类型的漏洞攻击威胁。
● SMBv1漏洞攻击
● WebCMS漏洞攻击
命令控制 “实时检测”资产可能被命令与控制服务器(C&C,Command and Control Server)远程控制,访问与恶意软件或建立与恶意软件之间的 链接。
共支持检测3种子类型的命令控制威胁。
● 监控主机存在访问DGA域名行为
● 监控主机存在访问恶意C&C域名行为
● 监控主机存在恶意C&C通道行为
漏洞管理
通过实时获取业界热点安全漏洞讯息,同步主机漏洞扫描和网站漏洞扫描结果,全面 掌握云上资产漏洞风险状况,并提供相应漏洞修复建议。
表2-8 漏洞管理功能说明 功能模块 功能详情
主机漏洞 通过授权主机,并一键扫描主机漏洞,呈现主机漏洞扫描检测信息,
支持查看漏洞详情,并提供相应漏洞修复建议。
● Linux软件漏洞扫描
通过比对国际通用漏洞库,检测系统和官方软件(非绿色版、非自 行编译安装版,例如:SSH、OpenSSL、Apache、MySQL等)存 在的漏洞,识别Linux系统存在的漏洞风险。
● Windows软件漏洞扫描
通过同步国际通用补丁源,识别并告警提醒Windows系统潜在漏洞 风险。
● Web-CMS漏洞扫描
通过对Web目录和文件进行检测,识别出Web-CMS漏洞,提升 Web服务安全性。
网站漏洞 通过自动同步VSS漏洞扫描结果,分类呈现网站漏洞扫描详情,支持 查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布,并提供 相应漏洞修复建议。
● Web常规漏洞扫描
提供OWASP TOP10和WASC的漏洞检测能力,支持扫描30多种常 见漏洞。包括XSS、SQL注入等。
● 网站弱密码扫描
全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码 检测、操作系统、数据库等弱口令检测;比对丰富的弱密码匹配 库,模拟黑客对各场景进行弱口令探测。
● 网站端口扫描
扫描服务器端口的开放状态,检测出容易被黑客发现的端口。
● CVE网站漏洞扫描
同步国际通用漏洞库,扫描网站安全状况。
● 网页内容合规检测
对网站文字和图片规范性进行检测。
● 网站挂马检测
检测网站是否被上传木马,避免网站运行时自动执行木马程序,而 被黑客控制。
● 网站链接健康检测
检测网站的链接地址健康性状态,避免网站出现死链、暗链、恶意 链接。
应急漏洞公
告 针对业界披露的热点安全漏洞,支持每5分钟抓取一次安全漏洞讯息,
获取最新应急漏洞公告详情。
基线检查
通过执行云服务基线扫描,检查基线配置风险状态,告警提示存在安全隐患的配置,
并提供基线加固建议。
表2-9 基线检查功能说明 功能模块 功能详情
云服务基线 通过一键扫描或设置定期扫描,分类呈现云服务配置检测结果,提示 不合格检测项,并提供相应配置加固建议和帮助指导。
支持检测“安全上云合规检查”、“等保2.0通用要求”、“护网检 查”、“等保2.0扩展要求”四大风险类别,了解云服务风险配置的所 在范围和风险配置数目。
● 安全上云合规检查
针对上云用户服务产品身份与访问管理、检测、基础设施防护、数 据保护、事件响应风险检查。
● 护网检查
云战区产品团队安全风险排查及加固指导。
● 等保2.0通用要求、等保2.0扩展要求 国家2.0等保通用三级合规检查。
检测结果
通过集成安全防护产品,接入安全产品检测数据,管理全部检测结果。
表2-10 全部结果功能说明 功能模块 功能详情
检测结果 通过呈现多种结果类型,支持标记、导出检测结果,并支持自定义结 果列表。
● 结果类型
威胁告警、漏洞、风险、合规检查、违法违规、舆情、安全公告。
安全报告
为统计全局安全攻击态势,通过开启安全报告,态势感知以邮件形式向指定的收件人 发送安全报告,反映阶段性安全概况、安全风险趋势。
表2-11 安全报告功能说明 功能模块 功能详情
分析报告 安全分析报告支持以多种报告形式呈现报告内容,支持选择自动或手 动触发发送报告,并支持管理报告列表和历史报告。
● 报告内容
包括安全评分、资产风险、威胁告警、基线风险、资产漏洞,以及 可自定义小结。
● 报告形式
– 周期报告:按一定周期(按月或按周),自动生成并发送报告,
包括周报和月报。
– 单次报告:可自选时间范围编辑报告内容,生成一次性报告,可 生成季度报、周报、日报等形式。
● 报告发送方式
包括自动发送和手动触发发送。
产品集成
通过集成安全防护产品,接入安全产品检测数据,管理检测结果的数据来源。
表2-12 产品集成功能说明 功能模块 功能详情 安全产品集
成
通过集成安全防护产品,接入安全产品检测数据,管理检测结果的数 据来源,支持查看传输数据量,管理数据上报健康状态。
● 已接入的华为云产品/服务
企业主机安全(HSS)、Web应用防火墙(WAF)、AntiDDoS流 量清洗(AntiDDoS)、云堡垒机(CBH)、容器安全服务
(CGS)、漏洞扫描服务(VSS)。
企业主机安全(HSS)支持接入主机告警、主机基线、主机漏洞类 型的检测数据。
● 支持接入数据源产品
华为产品、第三方服务商产品、线下自有产品等。
● 支持威胁情报溯源
安天威胁情报综合分析平台(TID)
日志管理
通过授权对象存储服务(Object Storage Service,OBS)存储态势感知日志,帮助用 户轻松应对安全日志存储、导出场景,满足日志存储180天及集中审计的要求。
表2-13 日志管理功能说明 功能模块 功能详情
日志管理 通过OBS存储日志,满足SA日志审计和容灾需求。
为应对SA日志的容灾恢复,将存储到OBS桶的日志,通过数据接入服务(Data Ingestion Service)传输到线下SIEM系统,恢复和离线管理SA日志数据。同时,可将 线下SIEM系统日志数据,通过DIS重新传输上云进行分析和存储。
说明
DIS支持通过以下几种方式上传和下载数据:Kafka Adapter、DIS Agent、DIS Flume Plugin、
DIS Flink Connector、DIS Spark Streaming、DIS Logstash Plugin等,详细说明请参见使用 DIS。
3 应用场景
资产风险管理
云上业务众多,云上资产日益庞大,以及云资产的变化频繁,大大增加了云上安全风 险。
态势感知集中呈现云上主机或漏洞资产风险状况。集中云上所有资产安全状况,实时 监控云上业务整体安全,让服务器中的漏洞、威胁和攻击情况一目了然,保障所有资 产的安全,帮助企业轻松应对资产安全风险。
威胁事件告警
面对云上各类安全威胁,以及不断涌出的新型威胁类型,态势感知通过汇集全网流量 数据和安全防护设备日志信息,能够实时检测和监控云上安全风险,实时呈现告警事 件的统计信息,并可对各种威胁事件进行汇聚统计。
此外,针对常见的暴力破解、Web攻击、后门木马、僵尸主机威胁事件,可预制的安 全防护策略有效防御威胁风险,提升运维效率。
漏洞风险通报
随着企业业务的不断上云,为避免漏洞被成功利用,需尽可能多的找出并修复漏洞。
态势感知通过采集云上应急安全通告,能够实时披露新发现的漏洞,通报突发安全漏 洞事件和预警潜在漏洞;同时通过集成漏洞扫描结果,能够定期进行漏洞扫描,集中 管理主机漏洞和网站漏洞,对系统、软件和网站进行检测,检测出系统、软件和网站 存在的漏洞,针对检测到的漏洞提供修复建议。
集中的云上漏洞管理,快速帮助用户识别关键风险,发现攻击者可能感兴趣的资产,
帮助用户快速弥补安全短板。
风险配置管理
态势感知通过集成主机安全基线检查等服务,集中管理主机和云服务存在风险配置。
能够定期进行基线配置核查,检测操作系统、中间件、弱密码、主机、数据库、帐号 配置存在的风险,及时呈现主机资产风险配置状况;同时也能够检查云产品上身份与 访问管理、检测、基础设施防护、数据保护等方面的安全配置,并针对风险配置提供
4 服务版本差异
目前态势感知提供基础版、标准版和专业版三个版本,不同版本有不同功能使用范 围,详细功能介绍请参见功能特性。
● 基础版免费使用,用户注册华为云帐号后,仅需登录SA管理控制台,即可免费体 验基础版功能。
基础版提供检测部分威胁风险,呈现一定云上资产安全态势。
● 标准版仅支持包周期计费模式。购买标准版后,呈现一定云上资产安全态势。提 供安全检测、威胁分析等功能,满足企业安全运营要求。
● 专业版可选择包周期和按需计费模式。购买专业版后,呈现全局安全态势,通过 动态安全检测和威胁分析,并提供安全加固建议。
● 综合大屏可选择包周期和按需计费模式。为充分呈现云上安全态势,建议您在购 买态势感知专业版后,再开通综合大屏功能。
版本功能差异
说明
不同版本支持功能差别,标识符号说明如下:
● ×:代表不支持该功能。
● √:代表支持该功能。
● √+:代表支持该功能,但需额外购买功能或服务。
表4-1 不同版本功能差异
服务功能 功能模块 功能概述 基 标 专
服务功能 功能模块 功能概述 基 础 版
标 准 版
专 业 版 安全趋势 展示近7天内您的整体资产安全健康得
分的趋势。
√ √ √
威胁检测 集中呈现最近7天检测到的告警数量及 类型。
√ √ √
资源管理 资源安全 状况
同步资源信息,集中呈现资源整体安 全状况。
× √ √
业务分析 专项分析 关联HSS、WAF、DBSS安全防护服 务,全面展示主机、应用、数据库的 安全状态和存在的安全风险。
√+ √+ √+
综合大屏 综合态势 感知
大屏集中展示云上资产综合安全态 势,动态呈现资产风险状况。
× × √+
主机安全 态势
大屏集中呈现华为云主机安全态势,
动态呈现主机安全状况。
× × √+
资产安全 主机资产 同步主机资产信息,集中呈现主机整 体安全状况。
× √ √
网站资产 通过添加和扫描网站资产,呈现网站 资产的整体安全状况。
× √ √
威胁告警 告警列表 集中呈现威胁告警事件统计信息,导
出告警事件。 √ √ √
通过将告警忽略、标记为线下处理,
标识告警事件。 × √ √
威胁分析 根据“攻击源”的IP查询被攻击的资产 信息,亦可根据“被攻击的资产”的IP 查询威胁攻击来源信息。
× √ √
告警监控 通过设置监控的威胁名单,以及设置 关注的告警条件,自定义呈现关注的 威胁告警。
× × √
通知告警 通过自定义威胁告警通知,及时了解 威胁风险。
× √ √
漏洞管理 应急漏洞 公告
集中呈现业界披露的热点安全漏洞,
全面掌握资产漏洞风险。
√ √ √
主机漏洞 集中呈现主机漏洞扫描结果信息,并 提供相应修复建议。
× √ √
网站漏洞 集中呈现网站漏洞扫描结果信息,并 提供相应修复建议。
× × √
基线检查 云服务基 线
通过一键扫描云服务基线,分类呈现 云服务配置项检测结果信息。
× √ √
服务功能 功能模块 功能概述 基 础 版
标 准 版
专 业 版 通过一键扫描云服务基线,分类呈现
云服务配置项检测结果信息。支持查 看检测结果详情,并提供相应修复建 议。
× × √
检测结果 全部结果 集中呈现安全产品的检测结果,可导 出结果、标识结果等。
√ √ √
安全报告 分析报告 默认自动创建一个周报和月报,仅可 生成两期报告。
√ × √
通过创建报告,定向发送报告内容。
可管理历史报告和报告列表。
× × √
产品集成 安全产品 集成
通过集成安全产品,接入安全产品检 测结果,管理检测结果的数据来源。
× √ √
日志管理 日志管理 通过授权OBS存储SA日志,满足日志 审计和容灾需求。
× × √
威胁告警检测范围差异
目前支持检测和呈现8大类告警事件,包括DDoS、暴力破解、Web攻击、后门木马、
僵尸主机、异常行为、漏洞攻击、命令与控制。不同版本能检测的威胁告警范围不 同,详情请参见表4-2。
表4-2 不同版本威胁告警检测范围差异
告警事件 专业版 标准版 基础版
DDoS 支持检测100+种子类型 DDoS威胁。
● 网络层攻击
NTP Flood攻击、CC攻击 等。
● 传输层攻击
SYN Flood攻击、ACK Flood攻击等。
全部支持 全部支持
告警事件 专业版 标准版 基础版 暴力破解 支持检测22种子类型的暴力
破解威胁。
● 支持检测的暴力破解威 胁包括SSH暴力破解(2 种)、RDP暴力破解、
MSSQL暴力破解、
MySQL暴力破解、FTP暴 力破解、SMB暴力破解
(3种)、HTTP暴力破 解(4种)、Telnet暴力 破解。
● 接入的HSS服务上报的告 警事件包括SSH暴力破解、RDP 暴力破解、FTP暴力破 解、MySQL暴力破解、
IRC暴力破解、Webmin 暴力破解、其他端口被 暴力破解、系统被成功 爆破事件。
支持检测8种子类型暴力 破解威胁。
● 包括SSH暴力破解
(3种)、RDP暴力 破解(2种)、
MSSQL暴力破解、
MySQL暴力破解(2 种)。
不支持
Web攻击 支持检测38种子类型的Web 攻击威胁。
● 支持检测的Web攻击威 胁包括Webshell攻击(3 种)、跨站脚本攻击、
代码注入攻击(7种)、
SQL注入攻击(9种)、
命令注入攻击。
● 接入的HSS服务上报的告 警事件包括Webshell攻击、
Linux网页篡改、
Windows网页篡改。
● 接入的WAF服务上报的 告警事件
包括跨站脚本攻击、命 令注入攻击、SQL注入攻 击、目录遍历攻击、本 地文件包含、远程文件 包含、远程代码执行、
网站后门、网站信息泄 露、漏洞攻击、IP信誉 库、恶意爬虫、网页防 篡改、网页防爬虫。
支持检测19种子类型 Web攻击威胁。
● 包括Webshell攻击
(4种)、跨站脚本 攻击(2种)、命令 注入攻击、SQL注入 攻击、目录遍历攻 击、本地文件包含、
远程文件包含、远程 代码执行、网站后 门、网站信息泄露、
漏洞攻击、IP信誉 库、恶意爬虫、网页 防篡改、网页防爬 虫。
不支持
告警事件 专业版 标准版 基础版 后门木马 支持检测5种子类型的后门
木马威胁。
● 检测主机资产上Web目 录中的PHP、JSP等后门 木马文件类型。
● 检测资产被植入木马特 性
检测内容包括资产系统 存在win32/ramnit checkin木马、被入侵后 执行wannacry勒索病毒 相关的DNS解析请求、
被入侵后尝试下载木马 程序,被入侵后访问HFS 下载服务器等。
支持检测1种子类型后门 木马威胁。
● 资产上木马文件
不支持
僵尸主机 支持检测7种子类型的僵尸 主机威胁。
● 对外发起SSH暴力破解
● 对外发起RDP暴力破解
● 对外发起Web暴力破解
● 对外发起MySQL暴力破 解
● 对外发起SQLServer暴力 破解
● 对外发起DDoS攻击
● 被入侵后安装挖矿程序
支持检测5种子类型僵尸 主机威胁。
● 包括MySQL暴力破 解、对外发起RDP暴 力破解、对外发起 Web暴力破解、对外 发起MySQL暴力破 解、对外发起 SQLServer暴力破 解。
不支持
告警事件 专业版 标准版 基础版 异常行为 支持检测21种子类型的异常
行为威胁。
● 支持检测的异常行为威 胁
包括文件系统被扫描、
CMS V1.0漏洞、敏感文 件被访问。
● 接入的HSS服务上报的告 警事件
包括系统成功登录审计 事件、文件目录变更监 测事件、混杂模式网 卡、异常权限用户、反 弹Shell、异常Shell、高 危命令执行、异常自启 动、文件提权、进程提 权、Rootkit程序。
● 接入的WAF服务上报的 告警事件
包括自定义规则、白名 单、黑名单、地理访问 控制、扫描器爬虫、IP黑 白名单、非法访问。
● 接入的MTD服务上报的 告警事件
包括暴力破解、恶意攻 击、渗透、挖矿攻击等 恶意活动和未经授权行 为。
支持检测7种子类型异常 行为威胁。
● 包括自定义规则、白 名单、黑名单、地理 访问控制、扫描器爬 虫、IP黑白名单、非 法访问。
● 接入的MTD服务上 报的告警事件 包括暴力破解、恶意 攻击、渗透、挖矿攻 击等恶意活动和未经 授权行为。
不支持
漏洞攻击 支持检测2种子类型的漏洞 攻击威胁。
● SMBv1漏洞攻击
● WebCMS漏洞攻击
不支持 不支持
命令控制 共支持检测3种子类型的命 令控制威胁。
● 监控主机存在访问DGA 域名行为
● 监控主机存在访问恶意 C&C域名行为
● 监控主机存在恶意C&C通 道行为
不支持 不支持
5 计费说明
计费项
态势感知基础版免费体验。标准版、专业版按选购的资产配额数和综合大屏计费,其 中综合大屏功能为可选增值项目。
表5-1 计费项说明
版本 计费项 计费说明 基础
版
无 免费体验,不计费。
标准 版
资产配额 按购买的资产配额数计费,包括主机资产配额数和网站资产 配额数。
按包周期购 买计费
提供包月和包年的购买模式。
专业 版
资产配额 按购买的资产配额数计费,包括主机资产配额数和网站资产 配额数。
综合大屏
(可选)
增值项。若有大屏展示需求,您需在已购买资产配额基础 上,额外付费购买。
按包周期购 买计费
提供包月和包年的购买模式。
按需购买计 费
即开即停,按小时结算。
● 按需计费
按小时结算,根据实际使用时长(小时)计费。先使用后付费,使用方式灵活,
可以即开即停。
详情请参见态势感知价格详情。
变更配置
● 变更计费模式
当您对当前按需计费资源有长期使用需求,可选择将按需变更为包周期。在转包 周期过程将生成新的订单,支付订单后,包周期资源则立即生效。
● 变更资产配额
当您的资产数量增加,可在当前计费模式内增加资产配额数,不支持减少配额 数。
● 开通综合大屏功能
当您需要态势大屏展示,可在原有资产配额基础上,追加综合大屏功能。
● 退订
若购买态势感知后,需停止使用,请执行退订操作。
须知
● 标准版不支持直接升级到专业版,且专业版也不支持直接变更到标准版。如需 使用对应版本,需退订当前版本后再进行购买。
● 标准版仅支持通过包周期计费模式进行购买。
● 不支持部分配额购买标准版,部分配额购买专业版。
● 综合大屏为专业版额外选购付费项目,如需使用综合大屏,请先购买专业版。
续费
● 包周期购买的版本到期后,您可以单击右上角“续费”,跳转至续费管理页面完 成续费,延长使用期。
为避免版本到期未及时续费,导致安全风险,建议开通自动续费。开通自动续费 后,系统将根据配置自动续费,无需手动操作。
● 按需计费是按小时计费,请确保账户余额充足,及时为账户充值。在账户余额充 足的前提下,将持续为您提供防护服务,不影响使用。
更多续费信息(例如自动续费、导出续费清单、变更资费等),请参见续费管理。
到期与欠费
● 到期
若包周期版本到期后,未及时续费,会根据“客户等级”和“订购方式”定义不 同的保留期时长,保留期内标准版或专业版服务可继续使用。若保留期到期后,
仍未及时续费,标准版和专业版会变为基础版。保留期内资源处理说明,详见保 留期。
当您的账户欠费后,可查看欠费详情,此时账户将进入欠费状态,需要在约定时 间内支付欠款。为避免相关服务不被停止,请及时为账户充值,详细操作请参考 欠费还款。
计费 FAQ
态势感知如何变更专业版规格?
态势感知即将到期如何续费?
态势感知支持退订吗?
态势感知可以免费使用吗?
6 基本概念
本节介绍态势感知相关概念态势感知(Situation Awareness,SA)是可视化威胁检测 和分析的平台。态势感知能够检测出超过20大类的云上安全风险,利用大数据分析技 术,态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和聚合分析,为用 户呈现出全局安全攻击态势。
安全风险
安全风险是对资产安全状况的综合评估,反映了一段时间内资产遭受的安全风险。安 全风险通常体现为一个量化的数值,便于用户理解目前资产的安全状况,数值大小并 不代表资产的绝对安全或危险,仅作为资产遭受攻击严重程度的参考。
资产
态势感知中的资产指华为云的弹性云服务器和域名网站。
威胁告警
广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因,对信息系统造成 危害的事件,或对社会造成负面影响的威胁。对于态势感知来讲,威胁告警泛指根据 大数据分析检测出的,对用户资产产生威胁的安全事件。
主机漏洞
主机漏洞是通过版本对比检测,检测出的系统和软件(例如:Apache、MySQL等)存 在的漏洞,帮助用户识别出存在的风险。
网站漏洞
网站漏洞是通过网络进行爬虫,智能对比漏洞特征检测出的web漏洞。态势感知具有 OWASP TOP10和WASC的漏洞检测能力,支持扫描22种类型以上的漏洞,扫描规则云 端自动更新,全网生效,及时涵盖最新爆发的漏洞及支持HTTPS扫描。
主机基线
主机基线检查分为操作系统基线检查和中间件基线检查,支持标准Web业务弱密码检
云服务基线
云服务基线是应用在公有云场景下,帮助用户检测云产品上存在的风险配置项,并提 供修复建议。目前提供身份与访问管理、检测、基础设施防护、数据保护等方面的配 置检查。
攻击类型
● DDoS攻击
分布式拒绝服务(Distributed Denial of Service,简称DDoS)攻击是指攻击者使 用网络上多个被攻陷的电脑作为攻击机器,向特定的目标发动DoS攻击。DoS
(Denial of Service)攻击也称洪水攻击,是一种网络攻击手法,其目的在于使目 标电脑的网络或系统资源耗尽,服务暂时中断或停止,导致合法用户不能够访问 正常网络服务的行为。
● 暴力破解
暴力破解法是一种密码分析方法,基本原理是在一定条件范围内对所有可能结果 进行逐一验证,直到找出符合条件的结果为止。攻击者通常使用暴力破解的方式 猜测远程登录的用户名和密码,一旦破解成功,即可实施攻击和控制。
● Web攻击
Web攻击是针对用户上网行为或网站服务器等设备进行攻击的行为。常见的Web 攻击方式包括SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击等。
● 后门木马
后门木马又称特洛伊木马(Trojan Horse),是一种后门程序。后门木马具有很 高的伪装性,通常表现为一个正常的应用程序或文件,以获得广泛的传播和目标 用户的信任。当目标用户执行后门木马程序后,攻击者即可对用户的主机进行破 坏或盗取敏感数据,如各种账户、密码、保密文件等。在黑客进行的各种攻击行 为中,后门木马基本上都起到了先导作用,为进一步的攻击打下基础。
● 僵尸主机
僵尸主机亦称傀儡机,是由攻击者通过木马蠕虫感染的主机,大量僵尸主机可以 组成僵尸网络(Botnet)。攻击者通过控制信道向僵尸网络内的大量僵尸主机下 达指令,令其发送伪造包或垃圾数据包,使攻击目标瘫痪并“拒绝服务”,这就 是常见的DDoS攻击。此外,随着虚拟货币(如比特币)价值的持续增长,以及挖 矿成本的逐渐增高,攻击者也开始利用僵尸主机进行挖矿和牟利。
● 异常行为
异常行为主要指在主机中发生了一些不应当出现的事件。例如,某用户在非正常 时间成功登录了系统,一些文件目录发生了计划外的变更,进程出现了非正常的 行为等。这些异常的行为事件很多是有恶意程序在背后作乱。所以在发生这类异 常行为时,管理员应当引起重视。态势感知中的异常行为数据主要来源于主机安 全服务。
攻击者利用DGA生产恶意域名后,选择部分域名进行注册并指向C&C服务器。当 受害者运行恶意程序后,主机将通过恶意域名连接至C&C服务器,攻击者即可远 程操控主机。
7 SA 权限管理
如果您需要对华为云上购买的态势感知(Situation Awareness,SA)资源,给企业中 的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份 认证服务(Identity and Access Management,IAM)进行精细的权限管理。该服务 提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源 的访问。
通过IAM,您可以在华为云帐号中给员工创建IAM用户,并使用策略来控制他们对华为 云资源的访问范围。例如您的员工中有负责软件开发的人员,您希望他们拥有态势感 知(Situation Awareness,SA)的使用权限,但是不希望他们拥有删除SA数据等高危 操作的权限,那么您可以使用IAM为开发人员创建用户,通过授予仅能使用SA,但是 不允许删除SA数据的权限策略,控制他们对SA资源的使用范围
如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您 可以跳过本章节,不影响您使用SA的其它功能。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账户中的 资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》。
SA 权限
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户 组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。
授权后,用户就可以基于被授予的权限对云服务进行操作。
SA部署时不区分物理区域,为全局级服务。授权时,在全局级服务中设置权限,访问 SA时,不需要切换区域。
权限根据授权精细程度分为角色和策略。
● 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该
如表7-1所示,包括了SA的所有系统权限。
表7-1 SA 系统权限
策略名称 描述 类别 依赖关系
SA FullAccess 态势感知的所有权限。 系统策略 无 SAReadOnlyAcce
ss
态势感知只读权限,拥有该权 限的用户仅能查看态势感知数 据,不具备态势感知配置权 限。
系统策略 无
说明
目前暂不支持单独使用SA FullAccess和SA ReadOnlyAccess权限。
如需使用SA FullAccess或SA ReadOnlyAccess策略权限,请先在“全局项目”中勾选SA策略权 限,再在“区域级项目”中选择“所有项目”的Tenant Guest角色,配置示例如图7-1。
图7-1 SA 权限配置示例
如表7-2列出了SA常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权 限。
表7-2 常用操作与系统权限的关系
操作 SA FullAccess SA ReadOnlyAccess
获取告警列表 √ √
获取威胁分析结果 √ √
获取主机列表 √ √
查看综合态势感知大屏 √ √
查看主机安全态势大屏 √ √
查看安全概览 √ √
查看安全概览 √ √
配置告警设置 √ x
查看告警设置 √ √
操作 SA FullAccess SA ReadOnlyAccess
获取订阅主题 √ x
获取云服务基线检查结果 √ √
设置云服务基线扫描 √ x
相关介绍
● IAM产品介绍
● 创建用户组、用户并授予SA权限
● SA自定义策略
● SA权限及授权项
SA FullAccess 策略内容
{ "Version": "1.1", "Statement": [ {
"Action": [ "sa:*:*"
],
"Effect": "Allow"
} ] }
SA ReadOnlyAccess 策略内容
{ "Version": "1.1", "Statement": [ {
"Action": [ "sa:cssb:get", "sa:service:get", "sa:subscribe:get", "sa:subscribe:getList", "sa:threatevent:getAnalyze", "sa:threatevent:getAsset", "sa:threatevent:getDashboard", "sa:threatevent:getHostscreen", "sa:threatevent:getList", "sa:threatevent:getOverview", "sa:threatevent:getSafety"
],
8 与其他云服务的关系
本小节主要介绍态势感知与其他云服务之间的关系。
与安全服务的关系
态势感知从企业主机安全(Host Security Service,HSS)、Web应用防火墙(Web Application Firewall,WAF)、Anti-DDoS流量清洗(Anti-DDoS)、漏洞扫描服务
(Vulnerability Scan Service,VSS)、容器安全服务(Container Guard Service,
CGS)等安全防护服务中获取必要的安全事件记录,进行大数据挖掘和机器学习,智 能AI分析并识别出攻击和入侵,帮助用户了解攻击和入侵过程,并提供相关的防护措 施建议。更多说明请参见态势感知与其他安全服务之间的关系与区别。
与 ECS 的关系
态势感知为弹性云服务器(Elastic Cloud Server,ECS)提供资产安全管理服务,结合 HSS主机防护状态,全方位呈现当前ECS安全风险态势,并提供相应防护建议。
与 IAM 的关系
统一身份认证服务(Identity and Access Management,IAM)为态势感知提供用户 身份鉴权、IAM用户权限设置等权限管理服务,更多详细说明请参见SA权限管理。
与 CTS 的关系
云审计服务(Cloud Trace Service,CTS),为SA提供云服务资源的操作记录,记录内 容包括从访问管理控制台发起的云服务资源操作请求以及每次请求的结果,供您查 询、审计和回溯使用。
CTS记录SA相关操作事件,方便用户日后的查询、审计和回溯。
与 OBS 的关系
通过对象存储服务(Object Storage Service,OBS),您可以将SA日志存储至OBS桶 中,确保日志不丢失,实现数据持久化,更多详细说明请参见SA日志管理。
A 修订记录
发布日期 修改记录
2022-02-11 第三十三次正式发布。
本次更新说明如下:
● 刷新功能特性章节内容,下线安全编排功能相关描述。
● 刷新服务版本差异章节内容,下线安全编排功能相关描 述。
2022-01-22 第三十二次正式发布。
本次更新说明如下:
● 刷新功能特性章节内容,新增资源管理功能相关描述。
● 刷新服务版本差异章节内容,新增资源管理功能相关描 述。
2022-01-11 第三十一次正式发布。
本次更新说明如下:
● 刷新功能特性章节内容,“安全看板”改为“安全概 览”,功能全新升级,更新安全概览相关描述。
● 刷新服务版本差异章节内容,更新安全概览相关描述。
2021-12-29 第三十次正式发布。
本次更新说明如下:
刷新功能特性章节内容,新增基线检查项目描述。
2021-12-22 第二十九次正式发布。
发布日期 修改记录
2021-11-11 第二十八次正式发布。
本次更新说明如下:
● 刷新了服务版本差异章节,新增了标准版内容。
● 新增了“业务分析”功能描述。
2021-08-13 第二十七次正式发布。
本次更新说明如下:
刷新了功能特性章节,新增云服务基线检查项目及其说明。
2021-06-25 第二十六次正式发布。
本次更新说明如下:
刷新了功能特性章节,更新云服务基线检查说明。
2021-04-28 第二十五次正式发布。
本次更新说明如下:
● 修改了功能特性章节,支持将态势感知日志存储至OBS 桶。
● 新增了与其他云服务的关系中与OBS的关系的说明。
2021-04-20 第二十四次正式发布。
本次更新说明如下:
修改了功能特性章节,支持接入安天威胁情报综合分析平台,
提供快速查询与获取威胁情报能力。
2021-03-31 第二十三次正式发布。
本次更新说明如下:
修改了功能特性章节,优化了数据安全内容描述。
2021-02-23 第二十二次正式发布。
本次更新说明如下:
修改了功能特性章节,支持接入CGS和VSS产品数据,以及支 持统筹管理合规检查、主机漏洞等检查结果。
2021-02-09 第二十一次正式发布。
本次更新说明如下:
● 修改了服务版本差异章节,支持自定义安全分析报告;
● 修改了功能特性章节,支持自定义安全分析报告。
2020-12-24 第二十次正式发布。
本次更新说明如下:
修改了功能特性章节,支持接入云堡垒机数据,以及支持查看 数据上报状态。
发布日期 修改记录
2020-10-21 第十九次正式发布。
本次更新说明如下:
● 修改了服务版本差异章节,新增产品集成说明;
● 修改了功能特性章节,新增产品集成说明。
2020-09-29 第十八次正式发布。
本次更新说明如下:
● 新增了服务版本差异章节,介绍不同版本的功能差异;
● 修改了功能特性章节,接入WAF告警事件,新增22种子告 警项。
2020-08-28 第十七次正式发布。
本次更新说明如下:
修改了计费说明章节,新增按需转包周期说明。
2020-07-23 第十六次正式发布。
本次更新说明如下:
修改了应用场景章节,细化态势感知在主要应用场景的能力。
2020-07-10 第十五次正式发布。
本次更新说明如下:
修改了功能特性章节,新增17项云服务基线检查项目。
2020-07-09 第十四次正式发布。
本次更新说明如下:
● 修改了计费说明章节,新增“按需计费”和“自动续费”
说明;
● 修改了功能特性章节,新增7种“异常行为”告警事件的子 告警项。
2020-06-08 第十三次正式发布。
本次更新说明如下:
新增了SA权限管理章节,介绍SA权限策略和角色等内容。
2020-05-21 第十二次正式发布。
本次更新说明如下:
新增了计费说明章节,介绍计费项、计费模式、变更配置等内
发布日期 修改记录
2020-03-30 第十次正式发布。
本次更新说明如下:
● 删除了“区域和可用区”章节,SA实现全局使用,不受区 域限制;
● Console切UI4.0,修改原“总览”为“安全看板”。
2019-12-13 第九次正式发布。
本次更新说明如下:
新增了与其他云服务的关系中与LTS的关系的说明。
2019-11-13 第八次正式发布。
本次更新说明如下:
● 修改了功能介绍章节;
● 删除了“基础版和专业版的区别”章节。
2019-09-19 第七次正式发布。
本次更新说明如下:
● 修改了什么是态势感知?章节;
● 删除了“工作原理”章节。
2019-08-22 第六次正式发布。
本次更新说明如下:
新增了“区域和可用区”章节。
2019-02-20 第五次正式发布。
2018-11-06 第四次正式发布。
2018-10-16 第三次正式发布。
2018-08-06 第二次正式发布。
2018-04-24 第一次正式发布。
