内容源自华为云:https://support.huaweicloud.com/wtsnew-secmaster/index.html
1. 什么是安全云脑
安全云脑(SecMaster)是华为云原生的新一代安全运营中心,集华为云多年安全经验,基于云原生安全,提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力,可以鸟瞰整个云上安全,精简云安全配置、云防护策略的设置与维护,提前预防风险,同时,可以让威胁检测和响应更智能、更快速,帮助您实现一体化、自动化安全运营管理,满足您的安全需求。
1.1 为什么选择安全云脑?
- 一键安全合规:一键生成遵从报告,华为积累的全球安全合规经验服务化,帮助用户快速实现云上业务安全/隐私保护遵从。
- 一屏全面感知:采集各类安全服务的告警事件,并进行大数据关联、检索、排序,全面评估安全运营态势,支持大屏展示安全运营动态。
- 一云全局分析:结合华为云积累的每日数亿威胁情报定位威胁,多维关联分析,消除无效告警、识别潜在高级威胁。
- 一体全程处置:服务内置多种处理剧本,实现99%以上的安全事件分钟级自动化响应。
1.2 云脑版本
| 一级功能 | 子功能 | 基础版 | 标准版 | 专业版 |
|---|---|---|---|---|
| 版本说明 | 提供安全总览,安全体检及原始告警汇聚,了解基本安全态势信息。 | 提供态势感知信息、对原始告警汇聚及智能分析等能力,满足日志审计等安全合规要求。 | 提供态势感知信息,专业运营报告、预置安全模型及剧本,威胁检测模型告警,智能分析、安全编排及全量日志审计,满足企业日常安全运营、合规检查要求。 | |
| 态势感知 | 总览 | 支持 | 支持 | 支持 |
| 态势总览 | 支持 | 支持 | 支持 | |
| 安全报告 | — 仅支持健康体检 | — 仅支持健康体检 | 支持 支持健康体检; 支持专业的安全日报、安全周报、安全月报; 支持自定义创建安全报告; | |
| 资产管理 | 支持 | 支持 | 支持 | |
| 已购资源 | 支持 | 支持 | 支持 | |
| 策略管理 | 支持 | 支持 | 支持 | |
| 基线检查 | 支持 | 支持 | 支持 | |
| 漏洞管理 | 支持 | 支持 | 支持 | |
| 安全大屏 | — | 支持 | 支持 | |
| AI风险概览 | 支持 | 支持 | 支持 | |
| 风险预防 | 应急漏洞公告 | 支持 | 支持 | 支持 |
| 威胁管理 | 事件管理 | — | 支持 | 支持 |
| 告警管理 | 支持 支持各安全服务原始告警汇聚; 具体支持的日志类型如下: 主机安全基线 hss-baseline 安全云脑基线 secmaster-baseline | 支持 支持各安全服务原始告警汇聚; 具体支持的日志类型如下: 主机安全基线 hss-baseline 安全云脑基线 secmaster-baseline MTD告警日志 mtd-alarm 主机安全告警 hss-alarm 主机漏洞扫描结果 hss-vul  说明: 仅支持威胁检测服务(MTD)的region才可支持接入MTD告警日志 mtd-alarm,其中支持威胁检测服务(MTD)的region请参见支持接入的云服务日志 | 支持 支持各安全服务原始告警汇聚; 支持威胁检测模型告警; 支持覆盖MITRE矩阵; 具体支持的日志类型如下: 主机安全基线 hss-baseline 安全云脑基线 secmaster-baseline MTD告警日志 mtd-alarm 主机安全告警 hss-alarm 主机漏洞扫描结果 hss-vul 说明: 仅支持威胁检测服务(MTD)的region才可支持接入MTD告警日志 mtd-alarm,其中支持威胁检测服务(MTD)的region请参见支持接入的云服务日志 | |
| 情报管理 | — | — | 支持 | |
| 智能建模 | — | — | 支持 计算模型数据120 MB/天/配额; 预置模型200个; 预置剧本30个; | |
| 安全数据 | — | 支持 安全数据采集赠送规格:120 MB/天/配额; 安全数据保留赠送规格:120 MB/天/配额; 安全数据导出赠送规格:120 MB/天/配额; 平台安全数据赠送规格:40 MB/天/配额; | 支持 安全数据采集赠送规格:120 MB/天/配额; 安全数据保留赠送规格:120 MB/天/配额; 安全数据导出赠送规格:120 MB/天/配额; 平台安全数据赠送规格:40 MB/天/配额; 安全建模分析赠送规格:120 MB/天/配额; | |
| 安全编排 | 运营对象 | — | — | 支持 |
| 安全编排 | — | — | 支持 赠送规格:操作7000次 | |
| 页面布局 | — | — | 支持 | |
| 插件管理 | — | — | 支持 | |
| 目录定制 | — | 支持 | 支持 | |
| 数据采集 | 数据采集 | — | 支持 | 支持 |
| 数据集成 | 数据集成 | — | 支持 仅支持集成云服务告警 | 支持 |
| 日审总览 | 日审总览 | 支持 | 支持 | 支持 |
| 多账号管理 | 多账号管理 | — | — | 支持 |
2. 为什么主机最大配额不能小于主机(ECS)数量?
主机最大配额是授权检测主机的最大数量。在购买安全云脑时,选择的最大配额需等于或大于当前账户下主机总数量,且不支持减少。如果购买的最大配额小于主机数量,可能会造成未授权检测的主机被攻击后,不能及时感知威胁,造成数据泄露等风险。
主机配额配置说明如表所示。
| 参数 | 说明 |
|---|---|
| 主机配额 | 主机资产支持防护的最大主机数量。 请根据当前账户下所有主机资产总数设置配额数,可设置最大主机配额需等于或大于当前账户下主机总数量,且不支持减少。 说明: 主机配额最大限制为10000台。 为避免主机资产在防护配额外,不能及时感知攻击威胁,而造成数据泄露等安全风险。当主机资产数量增加后,请及时增加配额数。 |
购买时,安全云脑的数量不得低于服务器的数量。
3. 应用场景
3.1 日志审计场景
(1)场景说明
安全监管趋严,合规要求越来越高,各地隐私保护遵从要求、数据安全、网络安全法等法规条例多且解读难。通过安全云脑基线检查、日志审计等功能,确保企业在满足国家行业监管要求的同时,能帮助企业明确安全目标,系统化进行信息系统安全建设,降低安全隐患及被攻击的风险。
(2)解决方案
安全云脑提供的基线检查、日志审计等功能,可以帮助客户有效检查是否满足等级保护合规要求,同时接入安全云脑的数据支持存储180天满足等保审计对保留时长的要求。
(3)推荐版本
标准版
3.2 威胁检测与响应场景
(1)场景说明
云上威胁可能通过多种手段进入企业云上资产如网络入侵、主机入侵等,为防御和检测威胁,主机安全、云防火墙、Web 应用防火墙往往是企业上云的必然选择,但也带来诸多问题:如告警众多并且管理分散、处置和封禁入口多样、无法有效进行处置等。以上问题导致系统安全薄弱点多,运维难度大,威胁管理效率低,安全风险高。
(2)解决方案
安全云脑提供威胁管理和安全编排功能可有效帮助用户解决以上问题。威胁管理将以安全云脑为核心平台,采集并整合分析企业主机安全 HSS、云防火墙 CFW、Web应用防火墙 WAF各类告警与日志,对告警进行集中分析。同时依靠云原生能力,安全云脑整合了主机安全、云防火墙、Web 应用防火墙、安全组等各类产品的处置与封禁能力,可以为企业客户提供集中处置、一键处置、自动处置,极大的提升威胁响应效率。
- 百万告警降噪99%,降低合法事件的干扰,同时不漏报。
- 开箱即用,预置200+模型、30+安全剧本,实时流分析,秒级检测,秒级响应。
- 支持自定义告警模型、研判/处置剧本,以最佳适配客户的安全需求。
(3)推荐版本
专业版
3.3 云上云下统一管理
(1)场景说明
针对多账号、多云的用户,安全数据、处置平台分散,缺乏统一安全运营标准;海量安全日志,事件依赖人工研判,威胁事件以及告警处置效率低;多平台数据难以关联,经验沉淀难。
(2)解决方案
- 安全云脑的资产管理功能,支持管理云上和云外资产,可以查看资源的安全状态统计信息,帮助您快速定位安全风险问题。
- 安全云脑支持一键接入WAF、HSS、CFW等多种云产品的日志数据。接入后,可以统一管理日志信息,以及检索并分析所有收集到的日志。
- 安全云脑空间托管,支持跨账号、跨Region统一安全运营。
- 安全云脑的基线检查功能,支持检测云服务关键配置项,通过执行扫描任务,检查云服务基线配置风险状态,分类呈现云服务配置检测结果,告警提示存在安全隐患的配置,并提供相应配置加固建议和帮助指导。
- 安全云脑提供威胁管理、安全编排功能,帮助企业和组织的安全团队快速并高效地响应网络威胁,实现安全事件的高效、自动化响应处置。
(3)推荐版本
专业版