华为云用户手册

  • URI GET /v1/{project_id}/datasets 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 获取方法请参考获取项目ID。 最小长度:0 最大长度:128 表2 Query参数 参数 是否必选 参数类型 描述 name 否 String 数据集名称。 最小长度:0 最大长度:128 sort_dir 否 String 是否降序。 最小长度:0 最大长度:128 sort_key 否 String 排序字段。 最小长度:0 最大长度:128 limit 否 Integer 返回条目数。不传该参数时,默认查询前10条信息。取值范围:[0,1000] 默认值:10。 最小值:0 最大值:1000 offset 否 Integer 返回条目的起始offset。取值范围:[0,1000] 默认值:0。 最小值:0 最大值:1000
  • 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Workspace-Id 是 String 工作空间ID,即控制台的项目ID。 最小长度:0 最大长度:128 X-Auth-Token 是 String 用户Token。通过调用 IAM 服务获取IAM用户Token接口,接口返回的响应消息头中“X-Subject-Token”就是需要获取的用户Token。 最小长度:0 最大长度:8192
  • 响应示例 状态码:200 获取数据集详情成功。 { "create_date" : 1705458279173, "create_user" : "cfcxxxx4501811aedcxxxxbbfe8", "create_user_name" : "xxxxxxx", "update_date" : 1705458279173, "update_user" : "cfcc77xxxx364501811aedcxxxxbbfe8", "update_user_name" : "xxxxxxx", "project_id" : "34ba64e53axxxb68cd7xxxxa8cc17bd", "workspace_id" : "d39157xxxx5f43c2bdxxxx74792b2d5e", "id" : "b745d57b-xxxx-4f2a-xxxx-3c0ff5fcf92f", "caption" : "api测试数据集10", "version" : "2.0", "ds_id" : "2eaa208dxxxxxxx9496914134fae2d4", "ds_type" : "DWS", "domain_id" : "10ae45e7xxxxxxbe954a211426d003", "physical_schema" : { "tables" : [ { "id" : "a25173cb-xxxx-42ec-xxxxx-67483f6cdaab", "database_name" : "modernbi_demo", "schema_name" : "autotest", "table_name" : "order_info", "table_type" : "table", "sql_text" : "", "is_fact_table" : false }, { "id" : "b745d57b-xxxx-4f2a-xxxx-3c0ff5fcf92f", "database_name" : "modernbi_demo", "schema_name" : "autotest", "table_name" : "sql_order_info", "table_type" : "sql", "sql_text" : "select * from autotest.order_info", "is_fact_table" : true } ] }, "logical_schema" : { "field_schema" : { "measures" : [ { "id" : "2d83ad17-32bb-xxxx-9c55-xxxxxxx", "caption" : "cs_bill_customer_sk", "is_expansion" : 0, "expansion_type" : 0, "column_formula" : "cs_xxxxx_customer_sk", "origin_column_name" : "cs_xxxx_customer_sk", "origin_column_type" : "int8", "data_type" : "NUMBER", "origin_data_type" : "NUMBER", "cube_id" : "2d83ad17-xxxxxxxxx-9c55-2a47415bdaf6" } ], "dimensions" : [ { "id" : "a25173cb-e229-xxxxxxx-67483f6cdaab.id", "caption" : "id1", "dimension_type" : "StandardDimension", "hierarchies" : [ { "caption" : "id1", "levels" : [ { "id" : "a25173cb-xxxxxxxxc-a4b4-67483f6cdaab.id", "caption" : "id1", "data_type" : "STRING", "origin_data_type" : "STRING", "origin_column_name" : "id", "origin_column_type" : "varchar(255)", "column_formula" : "id", "level_type" : null, "is_expansion" : 0, "expansion_type" : 0 } ] } ], "cube_id" : "a25173cb-xxxxxxxc-a4b4-67483f6cdaab" } ] }, "variables" : null, "relations" : [ { "source" : "b745d57b-axxxxx8ee4-3c0ff5fcf92f", "target" : "a25173cb-xxxxxx-a4b4-67483f6cdaab", "join_type" : "left join", "relation" : "many-to-one", "joins" : [ { "source_key" : "product_id", "source_type" : "dimension", "target_key" : "product_id", "target_type" : "dimension", "condition" : "equal-to" } ] } ] } }
  • 响应参数 状态码:200 表3 响应Body参数 参数 参数类型 描述 caption String 数据集语义化名称。 最小长度:0 最大长度:128 domain_id String 租户ID。 最小长度:0 最大长度:128 ds_id String 数据源ID。 最小长度:0 最大长度:128 ds_type String 数据源类型。 最小长度:0 最大长度:128 id String 数据集ID。 最小长度:0 最大长度:128 logical_schema 表4 object 数据集逻辑schema。 physical_schema 表13 object 数据集物理schema。 project_id String 项目ID 最小长度:0 最大长度:128 version String 数据集版本:默认为2.0,1.0|2.0。 最小长度:0 最大长度:128 workspace_id String 项目ID(DataArts Insight侧概念)。 最小长度:0 最大长度:128 create_date Long 创建时间戳。 最小值:0 最大值:9223372036854775807 create_user String 创建者ID。 最小长度:0 最大长度:128 create_user_name String 创建者名称。 最小长度:0 最大长度:128 update_date Long 更新时间戳。 最小值:0 最大值:9223372036854775807 update_user String 更新者ID。 最小长度:0 最大长度:128 update_user_name String 更新者名称。 最小长度:0 最大长度:128 resource_code String 数据集资源标识 最小长度:0 最大长度:64 表4 LogicalSchema 参数 参数类型 描述 field_schema 表5 object 字段schema。 relations Array of 表10 objects 物理表关系。 数组长度:0-2147483647 variables Array of 表12 objects SQL变量列表。 数组长度:0-2147483647 表5 DatasetFieldSchemaVO 参数 参数类型 描述 dimensions Array of 表6 objects 维度。 数组长度:0-2147483647 measures Array of 表9 objects 度量。 数组长度:0-2147483647 表6 DimensionVo 参数 参数类型 描述 caption String 维度语义化名。 最小长度:0 最大长度:128 cube_id String 维度所属物理表ID。 最小长度:0 最大长度:128 description String 维度描述。 最小长度:0 最大长度:1000 id String 维度ID。 最小长度:0 最大长度:128 hierarchies Array of 表7 objects 维度层级。 数组长度:0-2147483647 表7 Hierarchy 参数 参数类型 描述 caption String 层级结构语义化名。 最小长度:0 最大长度:128 levels Array of 表8 objects 层级结构level。 数组长度:0-2147483647 表8 LevelVO 参数 参数类型 描述 caption String 语义化名。 最小长度:0 最大长度:128 column_formula String level表达式。 最小长度:0 最大长度:128 data_type String 字段类型:STRING|DATE|DATETIME。 枚举值: STRING|DATE|DATETIME expansion_type Integer 扩展字段类型:0-普通扩展字段;1-聚合扩展字段。 最小值:0 最大值:1 id String ID 最小长度:0 最大长度:128 is_expansion Integer 是否为扩展字段:0-不是;1-是。 枚举值: 0 1 level_type String level类型。 最小长度:0 最大长度:128 origin_column_name String 原始字段名称。 最小长度:0 最大长度:128 origin_column_type String 原始字段类型。 最小长度:0 最大长度:128 origin_data_type String 转换前的数据类型:STRING|DATE|DATETIME。 最小长度:0 最大长度:128 枚举值: STRING|DATE|DATETIME 表9 MeasureVo 参数 参数类型 描述 caption String 度量语义化名。 最小长度:0 最大长度:128 column_formula String 度量字段表达式。 最小长度:0 最大长度:1000 cube_id String 字段所属物理表id。 最小长度:0 最大长度:128 data_type String 数据类型:STRING|NUMBER|DATE|DATETIME。 最小长度:0 最大长度:128 枚举值: STRING|NUMBER|DATE|DATETIME expansion_type Integer 扩展字段类型:0-普通扩展字段;1-聚合扩展字段。 最小值:0 最大值:1 id String 度量ID。 最小长度:0 最大长度:128 is_expansion Integer 是否为扩展字段:0-不是;1-是。 最小值:0 最大值:1 origin_column_name String 原始字段名称。 最小长度:0 最大长度:128 origin_column_type String 原始字段类型。 最小长度:0 最大长度:128 origin_data_type String 转换前的数据类型:STRING|NUMBER|DATE|DATETIME。 最小长度:0 最大长度:128 枚举值: STRING|NUMBER|DATE|DATETIME 表10 DatasetRelationVO 参数 参数类型 描述 join_type String 关联类型:left join|right join|inner join。 最小长度:0 最大长度:128 joins Array of 表11 objects 关联键。 数组长度:0-2147483647 relation String 关系类型:one-to-one|one-to-many|many-to-one。 最小长度:0 最大长度:128 source String 源表ID。 最小长度:0 最大长度:128 target String 目标表ID。 最小长度:0 最大长度:128 表11 DatasetJoinVO 参数 参数类型 描述 condition String 关系,equal-to。 最小长度:0 最大长度:128 source_key String 源字段ID。 最小长度:0 最大长度:128 source_type String 源字段类型:dimension|measure。 最小长度:0 最大长度:64 target_key String 目标字段ID。 最小长度:0 最大长度:128 target_type String 目标字段类型:dimension|measure。 最小长度:0 最大长度:64 表12 SqlVariable 参数 参数类型 描述 default_values Array of objects 变量默认值。 数组长度:0-3000 format String 变量格式,针对日期时间类型变量有效。 最小长度:0 最大长度:128 name String 变量名称 最小长度:0 最大长度:128 type String 变量类型:STRING|NUMBER|DATE|DATETIME|TIMESTAMP。 枚举值: STRING|NUMBER|DATE|DATETIME|TIMESTAMP use_scope String 变量作用域,dataset|global。 最小长度:0 最大长度:128 表13 PhysicalSchema 参数 参数类型 描述 tables Array of 表14 objects 物理表信息。 数组长度:0-2147483647 表14 DatasetTableVO 参数 参数类型 描述 id String 表ID。 最小长度:0 最大长度:64 database_name String 数据库。 最小长度:0 最大长度:128 schema_name String schema名称。 最小长度:0 最大长度:128 table_name String 表名 最小长度:0 最大长度:128 table_type String 数据集类型。 最小长度:0 最大长度:128 sql_text String 查询SQL。 最小长度:0 最大长度:5000 is_fact_table Boolean 是否为端点表
  • 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Workspace-Id 是 String 工作空间ID,即控制台的项目ID。 最小长度:0 最大长度:128 X-Auth-Token 是 String 用户Token。通过调用IAM服务获取IAM用户Token接口,接口返回的响应消息头中“X-Subject-Token”就是需要获取的用户Token。 最小长度:0 最大长度:8192
  • 响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述 id String 连接实例ID。 最小长度:0 最大长度:36 create_date Long 连接实例创建时间戳。 最小值:0 最大值:9223372036854774807 create_user String 创建者ID。 最小长度:0 最大长度:32 create_user_name String 创建者名称。 最小长度:0 最大长度:255 update_date Integer 连接实例更新时间戳。 最小值:0 最大值:9223372036854774807 update_user String 更新者ID。 最小长度:0 最大长度:64 update_user_name String 更新者名称。 最小长度:0 最大长度:255 project_id String 项目ID。 最小长度:0 最大长度:36 domain_id String 用户domainID。 最小长度:0 最大长度:64 ds_type String 数据源类型:MySQL、PostgreSQL、DWS、OpenGauss、HIVE、ClickHouse、Doris。 最小长度:1 最大长度:32 vpc_ep_server_id String 终端节点服务ID。 最小长度:0 最大长度:64 vpc_ep_server_name String 终端节点服务名称。 最小长度:0 最大长度:255 vpc_ep_client_id String 终端节点ID。 最小长度:0 最大长度:64 vpc_ep_client_status String 终端节点状态。 accepted:已接受 pendingAcceptance:待审批 最小长度:0 最大长度:64 scene String 网络场景。 dii-app_to_data-source:DataArtsInsight至数据源vpcep通道场景 最小长度:0 最大长度:255
  • 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Workspace-Id 是 String 工作空间ID,即控制台的项目ID。 最小长度:0 最大长度:128 X-Auth-Token 是 String 用户Token。通过调用IAM服务获取IAM用户Token接口,接口返回的响应消息头中“X-Subject-Token”就是需要获取的用户Token。 最小长度:0 最大长度:8192 表3 请求Body参数 参数 是否必选 参数类型 描述 ds_type 是 String 数据源类型:MySQL、PostgreSQL、DWS、OpenGauss、HIVE、ClickHouse、Doris。 最小长度:1 最大长度:32 vpc_ep_server_name 否 String 终端节点服务名称。终端节点服务ID为空时必填。 最小长度:0 最大长度:200 vpc_ep_server_id 否 String 终端节点服务ID。终端节点服务名称为空时必填。 最小长度:0 最大长度:64
  • 响应示例 状态码: 200 验证成功结果。 { "create_date" : 1714962072863, "create_user" : "xxxxx", "create_user_name" : "xxxx", "update_date" : 1714962072863, "update_user" : "xxxx", "update_user_name" : "xxxx", "id" : "8a8080c08xxxxxf4bb485240001", "project_id" : "9c3043axxxx88643b3xxxxxx27", "domain_id" : "d22f8axxx428fb2260xxxxx823", "ds_type" : "DWS", "vpc_ep_server_id" : "xxxxx-31cf-4e27-xxxxx-4b71db9b82fb", "vpc_ep_server_name" : "cn-xxxx-x.DII-xxxx-LB.716b4ee7-xxxx-4e27-852e-xxxxxxx", "vpc_ep_client_id" : "xxxxxx-62be-4479-xxxxx-7379d6dafc40", "vpc_ep_client_status" : "accepted", "scene" : "dii-app_to_data-source" }
  • 响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述 id String 仪表板ID。 最小长度:0 最大长度:128 name String 仪表板名称。 最小长度:1 最大长度:32 create_user_name String 创建者。 最小长度:0 最大长度:128 create_date Long 创建时间。 最小值:0 最大值:9007199254740991 update_user_name String 更新者。 最小长度:0 最大长度:128 update_date Long 更新时间戳。 最小值:0 最大值:9007199254740991 status Integer 仪表板状态: 0:未发布。 1:已发布。 2:已下线。 枚举值: 0 1 2
  • 响应示例 状态码: 200 创建仪表板成功。 { "id" : "009b3d3e-xxxx-4cc3-xxxx-dc54cd42424d", "name" : "新仪表板", "create_user_name" : "xxxx", "create_date" : 1706062051243, "update_user_name" : "xxxx", "update_date" : 1706062051243, "status" : 0 }
  • 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Workspace-Id 是 String 工作空间ID,即控制台的项目ID。 最小长度:0 最大长度:128 X-Auth-Token 是 String 用户Token。通过调用IAM服务获取IAM用户Token接口,接口返回的响应消息头中“X-Subject-Token”就是需要获取的用户Token。 最小长度:0 最大长度:8192 表3 请求Body参数 参数 是否必选 参数类型 描述 name 是 String 仪表板名称。 最小长度:1 最大长度:32
  • 响应示例 状态码: 200 大屏组件列表。 { "id" : "b7401134-xxxx-4973-xxxx-2b6c1ac3f2f1", "name" : "test_screen", "pages" : [ { "id" : "ae613423-xxxx-475d-xxxx-be6fc28c3d30", "name" : null, "nodes" : [ { "id" : "d1e4b677-xxxx-475d-xxxx-dbd9a4bf2f20", "name" : "单选下拉1", "type" : "select", "hidden" : false, "target_nodes" : [ { "id" : "9f7ff361-xxxx-475d-xxxx-57dd19bda14e", "field_id" : "cca5cb5e-xxxx-475d-xxxx-8a4f90447ae0.field" } ] } ] } ] }
  • 请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Workspace-Id 是 String 工作空间ID,即控制台的项目ID。 最小长度:0 最大长度:128 X-Auth-Token 是 String 用户Token。通过调用IAM服务获取IAM用户Token接口,接口返回的响应消息头中“X-Subject-Token”就是需要获取的用户Token。 最小长度:0 最大长度:8192
  • 响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述 id String 大屏ID。 最小长度:0 最大长度:128 name String 大屏名称。 最小长度:0 最大长度:32 pages Array of ScreenPageOpenApiVO objects 大屏Page列表。 数组长度:0 - 100 表5 ScreenPageOpenApiVO 参数 参数类型 描述 id String Page ID。 最小长度:0 最大长度:128 name String Page名称。 最小长度:0 最大长度:32 nodes Array of ScreenNodeOpenApiVO objects Page内组件列表。 数组长度:0 - 1000 表6 ScreenNodeOpenApiVO 参数 参数类型 描述 id String 组件ID。 最小长度:0 最大长度:128 name String 组件名称。 最小长度:0 最大长度:32 type String 组件类型。 最小长度:0 最大长度:32 hidden Boolean 组件是否隐藏。 target_nodes Array of target_nodes objects 交互事件关联组件。 数组长度:0 - 100 表7 target_nodes 参数 参数类型 描述 id String 关联组件ID。 最小长度:0 最大长度:128 field_id String 关联组件字段ID。 最小长度:0 最大长度:128
  • URI GET /v1/{project_id}/screens/{screen_id}/nodes 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。获取方法请参考获取项目ID。 最小长度:0 最大长度:128 screen_id 是 String 大屏ID。 最小长度:0 最大长度:128 表2 Query参数 参数 是否必选 参数类型 描述 name 否 String 组件名称(模糊搜索)。 最小长度:1 最大长度:32 type 否 String 组件类型。枚举值: line:线状图; type:折线柱图; linebardoubley:双轴折线柱图; linestep:台阶图; pie:饼状图; pie_percent:环形进度条; rosepie:玫瑰图; bar:柱状图; barhori:水平柱状图; linebar:折线柱图; linebardoubley:双轴折线柱图; gantt:甘特图; map:中国地图; worldmap:世界地图; custommap:自定义地图; img:图片; video:视频; title:标题; text:文本; wcloud:词云; datetime:时间器; table:表格轮播; tablepage:表格; flask:数字翻牌器; thresholdflask:阈值翻牌器; marquee:跑马灯; broadcastlist:轮播列表柱状图; treemap:矩形树图; border:边框; decorate:装饰; bgcom:背景图; fullscreen:全屏; iframe:iFrame; search:搜索; select:单选下拉; tab:Tab列表; mutiselect:多选下拉框; dates:日期选择器; dashboard:仪表盘; funnel:漏斗图; tree:树图; progress:进度条; distributionmap:产业分布图; milestone:里程碑。 最小长度:0 最大长度:32 has_data_bind 否 Boolean 组件是否绑定数据。
  • 异常处理 如果天关上线不成功,请尝试参考以下步骤处理。 检查default策略的动作是否为“允许”,如果不是,修改default安全策略为允许。 图2 查看安全策略 在界面的右上角,单击CLI控制台按钮。 图3 进入CLI控制台 参考如下操作,进入系统视图。 图4 进入系统视图 通过ping检查设备到客户网络内网关是否通畅。 ping 10.1.1.254 //假设网关IP地址为10.1.1.254,检查时请更换为局点实际网关IP地址 如果ping不通,请检查网线连接。 通过ping检查设备在客户网络内DNS解析是否正常。 ping mgt.seccloud.huawei.com 如果ping不通,请再ping DNS的IP地址,检查与DNS的网络是否能正常通信。 通过telnet检查设备注册公网端口连通性是否正常。 telnet mgt.seccloud.huawei.com 10020,有ssh证书交换字样,说明连通性正常。 如果连通性异常,请检查客户侧的安全设备是否做了端口访问限制。
  • 域名 置信度与风险值使用说明 域名置信度与风险值使用说明如图1所示。 图1 域名置信度与风险值使用说明 判断域名是否满足域名规范。 如果是,则执行下一步。 如果不是,则参考其他信息进行处理。 调用威胁信息服务的接口获取域名威胁信息结果。 根据查询结果执行相应动作。 如果查询到数据,则执行下一步。 如果没有查询到数据,则参考其他信息进行处理。 判断域名是否是常用公共基础设施,如含有Name Server、CDN、Whitelist标签。 如果是,则放行此域名。 如果不是,则执行下一步。 判断是否含有其他中性标签,中性标签请参见IP和域名威胁信息标签。 如果是,则根据用户实际情况结合威胁信息接口中其他数据进行人工研判。 如果不是,则执行下一步。 判断置信度是否大于等于90,风险值是否大于60。 如果是,则阻断此域名。 如果不是,则根据用户实际情况结合威胁信息接口中其他数据进行人工研判。 父主题: 置信度与风险值使用说明
  • 解决方法 在管理PC上登录标准页面:https://192.168.0.1:8443/default.html。 在任意界面的右上角,单击“CLI控制台”。 图1 进入控制台 输入system-view,进入系统视图。 输入以下命令行配置认证方式。 配置后就可以使用密码password登录串口。 user-interface console 0 authentication-mode password set authentication password cipher password
  • 异常处理 如果天关上线不成功,请尝试参考以下步骤处理。 在管理PC上登录标准页面:https://192.168.0.1:8443/default.html。 在界面的右上角,单击CLI控制台按钮。 图2 进入CLI控制台 参考如下操作,进入系统视图。 图3 进入系统视图 通过ping检查设备到客户网络内网关是否通畅。 ping 10.1.1.254 //假设网关IP地址为10.1.1.254,检查时请更换为局点实际网关IP地址 如果ping不通,请检查网线连接。 通过ping检查设备在客户网络内DNS解析是否正常。 ping mgt.seccloud.huawei.com 如果ping不通,请再ping DNS的IP地址,检查与DNS的网络是否能正常通信。 通过telnet检查设备注册公网端口连通性是否正常。 telnet mgt.seccloud.huawei.com 10020,有ssh证书交换字样,说明连通性正常。 如果连通性异常,请检查客户侧的安全设备是否做了端口访问限制。
  • 异常处理 如果天关上线不成功,请尝试参考以下步骤处理。 检查default策略的动作是否为“允许”,如果不是,修改default安全策略为允许。 图2 查看安全策略 在界面的右上角,单击CLI控制台按钮。 图3 进入CLI控制台 参考如下操作,进入系统视图。 图4 进入系统视图 通过ping检查设备到客户网络内网关是否通畅。 ping 10.1.1.254 //假设网关IP地址为10.1.1.254,检查时请更换为局点实际网关IP地址 如果ping不通,请检查网线连接。 通过ping检查设备在客户网络内DNS解析是否正常。 ping mgt.seccloud.huawei.com 如果ping不通,请再ping DNS的IP地址,检查与DNS的网络是否能正常通信。 通过telnet检查设备注册公网端口连通性是否正常。 telnet mgt.seccloud.huawei.com 10020,有ssh证书交换字样,说明连通性正常。 如果连通性异常,请检查客户侧的安全设备是否做了端口访问限制。
  • 安全设备 以华为防火墙为例,说明安全设备的配置方法。 输入管理员帐号和密码,登录防火墙设备。 进入系统视图。 system-view 执行以下命令。 [Huawei] info-center enable // 启用日志服务 [Huawei] info-center loghost 10.1.1.1 port 514 // 配置日志发送到天关,10.1.1.1为天关侧与资产通信的内网IP地址 父主题: 配置资产
  • IP和域名威胁信息标签 IP和域名威胁信息标签说明如表1所示,其中黑标签即为恶意标签,中性标签为此IP或域名在生产过程中出现的客观属性信息,白标签为白名单类别。 表1 IP和域名威胁信息标签说明 threat_type_EN threat_type_CN 恶意类别 详细说明 是否存在IP类 是否存在域名类 Attacker 网络攻击者 黑 是指存在网络攻击行为的主机,用来执行漏洞利用、载荷投递、命令控制等任务。 Y N Bruteforcer 暴力破解器 黑 是指攻击者对目标帐号或服务进行重复猜测,以获取帐号登录凭据的主机。当密码或登录凭证未知时,攻击者通过暴力破解技术尝试获取访问权限。 Y N CnC 命令与控制服务器 黑 命令控制服务器是指攻击者向被控制主机发送控制命令的主机,常使用传输层协议(TCP、UDP)、应用层协议(HTTP、HTTPs、DNS)进行通信。 Y Y DDoS 分布式拒绝服务 黑 是指攻击者执行网络拒绝服务攻击。攻击者通过多个主机同时向一个或多个目标发动拒绝服务攻击,导致攻击目标带宽资源或者计算资源耗尽,进而出现宕机或者不可访问的情况。 Y N DGA DGA域名 黑 是指通过DGA算法生成的域名。恶意软件编写者将采用同样的种子和算法生成与恶意软件相同的域名列表,从中选取几个来作为命令控制服务器,恶意软件会持续解析这些域名,直到发现可用的服务器地址。 N Y Exploit 漏洞利用 黑 是指利用攻击目标可能存在的漏洞来展开攻击的主机。攻击者通过漏洞获取攻击目标的Root权限,以执行其他高权限动作。 Y N Malicious Site 恶意站点 黑 是指与攻击者存在通信行为的主机,属于攻击者的基础设施,可能是恶意下载站、失陷站点、钓鱼站点等。 N Y Malware Site 恶意软件分发站点 黑 是指托管恶意软件或漏洞攻击包的站点。攻击者攻陷目标主机后,下载恶意软件或漏洞攻击包,进而执行其他恶意动作,如勒索、扫描等。 Y Y Phishing 钓鱼站点 黑 是指攻击者用于收集目标信息或完成恶意软件植入的站点。攻击者通过发送钓鱼邮件等方式,诱导用户访问伪造的链接或文件,进而达成钓鱼攻击。 N Y Scanner 扫描器 黑 是指通过扫描的方式收集本地或远端存在的漏洞,以及其他信息的主机,攻击者通过扫描器获取的信息指导接下来的攻击动作。 Y N Spammer 垃圾邮件 黑 是指发送垃圾邮件的主机。垃圾邮件泛指未经收件人同意而发送的电子邮件,例如未经收件人同意而发送的商业广告邮件等。 Y Y Zombie 僵尸主机 黑 是指被攻击者控制的主机,已成为攻击者的基础设施。这些主机用来执行其他恶意操作,如作为肉鸡参与DDoS、作为矿工进行挖矿、作为攻击跳板进行横向扩散等,同时这些主机可以有效隐藏真实的攻击源。 Y N PUA 潜在有害应用 黑 是指访问可能使用户数据或设备面临风险的主机或站点,相关应用通常在用户同意的情况下安装。典型表现为弹窗广告、锁定浏览器首页、收集用户信息、安装用户不需要的软件等。 N Y Miner 矿工 黑 是指用于挖掘数字货币的主机。在网络安全领域中,失陷主机常被用作矿工执行挖掘数字货币的任务。 Y N Suspicious 可疑 黑 是指具有可疑恶意行为的主机或站点。 Y Y Compromised 失陷站点 黑 是指被攻击者控制的主机或者站点。攻击者通过失陷主机执行其他恶意操作,如作为肉鸡参与DDoS、作为矿工进行挖矿、作为攻击跳板进行横向扩散等。 N Y Mining Pool 矿池 黑 是指矿工的资源池,矿工通过网络共享本地的计算能力并获取矿池的奖励。攻击者攻陷主机后,常会将失陷主机的算力接入矿池进行矿挖用于获取奖励。 Y Y Sinkhole 被安全机构接管的CnC 黑 是指被运营商或者安全厂商接管的站点或主机。Sinkhole技术是指在域名被判定为恶意后,由运营商或安全厂商将其原本解析的IP变更到无害IP的技术。 Y Y Crypto Mining 挖矿 黑 非矿池的其他挖矿相关场景,如数字货币交易所,矿池首页,网页挖矿等。 N Y Advertising Site 广告服务域名 中性 是指对外提供广告或推广服务的站点。 N Y CDN CDN 中性 是指承载内容分发网络的主机。CDN是指构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。 Y Y DDNS 动态域名 中性 是指将用户的动态IP地址映射到一个固定的域名解析服务上的站点,用户每次连接网络的时候,客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序,服务程序负责提供DNS服务并实现 动态域名解析 。动态域名除去正常的用途外,常用于攻击者快速构建命令控制服务器(CnC)、文件托管服务器。 N Y Name Server 名称服务器 中性 是指提供域名解析服务的主机。 Y Y Proxy 代理 中性 是指用于转发客户系统的网络请求的主机或站点。 Y Y EDU 教育 中性 是指教育机构使用的主机或站点。 Y Y GOV 政府 中性 是指政府机构使用的主机或站点。 Y Y TOR 洋葱路由器 中性 是指使用洋葱路由技术对数据进行层层加密过程中使用到的主机,通过洋葱路由技术可以保证数据的完整性和保密性。 Y N Crawler 爬虫 中性 是指存在爬虫行为的主机。网络爬虫是基于一定的规则自动地抓取互联网信息的程序或者脚本。 Y N IDC IDC服务器 中性 IDC服务器。 Y N Base Station 基站 中性 是指2/3/4/5G网络使用的基站IP。 Y N Backbone 骨干网 中性 骨干网IP。 Y N Satellite Communication 卫星通信 中性 是指卫星通讯机构使用的主机。 Y N Gateway 网关 中性 是指组织机构、基础设施或大型企业网络的出口IP。 Y N Dynamic IP 动态IP 中性 是指被普通家庭使用的IP,通常覆盖多个小区。 Y N Bogon 保留地址 中性 是指保留IP地址。 Y N Whitelist 白名单 安全 白名单。 Y Y 父主题: 威胁信息标签说明
  • 边界漏洞免疫(自动消减处置措施) 一般情况下,漏洞是通过在资产上安装补丁进行修复。当客户的实际环境无法满足安装补丁的条件,又希望降低被攻击风险时,可以利用天关/防火墙的入侵防御(IPS)能力,设置漏洞关联的IPS签名动作为“阻断”,通过在边界拦截异常流量,缓解漏洞被利用的风险。漏洞关联的IPS签名ID会被查询出来,显示在漏洞详情的界面中。 天关/防火墙侧的IPS签名动作一般有“告警”和“阻断”两种。 如果签名动作为“阻断”,则表示天关/防火墙会阻断异常流量。漏洞被利用的风险低。 如果签名动作为“告警”,则表示天关/防火墙只产生告警,不会阻断异常流量。漏洞可能会被利用。 天关/防火墙侧的IPS签名动作是根据长期运营数据统计结果进行设置的,请不要随意修改。如果一定要修改,请在右上角的帐号下,单击“我的工单”,提交工单寻求解决方法。 使用本功能时,天关/防火墙需要联网,且可以自动升级特征库,以便保持特征库为最新版本。
  • 漏洞扫描 漏洞扫描支持系统扫描、应用扫描等多种扫描类型,并为扫描出的漏洞提供修复建议。同时支持漏洞扫描报告下载。 表1 漏洞扫描能力 类型 功能描述 全量扫描 对服务器、终端设备等多种资产类型进行全量漏洞扫描,包括系统漏洞扫描、Web应用漏洞扫描、数据库漏洞扫描。 专项扫描 高危漏洞扫描 对服务器、终端设备等多种资产类型进行高危漏洞扫描。 热点漏洞扫描 对服务器和终端设备进行最新Apache Log4j2远程代码执行漏洞的扫描。 数据库扫描 对数据库进行安全漏洞扫描,并支持版本风险提示。 WEB扫描 对SQL注入、跨站脚本攻击、跨站请求伪造、安全配置错误、敏感信息泄露等多种Web常规漏洞进行扫描。 弱密码扫描 对服务器和终端设备进行基于弱密码字典库、弱密码规则和穷举等多种模式的弱密码扫描。
  • 漏洞管理 以漏洞视角呈现每个漏洞的详细信息和关联资产。 详细信息包括漏洞名称、漏洞编号、漏洞优先级评级VPR和修复建议等。 漏洞优先级评级VPR(Vulnerability Priority Rating)用来表示漏洞修复优先级,是 漏洞扫描服务 基于漏洞利用代码成熟度、漏洞公布时长、产品的覆盖率、CVSS评分等多维度数据,通过机器学习算法计算的漏洞风险评分。分数越高,说明越需要优先修复。 关联资产能够帮助客户快速定位到风险资产,使漏洞修复更有针对性。
  • 逻辑架构 如图1所示,边界防护与响应由三个部分组成。 本地网络边界防护:部署在租户网络边界的天关提供入侵防御、反病毒、DNS过滤等能力,守护本地网络边界安全。 租户数据处理:华为乾坤的数据接入中心模块对天关侧的日志进行相关处理,并将各业务数据进行持久化存储。 威胁分析与处置:华为乾坤的威胁分析与处置模块获取各业务数据后,通过 威胁检测 、事件分析与响应、安全管理三个子模块协同工作共同完成自动化分析和安全响应。具体分析过程请参见图2。 图1 逻辑架构
  • 威胁分析与处置 如图2所示,威胁分析与处置中心模块获取各业务数据后,通过威胁检测、事件分析响应、安全管理三个模块协同工作共同完成自动化分析和安全响应。 威胁检测:针对获取的日志,直接进行格式、字段等预处理后输出异常事件。 事件分析响应:对输出的异常事件依次进行聚合分析、自动化分析、安全响应。 针对输出的异常事件根据对应的聚合策略进行聚合分析,然后基于自动化分析模型对聚合后的事件进行自动化分析判定。对于命中分析模型的事件,由安全响应执行自动响应动作,在自动化分析的基础上,分析后的事件(包括命中或未命中事件)由安全专家进一步分析处置。 安全管理:为华为乾坤安全专家提供事件可视化Portal、事件人工处置能力,日常管理能力、安全响应管理能力等。 安全专家可以通过事件管理查看自动化分析后的事件;通过模型管理及时配置和调整自动化分析模型;通过响应管理完成黑白名单的日常维护工作。 图2 威胁分析与处置
  • IP置信度与风险值使用说明 IP置信度与风险值使用说明如图1所示。 图1 IP置信度与风险值使用说明 判断IP地址是否为公网IP地址。 如果是,则执行下一步。 如果不是,则参考其他信息进行处理。 调用威胁信息服务的接口获取IP威胁信息结果。 根据查询结果执行相应动作。 如果查询到数据,则执行下一步。 如果没有查询到数据,则参考其他信息进行处理。 判断IP是否是常用公共基础设施,如含有CDN、Name Server等标签。 如果是,则放行此IP地址。 如果不是,则执行下一步。 判断置信度是否大于90,风险值是否大于60。 如果是,则阻断此IP地址。 如果不是,则根据用户实际情况结合威胁信息接口中其他数据进行人工研判。 父主题: 置信度与风险值使用说明
  • 数据规划 表1 数据规划 项目 数据 说明 租户内网资产IP地址 192.168.41.0-192.168.41.255 请向租户获取,此处仅为示例。 天关1 转发业务流量接口(Bypass接口对) USG6502E-C/USG6503E-C:GE0/0/21和GE0/0/20 USG6603F-C:10GE0/0/0、10GE0/0/1 - 云端管理接口 GE0/0/3:192.168.55.1/24 - 漏洞扫描和 云日志 审计业务接口 GE0/0/2:192.168.56.1/24 - 天关2 镜像流量接收口(旁路检测模式) USG6502E-C/USG6503E-C:GE0/0/20 USG6603F-C:GE0/0/10 此处请使用偶数端口,USG6603F-C缺省无GE0/0/20接口,可使用GE0/0/10。 云端管理接口 GE0/0/3:192.168.55.2/24 - 交换机 端口规划 观察端口:GigabitEthernet0/0/1 镜像端口:GigabitEthernet0/0/2 - 父主题: 企业内部存在DNS服务器场景
  • 单独物理网口上网(推荐) 适用场景:客户网络已有出口路由器(出口网关)。业务链路所在网段没有可分配的IP地址,或者该网段不能访问互联网,需要单独物理口接入可访问互联网网段。 方案特点:需要额外连一根网线上网,并配置该物理接口的“工作模式”为“路由”模式。云端管理口和业务上行口不共用一个物理接口。 图2 单独物理网口上网 更多其他部署场景,比如天关旁挂,或者您的企业内部存在NAT转换/DNS服务器,请参见《典型配置案例》完成天关部署和上线配置。
共100000条