华为云用户手册

响应示例 { "id": "00078e9d-a61c-476e-ac63-a10c9cb2638e", "name": "development-env", "alias": null, "description": "", "project_id": "e7d2e9c589e5445e808a8ff0d1235aca", "enterprise_project_id": "0", "charge_mode": "provided", "deploy_mode": "container", "vpc_id": "29d55020-ae0e-4a18-871c-93e6976ee7bd", "base_resources": [ { "id": "b6862a62-d916-11e9-bdf1-0255ac101fd9", "type": "cce" } ], "optional_resources": [ { "id": "default", "type": "cse" } ], "creator": "ss-test", "create_time": 1610418873730, "update_time": 1610418873730 }

请求示例 创建一个名称为development-env的“虚拟机”类型的环境，环境所在VPC的id为29d55020-ae0e-4a18-871c-93e6976ee7bd。 { "name": "development-env", "description": "", "charge_mode": "provided", "deploy_mode": "container", "vpc_id": "29d55020-ae0e-4a18-871c-93e6976ee7bd", "base_resources": [ { "id": "b6862a62-d916-11e9-bdf1-0255ac101fd9", "type": "cce" } ], "optional_resources": [ { "id": "default", "type": "cse" } ] }

请求消息 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 消息体的类型（格式），默认取值为“application/json;charset=utf8”。 X-Auth-Token 是 String 调用接口的认证方式分为Token和AK/SK两种。如果您使用的Token方式，此参数为必填，请填写Token的值。Token获取方式，请参考获取用户Token。 表3 请求Body参数 参数 是否必选 参数类型 描述 name 是 String 环境名称。 由英文字母、数字、中划线（-）、下划线（_）组成，并以英文字母开头，英文字母或者数字结尾，英文字母不区分大小写，长度为2~64个字符。 alias 否 String 环境别名。 最大长度为64个字符。 deploy_mode 是 String 指定环境类型。 virtualmachine：虚拟机。 container：Kubernetes。 mixed ：虚拟机和Kubernetes。 description 否 String 环境描述。 最大长度为128个字符。 enterprise_project_id 否 String 企业项目ID。 charge_mode 否 String 收费模式，支持provided、on_demanded、monthly。默认provided，表示使用用户提供的已有资源，无需收费。on_demanded表示按需收费，monthly表示包月收费。 vpc_id 是 String 虚拟私有云ID。 base_resources 是 Array of objects 基础资源，请参考表4。 optional_resources 否 Array of objects 可选资源，请参考表4。 表4 resources 参数 是否必选 参数类型 描述 id 是 String 资源ID。 type 是 String 基础资源：cce、ecs、as。 可选资源：rds、dcs、elb、cse等其他类型。 name 否 String 资源名称。

响应消息 表4 响应参数 参数 参数类型 描述 count Integer 应用总数。 applications Array of object 应用信息，请参考表5。 表5 applications 参数 参数类型 描述 id String 应用ID。 name String 应用名称。 description String 应用描述。 creator String 应用创建人。 project_id String 项目ID。 enterprise_project_id String 企业项目ID。 create_time Integer 应用创建时间。 update_time Integer 应用修改时间。 component_count Integer 应用下部署的组件个数。 labels Array of objects 标签，可使用标签管理服务通过标签过滤资源，请参考表6。 表6 labels 参数 参数类型 描述 key String 标签名称。 value String 标签值。

响应示例 { "count": 1, "applications": [ { "id": "dae29983-c1e9-437d-a6be-5256076fe605", "name": "app-xpmtii", "description": "test", "project_id": "063a3158b1a34710b36ad208b9497d00", "enterprise_project_id": "0", "creator": "ss-test", "create_time": 1679468852302, "update_time": 1679468852302, "labels": [ { "key": "key", "value": "var" } ], "component_count": 0 } ] }

URI GET /v3/{project_id}/cas/applications 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。获取方法，请参考获取项目ID。 表2 查询参数 参数 是否必选 参数类型 描述 limit 否 integer 查询个数，取值[0, 100]。 offset 否 integer 查询偏移量，表示查询第n条数据后的结果。 order_by 否 String 排序字段。 排序字段支持以下枚举值： create_time，应用创建时间，默认排序字段。 name，应用名称。 update_time，应用修改时间。 传值不在支持的枚举值范围内的话按默认排序字段排序。 order 否 String 排序方式。 desc，降序排序，默认排序方式。 asc，升序排序。

请求消息 表3 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 消息体的类型（格式），默认取值为“application/json;charset=utf8”。 X-Auth-Token 是 String 调用接口的认证方式分为Token和AK/SK两种，如果您使用的Token方式，此参数为必填，请填写Token的值。Token获取方式，请参考获取用户Token。

响应消息 表4 响应参数 参数 参数类型 描述 id String 配置文件ID。 name String 配置文件名称。 description String 配置描述。 creator String 创建人。 project_id String 项目ID。 type String 配置文件格式： yaml properties sensitive Boolean 配置文件内容是否加密： true，加密。 false，不加密。 components Array of objects 配置文件绑定的组件，请参考表5。 create_time Integer 创建时间。 update_time Integer 修改时间。 version String 配置文件版本。 content String 配置文件内容。 config_group_id String 配置分组ID。 表5 components 参数 参数类型 描述 application_id String 应用ID。 component_id String 组件ID。 component_name String 组件名称。 environment_id String 环境ID。

请求示例 创建名为test-config的配置文件，不加密，文件格式为properties。 { "config_group_id": "f3e6d5b4-4d7d-4009-b806-22cfed2ac6ea", "name": "test-config", "description": "", "type": "properties", "content": "test-key = test-value", "sensitive": false }

响应示例 { "id": "d5821100-9a82-4d1c-9468-fc6b2b9ccdad", "config_group_id": "f3e6d5b4-4d7d-4009-b806-22cfed2ac6ea", "name": "test-config", "description": "", "type": "properties", "content": "testkey = testvalue", "version": "v1", "project_id": "2cfeefc3e4c54a5aa7548b8350e638d7", "sensitive": false, "create_time": 1717485580152, "update_time": 1717485580152, "components": [], "creator": "ss-test" }

请求消息 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 消息体的类型（格式），默认取值为“application/json;charset=utf8”。 X-Auth-Token 是 String 调用接口的认证方式分为Token和AK/SK两种，如果您使用的Token方式，此参数为必填，请填写Token的值。Token获取方式，请参考认证鉴权。 表3 请求Body参数 参数 是否必选 参数类型 描述 config_group_id 是 String 配置分组ID。 name 是 String 配置文件名称。 为长度2到64个字符的字符串，可以包含英文字母、数字、下划线（_）或中划线（-），以英文字母开头、英文字母或者数字结尾。 content 是 String 配置文件内容。 description 否 String 配置文件描述，为不超过128个字符的字符串。 type 是 String 配置文件格式： yaml properties sensitive 是 Boolean 配置文件内容是否加密： true，加密。 false，不加密。

方案架构 该解决方案帮助您在华为云Flexus云服务器X实例（弹性云服务器 E CS ）上快速搭建EvalScope模型性能评测平台。 图1 方案架构图 该解决方案将会部署如下资源： 创建一个弹性公网IP EIP，用于提供访问公网和被公网访问能力。 创建一台Flexus云服务器X实例（弹性云服务器 ECS），用于搭建EvalScope模型性能评测平台。 创建一个安全组，通过配置安全组规则，为云服务器提供安全防护。

防护策略配额限制 防护规则 一个防火墙实例最多添加20,000条防护规则。 黑白名单 一个防火墙实例最多添加2,000条黑名单。 一个防火墙实例最多添加2,000条白名单。 成员组 IP地址组 每个防火墙实例下最多添加3,800个IP地址组。 每个IP地址组中最多添加640个IP地址成员。 每个防火墙实例下最多添加30,000个IP地址。 服务组 每个防火墙实例下最多添加900个服务成员。 每个防火墙实例下最多添加512个服务组。 每个服务组中最多添加64个服务成员。 域名 组 基础版仅支持应用型域名组。 域名组中所有域名被“防护规则”引用最多40,000次，泛域名（例如：*.example.com）被“防护规则”引用最多2000次。 应用域名组（七层协议解析） 每个防火墙实例下最多添加500个域名组。 每个防火墙实例下最多添加2500个域名成员。 每个应用域名组中最多添加1500个域名成员。 网络域名组（四层协议解析） 每个防火墙实例下最多添加1000个域名成员。 每个网络域名组中最多添加15个域名成员。 每个域名组最多支持解析1500条IP地址。 每个域名最多支持解析1000条IP地址。

CFW使用限制 仅支持对部署在华为云的业务提供防护，不支持 智能边缘云IEC 的业务，也不支持跨云使用。 支持弹性公网IP EIP的流量防护，不支持全域弹性公网IP G-EIP、API网关APIG绑定的EIP的流量防护。 购买的 云防火墙 只能在当前选择的区域使用，如需在其它区域使用，请切换到对应区域进行购买。有关支持购买CFW的区域信息，请参见功能总览。 VPC边界流量防护功能依赖企业路由器ER服务引流，使用该功能时，需确保账号下至少有一个企业路由器。 云防火墙不支持防护中文域名。 标准版旁路引擎已于2023年1月停止销售，相关功能在此之后停止演进，该版本不支持 云监控服务 CES、查看IPS库或修改IPS动作、日志存储至 云日志服务LTS 、病毒防御（专业版）、防护泛域名等功能。如需使用以上功能建议切换为直路引擎。

等保合规能力说明 检查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其它网络区域之间应采取可靠的技术隔离手段。 高 通过云原生VPC能力，将重要网络区域使用VPC隔离，不同重要级别的VPC之间的业务互访，使用云防火墙CFW实现VPC间业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界和VPC边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向和东西向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 产品功能 应能够对非授权设备私自连到内部网络的行为进行限制或检查。 中 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 访问控制策略概述 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨VPC流量的应用协议、内容的访问控制。 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计功能 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其它与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供 日志分析 功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。

攻击防御 攻击防御提供网络攻击防护、敏感目录扫描、拦截病毒文件等功能。 表6 攻击防御功能介绍 功能名称 功能描述 基础版（新）① 标准版 专业版（包周期） 专业版（按需） 入侵防御（IPS） 结合多年攻防积累的经验规则，针对访问流量进行检测与防护，有效保护您的资产。 根据内置的IPS规则库，提供威胁检测和 漏洞扫描 。支持检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击；以及检测是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其它可疑行为。 基础防御规则库支持手动修改防护动作。 基础防御规则库支持通过“规则ID”、“特征名称”、“风险等级”、“更新年份”、“CVE编号”、“攻击类型”、“规则组”、“当前动作”查询规则信息。 × √ √ √ 虚拟补丁 在网络层级为IPS提供热补丁，实时拦截高危漏洞的远程攻击行为，同时避免修复漏洞时造成业务中断。 × √ √ √ 自定义IPS特征库 当内置的IPS规则库无法满足需求时，CFW支持自定义IPS特征规则，添加后，CFW将基于签名特征检测数据流量是否存在威胁。 自定义IPS特征支持添加HTTP、TCP、UDP、POP3、SMTP、FTP的协议类型。 × × √ √ 敏感目录、反弹Shell 敏感目录扫描防御：防御对用户主机敏感目录的扫描攻击。 反弹Shell检测防御：防御网络上通过反弹shell方式进行的网络攻击。 × √ √ √ 病毒防御（AV） 通过病毒特征检测来识别和处理病毒文件，避免由病毒文件引起的数据破坏、权限更改和系统崩溃等情况发生，有效保护您的业务安全。 病毒防御功能支持检测HTTP、SMTP、POP3、FTP、IMAP4、SMB的协议类型。 × × √ √ 安全看板 快速查看攻击防御功能的防护信息，及时调整IPS防护。 × √ √ √

系统管理 系统管理提供告警通知、DNS配置、安全报告等功能，帮助您管理和维护云上资产的安全，及时发现异常情况。 表9 系统管理功能介绍 功能名称 功能描述 基础版（新）① 标准版 专业版（包周期） 专业版（按需） 告警通知 您可以通过云防火墙服务对攻击信息、流量超额预警等事件进行通知设置。开启告警通知后，CFW可将触发的信息通过您设置的接收通知方式（例如邮件或短信）发送给您。 √（仅支持流量超额预警） √ √ √ 网络抓包 帮助您定位网络故障和攻击。 × × √ √ 多账号管理 一个账号下的云防火墙实例同时防护多个账号的EIP资源。 × √（20个 ） √（50个） √（20个） DNS配置 通过域名服务器解析并下发IP地址。 × √ √ √ 安全报告 生成日志报告，及时掌握资产的安全状况数据。 × √ √ √

日志审计 日志审计支持记录攻击事件的详细信息、访问控制策略的命中详情以及经过防火墙的所有流量。 表8 日志审计功能介绍 功能名称 功能描述 基础版（新）① 标准版 专业版（包周期） 专业版（按需） 日志查询 防火墙提供7天的日志记录，助您事件追溯和深入分析。 √（仅支持访问控制日志和流量日志） √ √ √ 日志管理 将日志转储到华为云的 云日志 服务（Log Tank Service，简称LTS）中，支持查看1~365天的日志记录。 × √ √ √

资产管理 云防火墙提供对云上资产的安全防护，有效降低安全风险。 表3 资产管理功能介绍 资源名称 功能描述 基础版（新）① 标准版 专业版（包周期） 专业版（按需） IPv4 支持对IPv4资产的防护 √ √ √ √ IPv6 支持对IPv6资产的防护 × × × × EIP 云防火墙通过对弹性公网IP（EIP）的防护实现互联网边界流量的防护。 √ √ √ √ VPC（私网IP） 云防火墙通过对虚拟私有云（VPC）的防护实现VPC和VPC之间、本地数据中心（IDC）和云上VPC之间流量的防护。 × × √ √ 表4 云上资产的防护规格 功能名称 基础版（新）① 标准版 专业版（包周期） 专业版（按需） 防护的公网IP（EIP）数量 20个（不可扩容） 20个（可扩容，最大扩容至2000个） 50个（可扩容，最大扩容至2000个） 1000个（上限） 防护的VPC数量 × × 2个（可扩容，最大扩容至1000个） 20个（上限） 互联网边界防护带宽 10Mbps（不可扩容） 10Mbps（可扩容，最大扩容至50,000Mbps） 50Mbps（可扩容，最大扩容至50,000Mbps） 共1 Gbps VPC边界防护带宽 × × 200Mbps（随VPC数量扩容）

访问控制 访问控制策略通过指定的IP地址、端口等参数有效地帮助您精细化管控云上资源的流量。 表5 访问控制功能介绍 功能名称 功能描述 基础版（新）① 标准版 专业版（包周期） 专业版（按需） 防护规则 基于IP地址、域名、域名组、地理位置等方式灵活管控访问流量。 √（仅支持通过Host或SNI字段匹配策略） √ √ √ 黑/白名单 基于五元组精确管控特定流量。 √ √ √ √ 流量封堵 基于IP地址快速拦截大量流量。 × √（支持拦截100,000条IP地址数） √（支持拦截500,000条IP地址数） √ 策略助手 快速查看防护规则的命中情况，及时调整防护规则。 √ √ √ √

相关操作 事件管理 查看事件信息：详细操作请参见查看事件信息。 新增或编辑事件：详细操作请参见新增或编辑事件。 导入或导出事件：详细操作请参见导入或导出事件。 关闭或删除事件：详细操作请参见关闭或删除事件。 告警管理 查看告警信息：详细操作请参见查看告警信息。 常见告警处置建议：详细指导请参见常见告警处置建议。 告警转事件或关联事件：详细操作请参见告警转事件或关联事件。 一键阻断或解封：详细操作请参见一键阻断或解封。 关闭或删除告警：详细操作请参见关闭或删除告警。 新增或编辑告警：详细操作请参见新增或编辑告警。 导入或导出告警：详细操作请参见导入或导出告警。

告警和事件关系说明 本部分介绍告警和事件的含义、区别，告警转事件的原因和告警关联事件的原因。 告警和事件的含义与区别 表1 告警和事件的含义与区别 类别 描述 定义 告警： 告警是运维中的一种异常信号的通知，通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如，当服务器的CPU使用率超过90%时，系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性，能够明确指出异常发生的位置、类型和影响。同时，告警可以按照严重程度来进行分类，如紧急、重要、一般等，以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员，以便他们能够迅速响应并采取措施解决问题。 事件： 事件是一个更广泛的概念，可以包括告警，但不限于此。事件可以是系统正常操作的一部分，也可以是异常或错误。在运维和安全领域，事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发，也可能由其他因素（如用户操作、系统日志等）引发。 事件的目的更广泛，可以是为了记录、分析、报告或审计，通常用于记录和报告系统的历史行为，以便于分析和审计。 处理流程 告警： 告警的处理流程通常包括接收、确认、分析、响应和关闭等步骤。当监控系统发出告警时，运维人员首先需要确认告警的真实性，然后分析告警的原因和影响范围，最后采取相应的措施来解决问题，并关闭告警。 事件： 事件的处理流程则更加复杂和全面。除了包含告警处理流程中的各个环节外，事件处理还需要进行事件调查、影响评估、风险分析、制定应急计划、执行应急响应、事后总结等步骤。事件处理的目标是彻底解决问题，防止类似事件再次发生，并减少事件对业务的影响。 重要性与紧急程度 告警： 告警一般需要立即评估和响应。 每条告警的紧急程度和重要性各不相同，取决于告警的类型、级别和影响的范围。一些告警可能只是简单的提醒或预警，而另一些告警则可能表示系统已经遭受严重攻击或面临重大故障风险。 事件： 事件可能需要记录、分析或在某些情况下采取行动，但不一定需要立即响应。 事件通常比告警具有更高的重要性和紧急程度。因为事件已经发生并产生了实际的影响，需要立即采取措施来应对和解决问题。如果事件得不到及时处理，可能会给组织带来重大的经济损失或声誉损害。 告警转事件或关联事件的原因 告警通常是在系统或服务出现异常或潜在故障时产生的通知。这些异常可能会直接影响业务的正常运行，因此告警需要被及时处理，以防止业务异常。告警通常需要采取相应的措施来清除故障，否则可能会因为这些异常或故障引起业务的异常。 事件则是在系统或服务在正常运行状态下产生的通知，它可能涉及到一些重要的状态变化，但不一定会引起业务异常。因此，事件一般不需要进行处理，主要用于帮助分析、定位问题。 表2 告警转事件或关联事件的原因 类别 说明 告警转事件原因 当告警的严重性达到一定程度，或者持续出现，或者其影响范围广泛时，它可能不再仅仅是一个需要关注的信号，也可能表明系统或网络中存在一个持续性的问题，此时，它已经演变成了一个需要立即处理的事件，这种情况下，可以将告警转化为事件来处理，以便深入调查问题的根源，并采取相应的措施来彻底解决。通常告警转事件的原因有以下几个方面： 信息聚合与分类 告警通常是对某个特定条件或阈值被违反的即时响应。随着时间的推移，大量的告警可能会被触发，如果直接处理这些独立的告警，可能会变得非常混乱和低效。将这些告警聚合成事件，可以帮助相关人员根据告警的类型、来源、影响等维度进行分类，从而更有效地处理它们。 简化工作流程 告警到事件的转换过程，通常伴随着对告警的过滤、去重、聚合等处理。这些处理使得原本可能触发多个相似告警的情况，被整合为一个更具代表性的事件。这样不仅减少了处理单个告警的工作量，也使得处理过程更加条理清晰，便于跟踪和记录。 提升问题解决效率 将告警转换为事件后，由于事件通常提供了比单个告警更全面的上下文信息，因此相关人员可以更容易地识别出问题的根本原因，有助于更快地定位问题，并采取有效的解决措施。 便于历史回顾与趋势分析 事件记录了问题的发生、发展、解决的全过程，这为后续的问题预防、系统优化等提供了宝贵的历史数据。通过对事件进行趋势分析，可以发现系统中潜在的薄弱环节，提前采取措施进行改进。 增强跨部门协作 在大型组织中，不同的部门可能需要共同参与问题的处理。将告警转换为事件后，可以更容易地在不同部门之间共享相关信息，促进跨部门协作，提高问题解决的效率。 总而言之，将告警转换为事件助于简化工作流程、提升问题解决效率、便于历史回顾与趋势分析。 告警关联事件原因 告警关联事件是监控和故障管理中的一个重要环节，它涉及到将多个独立但可能相互关联的事件或告警组合起来，以便更好地理解问题的根源和范围，从而更有效地进行故障排查和响应。通常告警关联事件的原因有以下几个方面： 依赖关系 在复杂的系统中，各个组件之间往往存在复杂的依赖关系。当一个组件出现故障时，可能会影响依赖它的其他组件的正常工作，进而引发一系列告警。例如，在微服务架构中，一个服务的崩溃可能导致调用该服务的其他服务也出现问题。 资源共享 当多个系统或服务共享同一资源（如服务器、数据库、网络设备等）时，该资源的问题可能导致多个系统或服务同时发出告警。例如，共享数据库服务器的性能下降可能会触发多个依赖该数据库的应用程序的性能告警。 连锁反应 某些情况下，一个初始的故障可能触发一系列连锁反应，导致更多的组件或系统受到影响。这种连锁反应可能由于系统设计不当、错误处理机制不完善或资源限制（如内存泄漏导致的性能下降）等原因引起。 配置错误 配置错误或不一致的配置可能导致系统行为异常，进而触发多个看似不相关的告警。例如，错误的路由配置可能导致流量被错误地路由到不稳定的服务器，从而引发多个与性能相关的告警。 软件缺陷 软件中的缺陷（如bug）可能导致程序在特定条件下表现异常，并触发告警。如果这些缺陷影响了多个组件或系统，则可能引发多个关联告警。 外部因素 外部因素如自然灾害（如地震、洪水）、网络攻击、基础设施故障（如电力中断、网络中断）等也可能导致多个系统或组件同时出现问题，并触发大量告警。

告警 告警是运维中的一种异常信号的通知，通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如，当服务器的CPU使用率超过90%时，系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性，能够明确指出异常发生的位置、类型和影响。同时，告警可以按照严重程度来进行分类，如紧急、重要、一般等，以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员，以便他们能够迅速响应并采取措施解决问题。 当 安全云脑 检测到的云资源中存在的异常情况（例如，某个恶意IP对资产攻击、资产已被入侵等）时，将以告警的形式将威胁信息展示在安全云脑告警管理界面中。

收集范围 安全云脑收集及产生的个人数据如表1所示。 表1 个人数据范围列表 类型 收集方式 是否可以修改 是否必须 邮箱 采用邮箱方式启用通知类剧本时，安全云脑获取对应 消息通知 服务主题订阅的邮箱。 或者开启安全分析报告定时发送功能时，安全云脑获取用户在界面输入的接收邮箱地址（需要经过拥有接收邮箱地址的用户授权同意接收安全分析报告邮件）。 是 是 请求源IP 安全云脑上开启WAF防护场景，有攻击防护域名时，被WAF拦截或者记录的攻击者IP。 否 是 URL 安全云脑上开启WAF防护场景，有攻击的防护域名的URL，被WAF拦截或者记录的防护域名的URL。 否 是 HTTP/HTTPS Header信息（包括Cookie） 安全云脑上开启WAF防护场景，且有攻击命中用户配置的CC攻击、精准访问防护规则时，在攻击告警中可能携带用户在配置界面输入的Cookie值和Header值。 否 否 如果配置的Cookie和Header信息不含有用户的个人信息，则安全云脑也不会收集及产生用户的个人数据。 请求参数（Get、Post） 安全云脑上开启WAF防护场景，在WAF防护日志里，WAF记录的请求详情。 否 否 如果请求参数里不含有用户的个人信息，则WAF记录的相关请求中不会收集及产生用户的个人数据。 登录位置信息 安全云脑上开启HSS主机防护场景，服务器开启防护后，登录云服务器时，HSS记录的用户登录位置信息。 否 是

赠送规格说明 安全云脑增值包中的安全分析、安全编排功能在不同的版本有不同的赠送配额，具体说明如下： 表13 赠送规格说明 功能 标准版 专业版 安全分析 安全数据采集 120 MB/天/配额 120 MB/天/配额 安全数据保留 120 MB/天/配额 120 MB/天/配额 安全数据导出 120 MB/天/配额 120 MB/天/配额 平台安全数据 40 MB/天/配额 40 MB/天/配额 安全建模分析 × 120 MB/天/配额 威胁管理 预制威胁模型 × 计算模型数据120 MB/天/配额；预置模型200个 预制响应剧本 × 预置剧本30个 安全编排 安全编排 × 操作7000次

安全编排 安全编排支持剧本管理、流程管理、数据类管理（安全实体对象）和资产连接管理等。同时，可以自定义剧本和流程等。 通过安全编排可以对安全响应剧本进行拖拽式的灵活编排，动态适配您的业务需求。也可以对安全运营的对象、交互的页面进行灵活扩展和定义。 安全云脑标准版不支持安全编排功能，可以通过购买安全编排增值包使用该功能。 表9 安全编排功能介绍 功能模块 功能描述 基础版 标准版 专业版 运营对象 集中对数据类、数据类类型、分类映射等运营对象进行管理。 × × √ 剧本编排 支持对剧本、流程、资产连接、实例的全生命周期管理。 说明： 需额外购买增值包中的安全编排功能。其中，安全分析、内置剧本、安全编排含有赠送配额，具体说明请参见赠送规格说明。 × × √ 页面布局 提供安全可视化 低代码开发平台 ，基于此平台可自定义安全分析报告、告警管理、事件管理、漏洞管理、基线管理、威胁情报指标库管理等页面布局。 × × √ 插件管理 支持将安全编排流程中使用的插件进行统一管理。 × × √

风险预防 风险预防提供基线检查、漏洞管理、策略管理功能，帮助您的 云安全 配置达到等保、ISO、PCI等各类权威安全标准和华为云安全最佳实践标准；知晓全局的漏洞分布，并一键修复漏洞。 表7 风险预防功能介绍 功能模块 功能描述 基础版 标准版 专业版 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 √ √ √ 漏洞管理 通过自动同步华为云主机安全服务（Host Security Service，HSS）的漏洞扫描数据，分类呈现漏洞扫描详情，支持查看漏洞详情，并提供相应漏洞修复建议。 √ √ √ 应急漏洞公告 针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。 √ √ √ 策略管理 支持统一管理防线策略和应急策略。 √ √ √

安全态势 支持通过安全态势即时查看大屏、定期订阅安全运营报告，了解安全运营核心关注指标。 表5 安全态势功能介绍 功能模块 功能描述 基础版 标准版 专业版 态势总览 安全评分：根据安全云脑的分析检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况。 评估得分越低，即风险值越大，则整体资产安全隐患越大。 安全监控：集中呈现未处理的威胁告警、漏洞和合规检查的风险数目，支持快速查看威胁告警、漏洞和合规风险详情。 安全趋势：呈现最近7天整体资产安全健康得分的趋势图。 √ √ √ 安全大屏 利用AI技术将海量云安全数据的分析并分类，通过安全大屏将 数据可视化 展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 说明： 安全大屏功能需要在标准版/专业版基础上单独购买。 安全大屏还联动Astro大屏应用（Astro Canvas，简称AstroCanvas），支持指标自定义接入，页面零代码开发，数据分钟级接入。 × √ √ 安全报告 通过创建分析报告，定时以邮件形式向指定的收件人发送安全报告，及时掌握资产的安全状况数据。 说明： 安全云脑基础版和标准版不支持安全报告，但是支持通过专业服务“管理检测与响应 MDR”提供体检报告，更多详细信息请参见管理检测与响应产品介绍 。 × × √ 任务中心 集中呈现当前需要进行处理的任务。 × √ √

威胁管理 威胁管理提供丰富的威胁检测模型，帮助您从海量的安全日志中，发现威胁、生成告警；同时，提供丰富的安全响应剧本，帮助您对告警进行自动研判、处置，并对安全防线和安全配置自动加固。 表8 威胁管理功能介绍 功能模块 功能描述 基础版 标准版 专业版 事件管理 集中呈现事件详情，支持人工转事件、自动化转事件。 × √ √ 告警管理 通过集成云服务告警，包含HSS、WAF、DDoS等，集中呈现并管理告警信息。 基础版安全云脑仅支持各安全服务的原始告警汇聚。 标准版安全云脑仅支持各安全服务的原始告警汇聚。 专业版安全云脑支持各安全服务的原始告警汇聚，还支持威胁检测模型精准告警。 √ √ √ 情报管理 支持基于告警和事件自定义规则提取指标。 × × √ 智能建模 支持利用模型对管道中的日志数据进行扫描，如果检测到有满足模型中设置触发条件的内容时，系统将产生告警提示。 × × √ 安全分析 查询与分析 检索分析：支持数据的快捷检索分析，支持安全调查场景安全数据的快速筛留、筛除等操作，快速定位关键数据。 筛选统计：支持数据字段快速分析统计，并基于分析结果进行数据的快速筛选；时序数据支持默认时间分区统计，快速识别数据量的变化趋势，支持基于时间分区的快速筛选；支持分析、统计、排序等丰富统计分析函数，支撑快速构建安全分析模型。 可视化：支持数据可视化分析，直观反映业务结构性和趋势性特征，并基于此构建自定义分析报告和分析指标。 数据投递：支持将数据实时投递至其他管道或其他 华为云产品 中，便于您存储数据或联合其它系统消费数据。 数据监控：支持数据流量端到端的监控管理。 数据消费：提供数据消费和生产的流式通信接口，提供数据管道集成SDK，支持租户利用SDK进行系统集成，支持客户自定义数据的生产和消费。提供Logstash开源采集软件插件，支持利用开源生态进行数据消费和生产。 说明： 需额外购买增值包中的安全分析功能。其中，安全分析、内置剧本、安全编排含有赠送配额，具体说明请参见赠送规格说明。 × √ √ 安全舆情 安全舆情监测可以持续挖掘和感知互联网安全态势变化，及时发现和挖掘与您有关的安全事件、安全漏洞、社会影响、品牌舆情、热搜分析等，还可以将监测形成分析报告，协助您掌握舆情动态，并对潜在的各类舆情风险点进行监测和综合研判。 说明： 仅部分region支持使用安全舆情监测功能，具体开放region请参见功能总览。其他region如需使用该功能，需先提交工单申请开通使用权限。 √ √ √

总览 总览呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。 表1 总览功能介绍 功能模块 功能描述 基础版 标准版 专业版 总览 安全评分：根据安全云脑的威胁检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况。 评估得分越低，即风险值越大，则整体资产安全隐患越大。 安全监控：集中呈现未处理的威胁告警、漏洞和合规检查的风险数目，支持快速查看威胁告警、漏洞和合规风险详情。 安全趋势：呈现最近7天整体资产安全健康得分的趋势图。 √ √ √