检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
设置资产订阅 操作场景 安全云脑只有在开启资产订阅设置的工作空间才能同步资产相关信息。订阅后,资产信息将在一分钟内同步展示。后续,将每天晚上自动同步资产信息。 本章节介绍如何订阅资产。 每个Region的首个工作空间可自动加载当前Region所有资产。后续新增的用于自定义运营的工作空间
启用安全模型 在智能建模页面安全云脑内置了基于应用、网络、主机多维度的安全分析模型,自动化的完成数据汇聚、分析和报警。 护网/重保期间建议使用全量内置的模板创建告警模型并启用模型。 通过模型汇聚分析筛选告警,降低误报率,提升值班人员分析处理效率。同时,也可以结合用户场景编辑模型进行模型调整
安全编排使用流程 安全编排的使用流程如下: 图1 安全编排使用流程 表1 使用流程 序号 操作项 说明 1 (可选)配置并启用流程 启用需要的安全云脑内置的流程。 安全云脑默认提供了“WAF一键解封”、“主机告警状态同步”、“告警指标提取”等流程,且流程的初始版本(V1)也已启用,
数据监控 安全云脑数据监控功能支持监控安全云脑管道上下游的生产速率、生产量、消费总速率等指标,您可以根据监控判断业务运行状态。 相关概念 生产者:是用来构建并传输数据到服务端的逻辑概念,负责把数据放入消息队列。 订阅器:用于订阅安全云脑管道消息,一个管道可由多个订阅器进行订阅,安全云脑通过订阅器进行消息分发
自动更改告警名称 剧本说明 安全云脑提供的自动更改告警名称剧本,支持用户按照不同维度自定义告警名称。 “自动更改告警名称”剧本已匹配“自动更改告警名称”流程,配置该剧本,需要对流程及流程中的插件进行适配。 “自动更改告警名称”流程共四个插件节点:获取告警类型id、获取告警详情、SecMasterBiz
高危漏洞自动通知 剧本说明 安全云脑提供的高危漏洞自动通知剧本,当新增主机漏洞,且等级为高危时,自动通知运营人员。 “高危漏洞自动通知”剧本已匹配“高危漏洞自动通知”流程,该流程需要使用消息通知服务(Simple Message Notification,SMN)来创建安全云脑告警通知主题
高危告警自动通知 剧本说明 安全云脑提供的高危告警自动通知剧本,当有告警新增时,对高危或者致命告警去重后,自动通知运营人员。 “高危告警自动通知”剧本已匹配“高危告警自动通知”流程,该流程需要使用消息通知服务(Simple Message Notification,SMN)来创建安全云脑告警通知主题
创建剧本 功能介绍 创建剧本 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String
删除剧本 功能介绍 删除剧本 调用方法 请参见如何调用API。 URI DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/{playbook_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id
数据消费 数据消费是指第三方软件、云产品等通过客户端实时消费日志服务的数据,是对全量数据的顺序读写。 安全云脑提供数据消费功能,支持通过客户端实时消费数据。 开启数据消费 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑
配置索引 安全分析中的索引是一种存储结构,用于对日志数据中的一列或多列进行排序。不同的索引配置,将会产生不同的查询和分析结果,请根据您的需求合理配置索引。 如果您需要使用分析功能,必须配置字段索引。配置字段索引后,您可以指定字段名称和字段值(Key:Value)进行查询,缩小查询范围
下载日志 操作场景 安全云脑支持将原始日志或查询分析日志下载到本地。 前提条件 已完成数据接入,详细操作请参见数据集成。 操作步骤 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面
查看策略扫描结果 操作场景 在策略扫描界面可查看已授权云服务的已订阅安全遵从包的总体扫描情况和各个云服务扫描情况。 策略扫描将在每日凌晨1:30自动扫描一次并生成扫描结果。 前提条件 已订阅安全遵从包,详细操作请参见订阅安全遵从包。 操作步骤 登录管理控制台。 单击管理控制台左上角的
创建托管 操作场景 安全云脑支持将项目中的工作空间托管给其他用户,托管后,可实现Workspace委托集中安全运营查看统一资产风险、告警和事件等。 约束与限制 创建托管时,当选择组织进行托管时,需注意以下信息: 如果选择的是所有组织下的所有账号进行托管,那么,后续某个组织下新增账号也可以实现全量托管
托管授权 操作场景 托管创建完成后,需要到目标工作空间所属账号中进行授权。授权后,被托管空间将挂载到托管账号下的空间中,进行统一管理。 前提条件 已创建托管,详细操作请参见创建托管。 操作步骤 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规
与其他云服务的关系 本章节主要介绍安全云脑与其他云服务之间的关系。 与安全服务的关系 安全云脑从主机安全(Host Security Service,HSS)、Web应用防火墙(Web Application Firewall,WAF)、Anti-DDoS流量清洗(Anti-DDoS
步骤五:创建安全报告 安全云脑可以自动发送安全态势报告,展示安全评分、基线检查结果、安全漏洞、策略覆盖等信息,方便及时掌握资产的安全状况数据。 本章节以创建安全运营日报为例进行介绍。 操作步骤 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规
接入资产 安全云脑只有在开启资产订阅设置的工作空间才能同步资产相关信息。订阅后,资产信息将在一分钟内同步展示。 每个Region的首个工作空间可自动加载当前Region所有资产。后续新增的用于自定义运营的工作空间,不会自动加载资产,需要用户自定义接入。 本章节介绍如何手动接入资产数据信息
策略管理概述 安全云脑的策略管理功能可以简化您在多个账户和资源上的管理和维护任务,以实现各种保护,包括WAF、CFW、VPC安全组、IAM。同时,支持统一展示所有策略信息、人工管理七层防线策略、查看人工/自动化拦截记录等操作。 约束与限制 应急策略目前仅支持CFW/WAF/VPC安全组
快速查询 操作场景 快速查询为安全云脑提供的用于保存查询分析操作的功能。您可以将某个常用的查询分析语句另存为快速查询,以便后续直接使用,快速执行查询分析操作。 本章节将介绍如何创建快速查询。 前提条件 已配置索引,详细操作请参见配置索引。 创建快速查询 登录管理控制台。 单击管理控制台左上角的
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
