正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
查询数据类列表 功能介绍 查询数据类列表 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是
如何查看安全数据采集和安全数据资源包的剩余量? 已包周期购买安全云脑的安全数据采集和安全数据保留资源包,可以通过以下方法查看剩余量: 在安全云脑总览页面右上角,将鼠标悬停在“标准版”或“专业版”上,页面显示版本管理窗口。 在版本管理窗口中,单击安全数据采集或安全数据保留栏中的“查看”。
查询与分析 操作场景 数据收集成功后,您可以在查询分析页面对收集到的日志数据进行实时查询分析。 本章节将介绍如何对日志数据进行查询分析,请根据您的需要选择查询分析方式: 输入查询条件进行查询分析 使用已有字段进行查询分析 操作查询分析结果 前提条件 已完成数据接入,详细操作请参见数据集成。
运营对象”,默认进入运营对象的数据类管理页面。 图2 进入数据类管理页面 在数据类列表中,查看已有数据类信息。 当数据类较多时,可以通过搜索功能,可快速查询指定数据类。 在数据类列表中,可以查看数据类的名称、业务编码、是否为内置数据类等信息。 如需查看某个数据类的详细信息,可单击目标数据类的名称,右侧将弹出目标数据类的详情页面。
新增数据空间 操作场景 数据空间是进行数据分组、负载、流控单元。同一数据空间的数据共享同一载均衡策略。 当您需要使用安全云脑提供的安全分析、数据分析、智能建模等功能时,需要新增数据空间。 本章节介绍如何创建数据空间。 约束与限制 单账号单Region单Workspace最多创建5个数据空间。
当前管道所在区域。 工作空间 当前管道所属的工作空间。 数据空间 当前管道所属的数据空间。 管道 管道的名称 数据位置策略 当前管道中数据位置的策略。 读取身份 数据源读取身份信息说明。 配置数据目的,请根据投递目的进行配置。 PIPE:将当前管道数据投递到本账号其他管道或其他账号的管道中,请根据您的需要进行选择配置。
environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"]
数据投递授权 操作场景 数据投递新增后,需进行投递权限授予操作,接受授权后,投递才会生效。 本章节介绍如何执行数据投递授权。 前提条件 已新增数据投递。 约束与限制 如果新增的数据投递为跨账号投递,则需要登录目的账号进行授权操作。 操作步骤 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
查询字段列表 功能介绍 查询字段列表 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id}/fields 表1 路径参数 参数 是否必选
SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“设置 > 数据集成”,进入数据集成页面后,在云产品接入表格的“存储位置”列查看日志数据存储位置。 查看后,可以前往目标工作空间的对应管道查看接入的日志数据。 图3 查看存储位置 相关操作 取消数据接入 在待取消接入云产品的“审计相关日志”列,单击,关闭接入的云服务日志。
String 数据源产品所在区域,具体取值范围查看华为云地区和终端节点定义,例如cn-north-1 最小长度:0 最大长度:64 company_name String 数据源产品所属公司的名称 最小长度:0 最大长度:16 product_name String 数据源产品的名称
图2 进入安全分析页面 在左侧数据空间导航栏中,单击数据空间名称,展开数据管道列后,再单击管道名称,右侧将显示管道数据的检索页面。 图3 管道数据页面 输入查询分析语句,设置时间范围,并单击“查询/分析”,显示查询分析结果。 更多查询分析详细操作请参见查询与分析。 单击页面右上角“添加告警”,进入新建告警模型页面。
进入安全分析页面 在左侧数据空间导航栏中,单击数据空间名称,展开数据管道列后,单击目标管道名称后的“更多 > 数据消费”,进入数据消费页面。 图3 进入数据消费页面 在数据消费页面中,单击当前状态后的,开启数据消费。 开启后,将显示消费配置信息,具体说明如表1所示。 图4 开启数据消费 表1 数据消费参数说明
创建数据管道 功能介绍 创建数据管道 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/siem/pipes 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String
> 安全分析”,进入安全分析页面。 图2 进入安全分析页面 在待编辑数据空间所在行“操作”列,单击“编辑”。 图3 编辑数据空间 在弹出编辑数据空间界面,修改数据空间描述信息。 单击“确定”。 父主题: 管理数据空间
析等。 本章节将介绍如何将集成的日志数据投递至LTS。 前提条件 已完成需投递日志的数据集成至安全云脑操作,详细操作请参见数据集成。 投递到LTS中,需要已有可用的日志组和日志流。如需创建,详细操作请参见创建LTS日志组、创建LTS日志流。 操作步骤 新增数据投递 登录管理控制台。
配置查询参数。 表1 快速查询参数配置 参数名称 参数说明 查询名称 设置快速查询的名称。 查询语句 系统自动生成7中输入的查询语句。 单击“确定”。 创建快速查询后,您可以在管道数据的查询分析页面中,单击快速查询搜索框中的,并选择目标快速查询名称,即可使用快速查询。 父主题: 安全分析
environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"]
数据采集概述 安全云脑的数据采集功能,提供了将非华为云日志数据接入安全云脑的能力。它使用Logstash通过多种方式采集各类日志数据,采集后,可以快速实现历史数据分析比对、数据关联分析、以及未知威胁发现等相关分析。 图1 数据采集 数据采集原理 数据采集的基本原理是安全云脑提供组
数据类管理 查询数据类列表 查询字段列表 父主题: API