检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
”、“告警指标提取”等流程。流程的初始版本(V1)系统默认启用,无需手动启用。同时,还支持对已有流程版本进行自定义编辑,使用自定义流程。 本章节将介绍如何配置并启用自定义版本的流程: 复制流程版本 编辑并提交流程版本 审核流程版本 启用流程 前提条件 在启用流程前需要确保已激活流程版本,具体操作请参见管理流程版本。
理漏洞类型。 自定义类型:针对已有的数据类,可新增自定义类型,详细操作请参考查看自定义类型。 管理分类&映射:分类&映射指的是数据源与数据对象(数据类的实例)的映射关系。管理分类&映射请参考管理分类&映射。 父主题: 运营对象管理
件的原因和告警关联事件的原因。 告警和事件的含义与区别 表1 告警和事件的含义与区别 类别 描述 定义 告警: 告警是运维中的一种异常信号的通知,通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如,当服务器的CPU使用率超过90%时,系统可能会发出告警。这
在采集通道管理页面中,单击“分组列表”右侧的。 自定义输入分组名称,并单击,完成新增。 新建日志采集通道。 在采集通道管理页面的分组列表右侧,单击“新增”,进入新增采集通道页面。 在“基础配置”页面中,配置基础信息。 表1 基础配置参数说明 参数名称 参数说明 基础信息 名称 自定义采集通道名称。 通道分组
月最后一天23:59:59。 自定义:自定义选择时间范围。 统计周期 根据您选择的“报告类型”显示安全报告统计周期。 当“报告类型”选择“日报”、“周报”或“月报”时,系统会根据您选择的“报告类型”显示安全报告统计周期。 报告发送时间 当“报告类型”选择为“日报”、“周报”或“月报”时,需要设置报告发送时间。
参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token,通过调用IAM服务获取用户Token接口获取。 IAM user token, fetch from IAM api. 表3 请求Body参数 参数 是否必选 参数类型 描述 rule_name
告警是运维中的一种异常信号的通知,通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如,当服务器的CPU使用率超过90%时,系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性,能够明确指出异常发生的位置、类型和影响。
空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。 图1 进入目标工作空间管理页面 在左侧导航栏选择“威胁管理 > 智能建模”,进入智能建模的可用模型页面。 图2 可用模型页面 在可用模型页面中,管理模型。 表1 管理模型 操作 操作说明 启用模型 在模型列表中,单击目标模型所在行“操作”列的“启用”。
面。 在创建分类映射页面中,配置分类映射参数信息。 图5 创建分类映射 在左侧“基本信息配置”栏中,配置分类映射的基本信息,参数说明如表1所示。 表1 配置基本信息 参数名称 参数说明 名称 自定义分类映射名称。 数据类 选择对应的数据类。 描述 自定义分类映射描述信息。 选择左
ent)。 安装路径建议为“/opt/cloud”,本章节也以此路径为例进行介绍。如需安装在其他自定义路径中,请根据路径修改,例如,如果安装路径为“/tmp”,则将该章节操作步骤中的安装路径改为“/tmp”。 新增节点前准备 创建IAM最小权限账号 租户采集鉴权采用IAM鉴权,因
空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。 图1 进入目标工作空间管理页面 在左侧导航栏选择“资产管理 > 资产管理”,进入资产管理页面。 图2 资产管理 在资产管理页面中,单击页面右上角“资产订阅设置”,右侧弹出资产订阅设置页面。 在订阅资产设置页面中,在需要
选择数据源产品的名称。 数据源类型 选择数据源所属类型,可选择以下类型:云服务、第三方产品、租户私有产品。 状态 选择指标状态,可选择以下状态:打开、关闭、作废。 (可选)置信度 填选指标的可信度,范围为80~100。 (可选)责任人 选择该条指标的主要责任人。 (可选)标签 自定义指标的标签。 首次发生时间
运营对象管理 运营对象管理概述 查看数据类 管理告警类型 管理事件类型 查看威胁情报 管理漏洞类型 查看自定义类型 管理分类&映射 父主题: 安全编排
安全分析概述 安全云脑的安全分析功能是一种云原生安全信息和事件管理(SIEM)解决方案,支持采集多产品的安全日志及告警,并基于预定义和自定义的安全检测规则对多来源的告警及日志进行聚合分析,旨在帮助企业快速发现和响应安全事件,实现对云负载、各类应用及数据的安全保护。 支持接入的云产品和日志
入检查计划管理页面。 在检查计划页面中,查看已有的基线检查计划。 编辑自定义检查计划 仅支持修改用户自定义创建的检查计划。 在左侧导航栏选择“风险预防 > 基线检查”,进入基线检查页面后,选择“安全遵从包”页签,并在安全遵从包页面中,选择“检查计划”页签,进入检查计划管理页面。
在流程版本管理页面中,单击“版本信息”栏中v1版本所在行的“操作”列的“复制”。 图8 复制流程版本 在弹出的确认框中,单击“确定”。 编辑并提交流程版本 在流程版本管理页面中,单击“版本信息”栏中草稿版本所在行的“操作”列的“编辑”。 图9 编辑流程 在流程图绘制页面中,单击所有节点
在创建用户组页面,设置用户组名称和描述信息。 用户组名称:请设置为“SecMaster_ops”。 描述:自定义描述信息即可。 单击“确定”。 新增自定义策略。 在左侧导航栏选择“权限管理 > 权限”,并在权限页面右上角单击“创建自定义策略”。 配置策略。 策略名称:请设置为“SecMaster_FullAccess”。
请求Body参数 参数 是否必选 参数类型 描述 rule 是 ConditionInfo object 剧本触发规则详情 表4 ConditionInfo 参数 是否必选 参数类型 描述 expression_type 否 String 表达式类型。默认为common,事件触发剧本必填
请求Body参数 参数 是否必选 参数类型 描述 rule 否 ConditionInfo object 剧本触发规则详情 表4 ConditionInfo 参数 是否必选 参数类型 描述 expression_type 否 String 表达式类型。默认为common,事件触发剧本必填
如果需要查看某个资产的更多详细信息,可以先选择待查看资产所属类型,然后再在对应资产类型页面中单击资产名称,进入资产详情页面进行查看。 例如,需要查看某个主机资产的详细信息,请选择“主机资产”页签,再在主机资产页面中,单击目标主机资产名称,进入目标主机资产详情页面。 在资产详情页
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
