检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Top-N 功能描述 Top-N 查询是根据列排序找到N个最大或最小的值。最大值集和最小值集都被视为是一种 Top-N 的查询。若在批处理或流处理的表中需要显示出满足条件的 N 个最底层记录或最顶层记录, Top-N 查询将会十分有用。 语法格式 1 2 3 4 5 6 7 SELECT
安全云脑提供了攻击链路分析告警通知剧本。当攻击者通过层层攻击到主机之后,进行告警,通知运营人员进行处置。 “攻击链路分析告警通知”剧本已匹配“攻击链路分析告警通知”流程,该流程需要使用消息通知服务(Simple Message Notification,SMN)来创建安全云脑告
磁盘分区 目前,租户采集主要用于数据中转业务,为保证采集器的正常运行,有如下约束与限制条件: 组件控制器(isap-agent)安装仅支持非管理员账户的IAM账户。 安装组件控制器(isap-agent)并使用采集器用于数据转入转出业务时,请保证“/opt/cloud”空间下有至少100G磁盘空间。
数据采集概述 安全云脑的数据采集功能,提供了将第三方(非华为云)日志数据接入安全云脑的能力。它使用Logstash通过多种方式采集各类日志数据,采集后,可以快速实现历史数据分析比对、数据关联分析、以及未知威胁发现等相关分析。 图1 数据采集 数据采集原理 数据采集的基本原理是安全
步骤十二:测试验证 本章节介绍将非华为云日志接入安全云脑后,如何在安全云脑中测试验证日志是否接入成功。 表1 测试验证场景说明 场景 验证方法 华为云日志接入安全云脑 请在“安全分析”中查看是否存在已接入云服务日志。 安全云脑日志转出至第三方系统/产品 请在第三方系统/产品侧确认日志是否接收成功。
(可选)步骤八:创建日志存储管道 本章节将介绍如何在安全云脑中创建日志存储位置(管道),用于日志存储、分析。 将非华为云日志转入安全云脑场景时,需要执行此步骤。将华为云日志转出至第三方系统或者产品场景,请跳过此步骤。 创建日志存储管道 登录管理控制台。 在页面左上角单击,选择“安全与合规
本文档就恶意软件和勒索软件隔离查杀进行详细介绍。 响应方案 针对以上背景,安全云脑提供的HSS文件隔离查杀剧本,自动隔离查杀恶意软件。 “HSS文件隔离查杀”剧本已匹配“HSS文件隔离查杀”流程,当有恶意软件和勒索软件告警生成时,通过判断受攻击资产HSS防护版本,版本为专业版或者高于专业版但未开启自动隔离
查询与分析语法概述 本部分介绍安全分析使用的查询与分析语法,安全云脑支持检索 SQL语法。在安全云脑控制台上,具体输出查询与分析语法位置如下所示: 图1 输入查询与分析语法 基本语法 SQL由查询语句和分析语句组成,以竖线 | 分隔。查询语句可单独使用,分析语句必须与查询语句一起使用。
在版本管理页面中,单击“版本信息”栏中目标版本所在行“操作”列的“预览”,弹出预览版本页面。 在剧本版本预览页面,查看目标剧本版本的详情,包括“基本信息”、“版本信息”、“匹配流程”等。 编辑剧本版本 仅支持对版本状态为“未提交”的剧本版本进行编辑。 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规
操作流程 本章节介绍如何将第三方(非华为云)安全日志接入安全云脑,同时,也支持将安全云脑日志转出至第三方系统/产品。具体流程如下: 图1 日志接入或转出流程图 本章节将介绍日志数据接入或转出的操作流程进行简要说明。 表1 日志接入或转出流程说明 操作步骤 操作说明 (可选)步骤一:购买ECS
更新告警规则 功能介绍 Update alert rule 调用方法 请参见如何调用API。 URI PUT /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/{rule_id} 表1 路径参数 参数 是否必选
mimetypes String 文件类型。 rule_list List<Map<String,String>> 匹配规则列表。 keyword String 匹配敏感数据规则关键字。 available_zone String 可用区。 encrypted String 是否加密。
Application Firewall,WAF) Web应用防火墙(Web Application Firewall,WAF) 云上资产 数据库 云数据库(Relational Database Service,RDS) 数据库安全服务(Database Security Service,DBSS)
可搜索,true可搜索,false非可搜索 visible Boolean 可见,true可见,false非可见 maintainable Boolean 可维护,true可维护,false非可维护 editable Boolean 可编辑,true可编辑,false非可编辑 creatable
实施步骤 (可选)步骤一:购买ECS (可选)步骤二:购买数据磁盘 (可选)步骤三:挂载数据磁盘 步骤四:创建非管理员IAM账户 步骤五:网络连通配置 步骤六:安装组件控制器(isap-agent) 步骤七:安装日志采集组件(Logstash) (可选)步骤八:创建日志存储管道 步骤九:配置连接器
查询与分析语法-V2 查询与分析语法概述 检索 SQL语法参考 SecMaster SQL语法参考 父主题: 威胁管理
GROUP BY 完整的分析语句语法如下: 1 2 3 4 SELECT [DISTINCT] (* | expression) [AS alias] [, ...] [GROUP BY expression [, ...] [HAVING predicates]] [ORDER
模拟告警规则 功能介绍 Simulate alert rule 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/simulation 表1 路径参数 参数 是否必选
SELECT 完整的分析语句语法如下: 1 2 3 4 SELECT [DISTINCT] (* | expression) [AS alias] [, ...] [GROUP BY expression [, ...] [HAVING predicates]] [ORDER BY
击信息、主动搜寻威胁。 自动化处理安全事件 介绍如何通过安全编排功能对安全事件进行自动化响应处置,实现安全运维的自动化编排和快速响应。 将非华为云日志数据接入安全云脑或将安全云脑日志转出至第三方系统/产品 介绍如何采用多种方式采集各类日志数据,以及如何对采集的日志数据进行解析、转出、可视化查询、威胁建模等操作。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
