检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
resultApprovePlaybookInfo:= "PASS" request.Body = &model.ApprovePlaybookInfo{ Content: &contentApprovePlaybookInfo, Result: &resultApprovePlaybookInfo
使用前必读 安全云脑(SecMaster)是华为云原生的新一代安全运营中心,基于云原生安全,提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力,实现提前预防风险、感知安全事件、安全事件自动化闭环。 您可以使用本文档提供的API对云上安全态势对进行相关操作
包周期购买的安全云脑到期后会影响安全云脑的使用。如果您想继续使用,需要在指定的时间内为安全云脑续费。 续费操作仅适用于包周期安全云脑,按需计费安全云脑不需要续费,只需要保证账户余额充足即可。 安全云脑在到期前续费成功,所有资源得以保留,且安全云脑的运行不受影响。安全云脑到期后的状态说明,请参见到期后影响。
生安全,提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力,可以鸟瞰整个云上安全,精简云安全配置、云防护策略的设置与维护,提前预防风险,同时,可以让威胁检测和响应更智能、更快速,帮助您实现一体化、自动化安全运营管理,满足您的安全需求。 影响版本: 基础版、标准版、专业版
安全云脑核心功能大解析之资产管理和日志采集功能 父主题: 知识科普
计费FAQ 安全云脑如何收费? 安全云脑可以免费使用吗? 如何修改或取消安全云脑自动续费? 安全云脑到期后,会继续收费吗? 安全云脑即将到期,如何续费? 安全云脑支持退订吗? 如何查看安全数据采集和安全数据资源包的剩余量?
基本概念 安全运营中心 总览和态势总览 工作空间 告警管理 安全编排 安全分析
欠费影响 包周期 对于包周期安全云脑资源,用户已经预先支付了资源费用,因此在账户出现欠费的情况下,已有的包周期安全云脑资源仍可正常使用。然而,对于涉及费用的操作,如新购安全云脑、升级安全云脑规格、续费订单等,用户将无法正常进行。 按需计费 当您的账号因按需安全云脑资源自动扣费导致欠费
AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。 Token认证 Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 To
再付费,按照实际使用时长计费。关于两种计费模式的详细介绍请参见计费模式概述。 计费项 安全云脑的计费项由服务版本、配额、增值包(安全大屏、安全分析、安全编排、安全数据采集、安全数据保留)、安全舆情费用组成。了解每种计费项的计费因子、计费公式等信息,请参考计费项。 如需了解实际场景
手动续费 包周期安全云脑从购买到被自动删除之前,您可以随时在SecMaster控制台进行续费,以延长安全云脑的使用时间。 在云服务控制台续费 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 安全云脑”,进入安全云脑管理页面。 在左侧导航栏选择“已购资源”,进入已购资源页
主机反弹Shell攻击自动化处置 当主机告警类型为反弹shell,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断,同时关闭告警 Alert 应用安全 云脑WAF地址组关联策略 将安全云脑指定WAF地址组(黑IP地址组)绑定WAF所有企业项目全部策略的黑白名单 CommonContext
系统角色/策略名称 描述 类别 SecMaster FullAccess 安全云脑的所有权限。 系统策略 SecMaster ReadOnlyAccess 安全云脑只读权限,拥有该权限的用户仅能查看安全云脑数据,不具备安全云脑配置权限。 系统策略 SecMaster控制台功能依赖的角色或策略
API 告警管理 事件管理 威胁情报管理 剧本管理 告警规则管理 剧本版本管理 剧本规则管理 剧本实例管理 剧本审核管理 剧本动作管理 事件关系管理 数据类管理 流程管理 数据空间管理 管道管理 工作空间管理 计量计费管理 指标查询 基线检查
资产管理 资产管理概述 设置资产订阅 查看资产信息 导入或导出资产 编辑或删除资产
配置组件 操作场景 本章节将介绍如何配置安全云脑日志采集组件Logstash。 配置组件 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空
监控场景主机执行 高危命令 告警对应字段 高危命令在安全云脑的告警中对应的字段查看方法如下: 进入安全云脑的“安全编排 > 运营对象 > 分类&映射”页面。 单击“主机安全服务告警分类映射”名称,进入分类映射详情页面。 其中高危命令执行对应“msg.appendInfo.event_type=3015”。
根据您华为云环境的配置,通过企业主机安全(HSS)以及Web应用防火墙(WAF)来源检测相关类型的告警。 可通过SSH等方法访问云服务器,查看实例状态和监控等信息,查看是否有异常。或者通过其他方式收到的告警信息。 一旦确认攻击是事件,需要评估受影响范围、攻击机器和受影响业务及数据信息。 通过安全云脑“转事
租户日志收发安全云脑业务。 连接器:Logstash配置的基础概念,主要包括input、output两部分,分别对应源连接器、目的连接器,用于定义采集器Logstash接受数据方式和规范。其中,安全云脑管道pipe连接器可以对接安全云脑,实现租户数据上报安全云脑,安全云脑数据转储到租户的能力。
"enabled" : true, "workspace_id" : "string", "approve_role" : "approve", "user_role" : "string", "edit_role" : "editor"
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
