检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
一般是由于流量过大或者恶意流程,插件导致。 排查流程,插件执行是否占用资源过多。 查看实例监控,短期内是否实例数量暴增。 无法执行实例 SYS.SecMaster 剧本实例执行失败 一般 一般是由于剧本,流程配置出错导致。 通过实例监控查看失败原因,修改剧本,流程配置。 无 SYS.SecMaster
图3 管道数据页面 (可选)在管道数据检索页面,输入查询条件,选择时间下拉菜单中选择查询时间,并单击“查询/分析”。 下载日志。 下载原始日志:在“原始日志”页签中,单击,系统将下载日志到本地。 下载图表日志:在“图表统计”页签中,单击“下载日志”,系统将下载日志到本地。 父主题:
选择托管策略。 策略具体含义可以在IAM中进行查询,查看方法如下: 已登录管理控制台,并将鼠标移动至右上方的用户名,在下拉列表中选择“统一身份认证”,进入IAM页面。 在左侧导航栏选择“权限管理 > 权限”,并在权限页面搜索框中输入策略名称。 查看策略具体含义及策略范围。 描述 自定义托管描述信息。
基线数据统计情况来源于当前工作空间的“风险预防 > 基线检查”,如需查看对应详细信息,可以前往该页面进行查看。 漏洞数据统计情况来源于当前工作空间的“风险预防 > 漏洞管理”,如需查看对应详细信息,可以前往该页面进行查看。 表4 基线合规 参数名称 统计周期 更新频率 说明 配置基线 实时
ion_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID workspace_id 是 String 工作空间ID version_id 是 String 剧本版本ID 请求参数 表2 请求Header参数 参数 是否必选 参数类型
页面中各个模块的功能介绍、数据信息等详见下述内容。 脆弱性大屏总览 展示脆弱性资产、漏洞、不合格基线、未防护资产的总数。 脆弱性资产表示当前时间存在未处理的漏洞、不合格的基线或未防护的资产。 表1 脆弱性大屏总览 参数名称 统计周期 更新频率 说明 脆弱性资产总数 实时 每小时 存在漏洞、基线检查问题的资产数量统计
查询剧本审核结果 功能介绍 查询剧本审核结果 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/approval 表1 路径参数 参数 是否必选 参数类型
漏洞管理概述。 主机漏洞 安全云脑支持接入HSS的漏洞扫描结果数据,实时呈现主机漏洞扫描检测信息,支持查看漏洞详情,并提供相应漏洞修复建议。 主机漏洞共支持以下漏洞项的检测: 表1 主机漏洞检测项说明 检测项 说明 Linux软件漏洞检测 通过与漏洞库进行比对,检测出系统和软件(
管道数据页面 在管道数据检索页面,选择查询分析时间,设置查询条件或直接输入查询语句进行溯源分析。 设置查询条件或直接输入查询语句操作参考查询语法。 查询之后通过原始日志看到详细日志数据,如图3所示。 图3 原始日志 同时,也可以通过显示字段,进行字段筛选显示查看分析,如图4所示。 图4 选中显示字段
SDK列表 在开始使用之前,请确保您安装的是最新版本的SDK。使用过时的版本可能会导致兼容性问题或无法使用最新功能。您可以在SDK中心查询版本信息。 表1提供了SecMaster服务支持的SDK列表,您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 表1 SDK列表
在左侧数据空间导航栏中,单击数据空间名称右侧的,并在下拉选项中选择的“创建管道”,系统从右侧弹出创建管道页面。 图3 创建管道 在创建管道页面中,配置管道参数,参数说明如表1所示。 表1 创建管道 参数名称 参数说明 数据空间 该管道所属的数据空间,系统默认生成。 管道名称 自定义管道的名称。命名规则如下: 名称长度取值范围为5-63个字符。
呈现TOP5的网络攻击类型、TOP5的应用攻击类型、主机类型分布情况。 表3 攻击类型分布 参数名称 统计周期 更新频率 说明 Top5 网络告警攻击类型 近7天 每小时 近7天弹性公网IP被攻击的类型统计,按照不同类型的攻击从多到少取前5名。 如果不存在网络攻击或没有对应数据表,则会展示五项全为0的默认类型。 Top5
设置模型逻辑,参数说明如表2所示。 表2 设置模型逻辑 参数名称 参数说明 查询规则 设置告警的查询规则,设置完成后可以单击“运行”,查看当前运行结果。 查询分析语句由查询语句和分析语句构成,格式为查询语句|分析语句,查询分析语句语法详细内容请参见查询与分析语法概述。 说明:
不同的索引配置,将会产生不同的查询和分析结果,请根据您的需求合理配置索引。 如果您需要使用分析功能,必须配置字段索引。配置字段索引后,您可以指定字段名称和字段值(Key:Value)进行查询,缩小查询范围。例如查询语句level:error,表示查询level字段值包含error的日志。
在调用接口的时候,部分URL中需要填入项目编号,所以需要获取到项目编号。项目编号获取步骤如下: 登录管理控制台。 单击用户名,在下拉列表中单击“我的凭证”。 在“API凭证”页面的项目列表中查看项目ID。 图1 查看项目ID 父主题: 附录
所有资产,并呈现资产实时安全状态。 在资产管理中,可以查看当前工作空间所在region中所有资源的安全状态统计信息,包括资源的名称、所属服务、安全状况等,帮助您快速定位安全风险问题并提供解决方案。 资产来源及对应的防护产品 表1 资产来源及对应的防护产品 参数名称 来源 对应的安全防护产品
top 当显示如下图所示时,则表示ECS中Java进程占用了大量CPU资源。 图3 运行状态 执行如下命令,查看采集器运行日志: docker logs isap-logstash -f 通过查看日志,定位到当前采集通道filter部分(解析器)配置有误,如下图所示: 图4 采集器运行日志
指标查询 批量查询指标结果 父主题: API
”列查看日志数据存储位置。 查看后,可以前往目标工作空间的对应管道查看接入的日志数据。 图3 查看存储位置 相关操作 取消数据接入 在待取消接入云产品的“审计相关日志”列,单击,关闭接入的云服务日志。 单击“保存”。 编辑数据接入生命周期 在待编辑云产品的“生命周期”列,输入生命周期时间。
创建托管视图 配置托管视图参数。 表1 创建托管视图参数说明 参数名称 参数说明 托管视图名称 设置托管视图名称。 绑定空间名称 选择需要绑定的工作空间。 (可选)描述 自定义托管视图描述信息。 单击“确定”。 创建成功后,可以在“空间管理”或“空间托管”页面中查看已创建的托管视图。 相关操作
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
