检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如何让IP类型资产在资产管理页面中显示? 安全云脑的资产管理页面中,支持显示IP资产。 本章节将介绍如何让IP类型资产在资产管理页面中显示。 让IP类型资产在资产管理页面中 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑
查询语句 查询语句用于指定日志查询时的筛选条件,返回符合条件的日志。通过设置筛选条件,可以帮助您快速、有效地查询到所需日志。 本章节将介绍查询语句以及使用示例。 语法 查询语句有两种形式: 仅为*,表示不进行筛选,返回全量数据。 由一个或多个查询子句组成,子句间通过“NOT”、“
查询语句 查询语句用于指定日志查询时的筛选条件,返回符合条件的日志。通过设置筛选条件,可以帮助您快速、有效地查询到所需日志。 本章节将介绍查询语句以及使用示例。 语法 查询语句有两种形式: 仅为*,表示不进行筛选,返回全量数据。 由一个或多个查询子句组成,子句间通过“NOT”、“
管道数据页面 在管道数据检索页面,选择查询分析时间,设置查询条件或直接输入查询语句进行溯源分析。 设置查询条件或直接输入查询语句操作参考查询语法。 查询之后通过原始日志看到详细日志数据,如图3所示。 图3 原始日志 同时,也可以通过显示字段,进行字段筛选显示查看分析,如图4所示。 图4 选中显示字段
object 指标查询结果内容 metric_format Array of MetricFormat objects 指标显示格式,根据不同指标固定返回。 log_msg String 结果日志信息 status String 查询结果状态,SUCCESS:查询成功,FAILED
批量阻断或批量取消阻断 操作场景 批量阻断用于拦截配置为黑名单的IP或IP地址段或IAM用户的访问。 新增阻断时将设置某个IP地址或IP地址段或IAM用户,如果该阻断也适用于其他操作连接,可以进行批量阻断操作。同时,配置阻断时将设置某个IP地址或IP地址段或IAM用户,如果该阻断已不适用,可以进行批量取消阻断操作。
告警。 查看告警: 告警详情页面可以看到告警攻击IP、攻击域名,分析模型是“应用-源ip对域名进行爆破攻击”数据管道名称为“sec-waf-attack”。 图8 查看总览信息 图9 查看上下文信息 因为是统计类模型告警,可以结合WAF日志进行安全分析。单个源IP对域名进行多次攻
节点管理页面。 图2 进入采集节点管理页面 在采集节点管理页面中,查看采集节点的详细信息。 当节点较多时,可以通过搜索功能快速查询指定节点。 如需查看某个节点的详细信息,可单击节点名称,在右侧弹出的详情页面进行查看。 表1 节点参数说明 参数名称 参数说明 节点名称/ID 节点的名称/ID。
String 错误描述 请求示例 查询实例类型为APP, AOP_WORKFLOW, SCRIPT, PLAYBOOK, TASK, DEBUG,动作id为909494e3-558e-46b6-a9eb-07a8e18ca62f,动作名称为DisabledIp,实例id为909494e3
操作场景 支持通过应急策略功能进行风险控制。 安全云脑的应急策略功能可以联动CFW/WAF/VPC安全组对源IP进行封堵和解封。 当护网和重保过程中有情报需要进行单个IP或多个IP进行批量阻断时候,可以通过该功能进行全策略封堵。 风险控制 登录安全云脑控制台,并进入目标工作空间管理页面。
如果选择是,请设置策略老化时间,如设置为180天,即该策略在设置后的180天内有效,180天后将不再继续阻断设置的IP地址或IP地址段或IAM用户。 如果选择否,则该策略将一直有效,阻断设置的IP地址或IP地址段或IAM用户。 策略描述 自定义该策略的描述信息。 单击“确定”。 删除应急策略 登录管理控制台。
Query参数 参数 是否必选 参数类型 描述 limit 是 Integer 分页查询参数,用于指定一次查询最多的结果数,从1开始 offset 是 Integer 分页查询参数。用于指定查询结果的起始位置,从0开始 请求参数 表3 请求Header参数 参数 是否必选 参数类型
查看自定义类型 操作场景 本章节介绍如何查看自定义类型。 约束与限制 系统内置的类型和子类型不支持关联布局、编辑、删除、启用和禁用。 其中,内置的IP和主机(物理机和虚拟机)类型可以执行启用和禁用操作,实现“资产管理”页面中展示类型的控制,详细操作请参见如何自定义导入主机资产?、
在资产连接管理页面,查看资产连接信息。 图5 查看资产连接信息 在资产连接列表中,可以查看资产连接的名称、插件、创建人等信息。 当资产连接较多时,可以通过搜索功能快速查询指定资产连接。 如需查看某个资产连接的详细信息,可单击待查看资产连接的名称,进入资产连接详情页面进行查看。 编辑资产连接
eng_ip String 标识引擎IP。 hostid String 标识防护域名 ID。 tenantid String 标识防护域名的租户 ID。 projectid String 标识防护域名的项目 ID。 remote_ip String 标识请求的客户端 IP。 scheme
查询剧本详情 功能介绍 查询剧本详情 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/{playbook_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id
如果您的主机已经绑定了弹性IP,您也可以使用远程管理工具(例如:PuTTY、Xshell等)登录主机,并使用root账号在主机中安装组件控制器。 粘贴2复制的安装命令,并以root权限执行,在ECS中安装组件控制器。 根据界面提示,输入步骤四:创建非管理员IAM账户中创建的机机账户域名、用户名、密码。
c-hss-alarm名称,右侧展示sec-hss-alarm的查询分析页面。 appendInfo.event_type、__time、ipList三个字段对应的值进行检索,查询出当前告警所对应详细日志。 通过查看appendInfo. process_info中当前进程和父进
将告警转为事件。 更多详细介绍及操作请参见查看告警信息、告警转事件。 调查事件 告警转成事件后,就可以在事件管理中查看到生成的事件,事件生成后可以进行调查分析。您可以在事件上关联与可疑行为相关的实体:资产(如:VM)、情报(如:攻击源IP)、账号(如:泄露的账号)、进程(如:木马
图6 进入组件管理页面 在组件管理页面中,查看组件的详细信息。 运行节点: 单击待运行组件右上角“运行节点”,右侧将弹出该组件的运行节点信息。 查看配置: 单击待查看组件右上角“查看配置”,右侧将弹出该组件的详细配置信息。 编辑配置: 单击待查看组件右上角“编辑配置”,右侧将弹出该组件的配置管理页面。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
