检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
态统计通知、未关闭告警自动统计通知、高危告警自动通知 如果需要使用某个未用剧本,可以启用剧本的初始版本(V1,默认已激活),或者对剧本进行修改后再启用。 本章节主要介绍配置并启用剧本。 启用初始版本的剧本 启用自定义版本的剧本 启用初始版本的剧本 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
支持接入的日志 安全云脑支持集成WAF、HSS、OBS等多种华为云云产品的日志数据。集成后,可以检索并分析所有收集到的日志,且默认存储7天。 表1 支持接入的日志 安全分类 服务 服务类型 日志 日志描述 支持的region 主机安全 主机安全服务(HSS) 租户侧云服务 hss-alarm
安全云脑的数据来源是什么? 安全云脑基于云上威胁数据和华为云服务采集的威胁数据,通过大数据挖掘和机器学习,分析并呈现威胁态势,并提供防护建议。 一方面采集全网流量数据,以及安全防护设备日志等信息,通过大数据智能AI分析采集的信息,呈现资产的安全状况,并生成相应的威胁告警。 另一方面汇聚主机安全服务(Host
剧本介绍 背景说明 攻击链路在网络安全领域中是一个重要的概念,它主要指的是攻击者为了达成攻击目的,在目标网络或系统中采取的一系列攻击步骤和路径。这些步骤和路径构成了攻击链路,通过它们,攻击者能够逐步深入目标系统,最终实现其攻击目标。 攻击链路对目标网络或系统的危害是巨大的。一旦攻
步骤二:日志采集策略调整 日志作为安全运营提供重要数据支撑,护网/重保期间推荐使用一键接入功能接入全部日志,并调整自动转告警功能,结合模型和安全服务攻击日志,通过“告警管理”统一进行跟踪监控。 操作步骤 登录安全云脑控制台,并进入目标工作空间管理页面。 在左侧导航栏选择“设置 >
最小长度:32 最大长度:64 creator_id String 创建者ID 最小长度:32 最大长度:64 modifier_id String 修改者ID 最小长度:32 最大长度:64 playbook_id String 剧本ID 最小长度:32 最大长度:64 version String
最小长度:32 最大长度:64 creator_id String 创建者ID 最小长度:32 最大长度:64 modifier_id String 修改者ID 最小长度:32 最大长度:64 playbook_id String 剧本ID 最小长度:32 最大长度:64 version String
插件节点 可以选择当前工作空间中所有插件。 表2 人工审核节点参数说明 参数名称 参数说明 主键ID 系统自动生成主键ID,可根据需要进行修改。 名称 自定义人工审核节点名称。 到期时间 人工审核节点到期时间。 描述 自定义人工审核节点的描述信息。 查看参数 单击,并在弹出的选择
SecMaster与HSS服务的区别? 服务含义区别 安全云脑(SecMaster)是华为云原生的新一代安全运营中心,集华为云多年安全经验,基于云原生安全,提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力,可以鸟瞰整个云上安全,精简云安全配置、云防护策
最小长度:32 最大长度:64 creator_id String 创建者ID 最小长度:32 最大长度:64 modifier_id String 修改者ID 最小长度:32 最大长度:64 playbook_id String 剧本ID 最小长度:32 最大长度:64 version String
剧本说明 勒索事件响应方案 攻击链路分析告警通知 HSS文件隔离查杀 自动更改告警名称 高危漏洞自动通知 高危告警自动通知 高危告警自动化安全封堵 关键运维操作实时通知
SecMaster SQL语法参考 语法支持的类型 语法定义 数据操作语句DML 父主题: 查询与分析语法-V2
查看漏洞详情 操作场景 本章节介绍如何查看漏洞的详细信息。 前提条件 已购买安全云脑专业版,且在有效使用期内。 已在HSS中完成Agent安装操作,详细操作请参见安装Agent。 已接入HSS产品日志并已开启自动转告警设置,详细操作请参见数据集成。如果数据集成操作时接入了主机漏洞
插件节点 可以选择当前工作空间中所有插件。 表2 人工审核节点参数说明 参数名称 参数说明 主键ID 系统自动生成主键ID,可根据需要进行修改。 名称 自定义人工审核节点名称。 到期时间 人工审核节点到期时间。 描述 自定义人工审核节点的描述信息。 查看参数 单击,并在弹出的选择
最小长度:32 最大长度:64 creator_id String 创建者ID 最小长度:32 最大长度:64 modifier_id String 修改者ID 最小长度:32 最大长度:64 playbook_id String 剧本ID 最小长度:32 最大长度:64 version String
最小长度:32 最大长度:64 creator_id String 创建者ID 最小长度:32 最大长度:64 modifier_id String 修改者ID 最小长度:32 最大长度:64 playbook_id String 剧本ID 最小长度:32 最大长度:64 version String
创建告警规则 功能介绍 Create alert rule 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules 表1 路径参数 参数 是否必选 参数类型 描述 project_id
模拟告警规则 功能介绍 Simulate alert rule 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/simulation 表1 路径参数 参数 是否必选
更新告警规则 功能介绍 Update alert rule 调用方法 请参见如何调用API。 URI PUT /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/{rule_id} 表1 路径参数 参数 是否必选
步骤六:安全运营 配置完成后,便可以针对集成的数据执行资产管理、检测威胁、调查告警等操作。 图1 安全运营 管理资产与风险。 安全运营的本质指安全风险管理,根据ISO的定义,其三要素包括“资产”,“脆弱性”和“威胁”。因此,梳理您要防护的资产,是安全运营的业务流起点。 表1 管理资产与风险
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
