-
服务委托授权 - 安全云脑 SecMaster
服务委托授权 操作场景 云服务委托可将相关云服务的操作权限委托给安全云脑,让安全云脑以您的身份使用这些云服务,代替您进行一些任务调度、资源运维等工作。 当您首次使用安全云脑时,需要先进行委托授权,才能正常访问。具体待委托权限如下所示: 表1 委托权限 权限 权限描述 授权主体 权限用途
-
攻击链路分析告警通知 - 安全云脑 SecMaster
关联资产 步骤一:创建并订阅主题 “攻击链路分析告警通知”流程需要使用消息通知服务(Simple Message Notification,SMN)来创建安全云脑告警通知主题,并完成订阅即可接收到告警通知。 登录管理控制台。 在页面左上角单击,选择“管理与监管 > 消息通知服务”,进入消息通知服务管理页面。
-
管理采集节点 - 安全云脑 SecMaster
管理采集节点 操作场景 本章节主要介绍如何执行查看采集节点信息操作。 查看采集节点信息 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
-
查看资产信息 - 安全云脑 SecMaster
(可选)首次查看需要设置资产订阅,如果已订阅,请跳过该步骤。 安全云脑只有在开启资产订阅设置的工作空间才能同步资产相关信息。订阅后,资产信息将在一分钟内同步展示。 仅支持订阅和同步云上资产。同时,不建议同一个区域的资产订阅至多个工作空间。 在资产管理页面中,单击页面右上角“资产订阅设置”,右侧弹出订阅资产设置页面。
-
创建告警 - 安全云脑 SecMaster
描述 version 否 String 告警对象的版本,该字段的值必须为华为云SSA服务确定的官方发布版本之一 最小长度:0 最大长度:64 id 否 String 事件唯一标识,UUID格式,最大36个字符 最小长度:0 最大长度:36 domain_id 否 String 数据投递后,被委托用户的domain_id
-
创建事件 - 安全云脑 SecMaster
描述 version 否 String 事件对象的版本,该字段的值必须为华为云SSA服务确定的官方发布版本之一 最小长度:0 最大长度:64 id 否 String 事件唯一标识,UUID格式,最大36个字符 最小长度:0 最大长度:36 domain_id 否 String 数据投递后,被委托用户的domain_id
-
创建数据管道 - 安全云脑 SecMaster
数据管道分区个数;默认创建1个,最大支持创建64个分区 最小值:1 最大值:64 timestamp_field 否 String 时间戳字段 缺省值:__time 最小长度:1 最大长度:256 mapping 否 Map<String,KeyIndex> 索引字段映射;每个key对象承载一个字段的
-
查询剧本实例审计日志 - 安全云脑 SecMaster
请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。 最小长度:1 最大长度:2097152 content-type
-
威胁态势大屏 - 安全云脑 SecMaster
在现场讲解汇报、实时监控等场景下,为了获得更好的演示效果,通常需要将安全云脑服务的分析结果展示在大型屏幕上。如果只是单纯将控制台界面放大显示,视觉效果并不是很理想。此时可以利用安全大屏,展示专为大型屏幕设计的服务界面,获得更清晰的态势信息和更好的视觉效果。 安全云脑默认提供一个威胁态势大屏,可以查看网络攻击次数、应用
-
管理节点 - 安全云脑 SecMaster
在节点管理页面中,单击“新增”,页面右侧弹出新增节点页面。 单击页面右下角“下一步”,进入“脚本安装验证”页面。 确认已安装后,单击页面右下角“确认”。 如未安装请参照步骤二:安装Agent进行处理。 查看节点管理信息 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
-
如何释放ECS和VPC终端节点资源? - 安全云脑 SecMaster
释放创建的ECS资源和VPC终端节点资源,避免继续计费。具体操作步骤如下: 操作步骤 登录管理控制台。 释放用于采集数据的ECS资源。 在页面左上角单击,选择“计算 > 弹性云服务器”,进入弹性云服务器管理控制台。 在资源列表中找到用于采集数据ECS资源,并在目标ECS资源所在行“操作”列的“更多
-
内置剧本和流程 - 安全云脑 SecMaster
HSS高危告警拦截通知 主机高危告警,如果源ip未加入安全组阻断,则通知客户并生成代办,如果人工审核通过则加入安全云脑VPC策略阻断 Alert 应用安全 WAF一键拦截 对目标IP封堵在该账号的WAF服务里的所有中策略 Alert WAF一键解封 对目标IP从该账号的WAF服务里的目标策略组中解封 Alert
-
值班监控 - 安全云脑 SecMaster
用安全分析进行统计分析,进一步判断告警是否有风险。 图4 安全分析示例 应急处置告警。 通过告警详情页面数据并结合安全分析,分析出告警有风险,就可以通过告警详情页面,单击右上角“一键阻断”,对攻击IP进行阻断。 配置阻断信息。 图5 一键阻断 表1 一键阻断 参数名称 参数说明 阻断对象
-
漏洞管理概述 - 安全云脑 SecMaster
Mysql等)是否存在的漏洞,将存在风险的结果上报至管理控制台,并为您提供漏洞告警。 Windows系统漏洞检测 通过订阅微软官方更新,判断服务器上的补丁是否已经更新,并推送微软官方补丁,将存在风险的结果上报至管理控制台,并为您提供漏洞告警。 Web-CMS漏洞检测 通过对Web
-
更新指标 - 安全云脑 SecMaster
错误码 最小长度:0 最大长度:64 message String 错误描述 最小长度:0 最大长度:1024 请求示例 更新一条指标,指标触发标志为否,值为ip。 { "data_object" : { "indicator_type" : { "layout_id"
-
与其他云服务的关系 - 安全云脑 SecMaster
证业务顺畅运行。具体请参见《云监控服务用户指南》。 与标签管理服务的关系 标签管理服务(Tag Management Service,简称TMS)是一种快速便捷将标签集中管理的可视化服务,方便用户通过标签标识管理工作空间实例。 表1 标签管理服务支持的SecMaster操作列表 操作名称
-
安全编排概述 - 安全云脑 SecMaster
全运营过程中涉及的不同系统或者一个系统内部不同组件的安全功能按照一定的逻辑关系组合到一起,以完成某个特定的安全运营过程和规程。旨在帮助企业和组织的安全团队快速并高效地响应网络威胁,实现安全事件的高效、自动化响应处置。 在安全编排中,剧本和流程是两个核心元素,它们相互关联、依赖,并
-
启用剧本 - 安全云脑 SecMaster
置信息、网络防线告警关联历史处置信息、重复告警自动关闭、告警ip指标打标、资产防护状态统计通知、未关闭告警自动统计通知、高危告警自动通知 若还需开启未默认启用的剧本,可参考下述操作步骤进行处理。 操作步骤 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
-
(可选)配置并启用剧本 - 安全云脑 SecMaster
或者对剧本进行修改后再启用。 本章节主要介绍配置并启用剧本。 启用初始版本的剧本 启用自定义版本的剧本 启用初始版本的剧本 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空间管理
-
新增/编辑应急策略 - 安全云脑 SecMaster
在页面左上角单击,选择“管理与监管 > 统一身份认证服务 IAM”,进入统一身份认证服务管理控制台。 添加自定义策略。 在左侧导航栏选择“权限管理 > 权限”,并在权限页面右上角单击“创建自定义策略”。 配置策略。 策略名称:自定义。 策略配置方式:选择“JSON视图”。 策略内容:请直接复制粘贴以下内容。