检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全云脑(SecMaster) 合规基线日志 secmaster-baseline 7~10 天 对象存储服务(Object Storage Service,OBS) 访问日志 obs-access 7~10 天 入侵防御系统(Intrusion Prevention System,IPS)
类型和创建时间等。 安全云脑支持在空间管理页面中可以查看全局工作空间的信息。如果无法查看且界面提示未购买安全云脑,请先开通安全云脑任意版本。 例如,您在“华北-北京四”region已购买安全云脑、创建并使用工作空间。目前,切换至“华东-上海一”region的空间管理页面中可以查看
单击页面右上角“保存为快速查询”,在右侧页面中配置查询参数。 表1 快速查询参数配置 参数名称 参数说明 查询名称 设置快速查询的名称。 查询语句 系统自动生成7中输入的查询语句。 单击“确定”。 创建快速查询后,您可以在管道数据的查询分析页面中,单击快速查询搜索框中的,并选择目标快速查询名称,即可使用快速查询。
创建数据管道 功能介绍 创建数据管道 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/siem/pipes 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String
行的事件导致云监控中的网络指标增加。 使用云监控或其他应用程序性能监控工具将记录的应用程序的性能基线指标与当前异常指标进行对比,判断是否存在异常行为。 确定存储在ECS实例、OBS桶或其他存储中的数据的分类级别。 请确保已为该事件创建工单。如果未创建,请手动创建一个。 如果为已有
Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 在开始使用之前,请确保您安装的是最新版本的SDK。使用过时的版本可能会导致兼容性问题或无法使用最新功能。您可以在SDK中心查询版本信息。 表1提供了SecMaster服务支持的SDK列表,您可以在GitHub仓库查看S
空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。 图1 进入目标工作空间管理页面 在左侧导航栏选择“安全态势 > 安全报告”,进入安全报告页面。 图2 进入安全报告页面 在已创建的目标安全报告模块,单击“编辑”,进入报告基本信息配置页面。 创建/复制安全报告时
可选参数,设置该数据空间的备注信息。 单击“确定”。 在左侧数据空间导航栏中,单击5新增的数据空间名称右侧的,并在下拉选项中选择的“创建管道”,系统从右侧弹出创建管道页面。 图4 创建管道 在创建管道页面中,配置管道参数,参数说明如表2所示。 表2 创建管道 参数名称 参数说明 数据空间 该管道所属的数据空间,系统默认生成。
如何给IAM子账号授权? 当您需要授予使用子账号操作安全云脑服务时,需要使用主账号对子账号进行授权操作。 操作步骤 使用管理员账号登录管理控制台。 在页面左上角单击,选择“管理与监管 > 统一身份认证服务”,进入统一身份认证服务管理控制台。 创建用户组。 在左侧导航栏选择“用户组”,进入
数据集成操作成功后,日志数据订阅预计在十分钟内生效。 接入服务日志 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
创建剧本版本 功能介绍 创建剧本版本 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/{playbook_id}/versions 表1 路径参数 参数 是否必选
”页签,进入检查项管理页面。 图2 进入检查项页面 单击检查项列表左上角的“创建检查项”,进入创建检查项页面。 在创建检查项页面中,配置检查项参数信息。 表1 创建检查项 参数名称 参数说明 检查项名称 自定义检查项名称。 描述 自定义检查项描述信息。 等级 选择此检查项的等级。
如果您不使用第三方工具,而是将日志发送到华为云对象存储服务(OBS),您可以使用华为云日志服务LTS采集、查询和存储日志。 在日志服务LTS控制台,查询凭证在受损或泄露后的日期/时间采取的所有API操作。 从结果列表中,确定哪些API调用: 访问敏感数据,例如,OBS Object。
使用IAM管理员账号登录管理控制台。 在页面左上角单击,选择“管理与监管 > 统一身份认证服务 IAM”,进入统一身份认证服务管理控制台。 创建用户组。 在左侧导航栏选择“用户组”,进入用户组页面后,单击右上角“创建用户组”。 在创建用户组页面,设置用户组名称和描述信息。 用户组名称:请设置为“租户采集用户组”。
托管授权 操作场景 托管创建完成后,需要到目标工作空间所属账号中进行授权。授权后,被托管空间将挂载到托管账号下的空间中,进行统一管理。 前提条件 已创建托管,详细操作请参见创建托管。 操作步骤 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规
当您需要使用安全云脑提供的安全分析、数据分析、智能建模等功能时,需要新增数据空间。 本章节介绍如何创建数据空间。 约束与限制 单账号单Region单Workspace最多创建5个数据空间。 操作步骤 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规
注销节点。 在节点管理页面中,单击目标节点所在行“操作”列的“注销”。 在弹出的确认框中,单击“确认”。 删除VPC终端节点。 在节点管理页面中,单击“新增”,并在弹出新增节点页面中,选择网络节点。 在网络通道列表中,单击“删除”。 图2 删除节点 在弹出的确认框中,单击“确认”。
含义:资产连接是安全编排流程中,每个插件节点需要使用到的连接域名和鉴权参数。 作用:用于在安全编排的流程执行过程中,每个插件节点运行时,传入需要连接的域名信息,以及在访问该域名时,需要使用到的用户鉴权信息,如用户名/密码、账号AK/SK等。 资产连接与插件的关系:每个插件在运行过程中,需要通过域
如果需要解除多个托管关系,可以在列表中勾选需要解除的托管关系,并单击列表上方“批量解除”。 在弹出确认框中,单击“确认”。 删除托管任务 在待删除托管所在行“操作”列,单击“更多 > 删除”。 如果需要删除多个托管,可以在列表中勾选需要删除的托管,并单击列表上方“批量删除”。 在弹出确认框中,单击“确认”。
间运营模式。 在使用安全云脑的基线检查、告警管理、安全分析、安全编排等功能前,需要先创建工作空间,它可以将资源划分为各个不同的工作场景,避免资源冗余查找不便,影响日常使用。 本章节介绍如何新增工作空间。 约束与限制 付费版本安全云脑:单账号单Region内最多创建5个工作空间。