检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
创建数据空间 功能介绍 创建数据空间 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/siem/dataspaces 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是
告警规则总览 功能介绍 List alert rule metrics 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/metrics 表1 路径参数 参数 是否必选
云审计服务支持的关键操作 云审计服务支持的SecMaster操作列表 在CTS事件列表查看云审计事件
本章节将介绍如何配置日志来源、接收目的的参数信息。请根据场景选择操作步骤: 将第三方日志接入安全云脑 将安全云脑日志转出至第三方系统或产品 将第三方日志接入安全云脑 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间
d”目录下的文件,当提示如下图所示信息(只有脚本文件)时,则表示已完成卸载。 图11 脚本文件 (可选)方法二:执行salt-minion --version命令,当提示如下图所示信息时,则表示已卸载完成。 图12 检查isap-agent信息 节点注销需要一定的时间,不建议执行完注销立刻安装。
模拟告警规则 功能介绍 Simulate alert rule 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/simulation 表1 路径参数 参数 是否必选
解析器规则说明 租户采集功能主要用于数据中转业务使用定制化Logstash,解析器是对Logstash中filter部分的无码化封装。目前,支持如下类型的Logstash插件: 表1 支持的类型 解析器 对应Logstash中的插件 说明 kv解析 kv 键值对解析,解析规则请参见表2。
Error code message String Error message data ActionInfo object 剧本流程动作信息 表6 ActionInfo 参数 参数类型 描述 id String 剧本流程动作ID name String 流程动作名称 description
删除剧本动作 功能介绍 删除剧本动作 调用方法 请参见如何调用API。 URI DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{version_id}/actions/{action_id}
攻击链路分析告警通知 剧本介绍 配置剧本 父主题: 剧本说明
TIPS, LOW, MEDIUM, HIGH, FATAL custom_properties Map<String,String> 自定义扩展信息。Custom properties. event_grouping Boolean 告警分组。Event grouping. schedule
String 请求ID success Boolean 是否成功 data Array of AopWorkflowInfo objects 流程信息列表 表6 AopWorkflowInfo 参数 参数类型 描述 id String 流程ID name String 流程名称 description
actions Array of ActionInfo objects 剧本关联流程列表信息 rule_enable Boolean 是否启用触发条件过滤器 rules RuleInfo object 剧本触发规格信息 dataclass_id String 数据类ID trigger_type
create_time String 创建时间 environment environment object 环境信息 data_source data_source object 数据源信息 first_report_time String 首次发生时间 is_deleted Boolean
检测,直接拦截。 批量阻断 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
一个工作空间最多添加20个标签。 管理工作空间标签 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空间管理”,进入工作空间管理页面。 图1 工作空间管理页面 单击
TIPS, LOW, MEDIUM, HIGH, FATAL custom_properties Map<String,String> 自定义扩展信息。Custom properties. event_grouping Boolean 告警分组。Event grouping. schedule
actions Array of ActionInfo objects 剧本关联流程列表信息 rule_enable Boolean 是否启用触发条件过滤器 rules RuleInfo object 剧本触发规格信息 dataclass_id String 数据类ID trigger_type
message String 错误信息 size Integer 分页查询数据大小 page Integer 当前页码 total Integer 总数 data Array of PlaybookVersionListEntity objects 剧本版本列表信息 表6 PlaybookVersionListEntity
系统角色/策略名称 描述 类别 SecMaster FullAccess 安全云脑的所有权限。 系统策略 SecMaster ReadOnlyAccess 安全云脑只读权限,拥有该权限的用户仅能查看安全云脑数据,不具备安全云脑配置权限。 系统策略 示例流程 图1 给用户授予SecMaster权限流程
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
