检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
表7 响应Body参数 参数 参数类型 描述 code String 错误码 message String 错误信息 data RuleInfo object 剧本触发规格信息 表8 RuleInfo 参数 参数类型 描述 id String 规则ID project_id String
d”目录下的文件,当提示如下图所示信息(只有脚本文件)时,则表示已完成卸载。 图11 脚本文件 (可选)方法二:执行salt-minion --version命令,当提示如下图所示信息时,则表示已卸载完成。 图12 检查isap-agent信息 节点注销需要一定的时间,不建议执行完注销立刻安装。
删除剧本动作 功能介绍 删除剧本动作 调用方法 请参见如何调用API。 URI DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{version_id}/actions/{action_id}
CreateIndicatorDetail object 情报详情信息 表4 CreateIndicatorDetail 参数 是否必选 参数类型 描述 data_source 是 data_source object 数据源信息 verdict 是 String 威胁度 confidence
amp-hostname 表7 响应Body参数 参数 参数类型 描述 code String 错误码 message String 错误信息 data BatchOperateAlertResult object 批量操作告警返回对象 表8 BatchOperateAlertResult
Logtash组件配置项说明 租户采集Logstash采集器是安全云脑经过定制化处理的。其在不同传输场景可进行不同程度的优化配置,此处主要提供日志配置log4j2.properties、jvm.options运行内存优化配置。 jvm运行内存配置 图1 jvm.options 表1
filter部分存在异常 处理步骤 登录安全云脑管理控制台,并进入目标工作空间。 在左侧导航栏选择“设置 > 采集管理”,进入采集管理页面后,选择“解析器管理”页签,进入解析器管理页面。 单击目标解析器所在行操作列的“编辑”,并在编辑页面中,删除错误配置信息,修改为正确的配置信息。 图6 问题解析器配置
TIPS, LOW, MEDIUM, HIGH, FATAL custom_properties Map<String,String> 自定义扩展信息。Custom properties. event_grouping Boolean 告警分组。Event grouping. schedule
错误码 message String 错误信息 total Integer 总数 size Integer 分页大小 page Integer 当前页数 data Array of ActionInfo objects 剧本动作列表信息 表6 ActionInfo 参数 参数类型
String 请求ID success Boolean 是否成功 data Array of AopWorkflowInfo objects 流程信息列表 表6 AopWorkflowInfo 参数 参数类型 描述 id String 流程ID name String 流程名称 description
一个工作空间最多添加20个标签。 操作步骤 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空间管理”,进入工作空间管理页面。 图1 工作空间管理页面 单击
检测,直接拦截。 批量阻断 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
timestamp_field 否 String 时间戳字段 mapping 否 Map<String,KeyIndex> 索引字段映射;每个key对象承载一个字段的信息;存在多个key对象,key可变,表示字段名称;可嵌套 表4 KeyIndex 参数 是否必选 参数类型 描述 type 否 String
参数 是否必选 参数类型 描述 metric_ids 是 Array of strings 待查询的指标Id列表, 可参照附录中指标信息说明获取已有指标信息。 workspace_ids 否 Array of strings 工作空间列表, 当指标支持获取多工作空间数据时填写。 params
步骤十二:测试验证 本章节介绍将非华为云日志接入安全云脑后,如何在安全云脑中测试验证日志是否接入成功。 表1 测试验证场景说明 场景 验证方法 华为云日志接入安全云脑 请在“安全分析”中查看是否存在已接入云服务日志。 安全云脑日志转出至第三方系统/产品 请在第三方系统/产品侧确认日志是否接收成功。
Object 系统信息 process Array of process objects 进程信息 user_info Array of user_info objects 用户信息 file_info Array of file_info objects 文件信息 system_alert_table
amp-hostname 表5 响应Body参数 参数 参数类型 描述 code String 错误码 message String 错误信息 data IndicatorBatchOperateResponse object 情报响应参数 表6 IndicatorBatchOperateResponse
检索 SQL语法参考 检索SQL语法概述 查询语句 分析语句 父主题: 查询与分析语法-V2
TIPS, LOW, MEDIUM, HIGH, FATAL custom_properties Map<String,String> 自定义扩展信息。Custom properties. event_grouping Boolean 告警分组。Event grouping. schedule
TIPS, LOW, MEDIUM, HIGH, FATAL custom_properties Map<String,String> 自定义扩展信息。Custom properties. event_grouping Boolean 告警分组。Event grouping. schedule
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
