检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
搜索告警列表 功能介绍 搜索告警列表 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/search 表1 路径参数 参数 是否必选 参数类型 描述 project_id
编辑工作空间 操作场景 工作空间新增成功后,您可以对工作空间的基本信息(名称、描述)进行修改。 该任务指导您如何编辑工作空间。 编辑工作空间 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
管理采集通道 操作场景 本章节主要介绍如何执行查看采集通道、删除采集通道、启用/停止/重启采集通道操作。 查看采集通道 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间
告警转事件 功能介绍 告警转事件 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/batch-order 表1 路径参数 参数 是否必选 参数类型 描述 project_id
略、自评估检查项以及华为专家的改进建议,覆盖PCI DSS、ISO27701、ISO27001、隐私等法规标准。 本章节将介绍如何订阅安全遵从包,以及如何取消订阅安全遵从包。 订阅安全遵从包:用户根据安全遵从包规格说明遵从包的判定指引来选择所需的安全遵从包进行订阅; 取消订阅安全
新增节点 操作场景 本章节将介绍如何新增以及编辑节点即如何安装组件控制器(isap-agent)。 安装路径建议为“/opt/cloud”,本章节也以此路径为例进行介绍。如需安装在其他自定义路径中,请根据路径修改,例如,如果安装路径为“/tmp”,则将该章节操作步骤中的安装路径改为“/tmp”。
创建或复制安全报告 操作场景 安全云脑提供安全报告功能。您可以通过创建安全报告,及时掌握资产的安全状况数据。 本章节主要介绍如何新建安全报告,以及如何通过复制已创建的报告快速创建报告。 约束与限制 单账号单workspace内,最多可创建10个安全报告(包含日报、周报和月报)。 前提条件
当收到告警信息且经过分析后,如果发现有攻击成功或有其他较为严重影响的,则需要进行单独处理,可以将它转为事件或关联事件。 本章节主要介绍如何将告警转为事件,以及告警如何关联事件。 告警和事件关系说明 本部分介绍告警和事件的含义、区别,告警转事件的原因和告警关联事件的原因。 告警和事件的含义与区别
新增连接 操作场景 本章节主要介绍如何新增或编辑连接,即如何配置日志来源、接收目的地参数信息。 约束与限制 数据连接新增成功后,仅支持对已选择的数据源类型的参数信息进行修改,不支持变更数据源类型。 新增连接 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规
用于接收TCP协议日志,配置规则请参见表2。 用户数据协议 UDP udp 用于接收UDP协议日志,配置规则请参见表3。 对象存储 OBS obs 用于读取对象存储OBS桶的日志数据,配置规则请参见表4。 消息队列 KAFKA kafka 用于读取Kafka网络日志数据,配置规则请参见表5。
查看布局 操作场景 布局中已有多个页面布局,例如告警列表、情报详情、漏洞详情等。 本章节主要介绍如何查看布局。 查看已有布局 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
OperateAccess 具有对象存储服务(OBS)查看桶列表、获取桶元数据、列举桶内对象、查询桶位置、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限 SecMaster_Agency 用于使用OBS插件场景,查询、上传、下载对象。 ELB ReadOnlyAccess
SOC还使用数据分析、外部源和产品威胁报告来深入了解攻击者行为、基础结构和动机。这种情报提供了有关Internet上正在发生的情况的全局视图,并帮助团队了解威胁组是如何运作的。借助此信息,SOC可快速发现威胁,并加强企业/组织对新出现的风险的应对。 威胁检测 SOC团队使用SIEM和XDR解决方案生成的数
步骤七:安装日志采集组件(Logstash) 本章节将介绍如何安装安全云脑日志采集组件(Logstash),配置日志采集进程。 安装日志采集组件 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间
查看安全报告 操作场景 本章节介绍如何查看已创建的安全报告及其展示的信息。 查看安全报告 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 在左侧导航栏选择“工作空间 > 空
告警规则总览 功能介绍 List alert rule metrics 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/metrics 表1 路径参数 参数 是否必选
快速添加日志告警模型 操作场景 安全云脑支持将查询分析结果设置告警模型,并在满足条件时触发告警。 本章节将接入如何快速为日志设置告警模型。 前提条件 已完成数据接入,详细操作请参见数据集成。 快速添加日志告警模型 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规
授权云服务资源访问权限 操作场景 使用安全治理功能前,需要获取访问云服务资源的权限,授权后,才能通过策略扫描帮您快速识别云上资产的安全遵从情况。 本章节将介绍如何授权访问用户云上资产。 前提条件 使用安全治理功能的账号需要具有“Agent Operator”、“Tenant Administrator”、“Security
更新剧本动作 功能介绍 更新剧本动作 调用方法 请参见如何调用API。 URI PUT /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{version_id}/actions/{action_id}
查询剧本实例审计日志 功能介绍 查询剧本实例审计日志 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/instances/auditlogs 表1 路径参数 参数
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
