-
自定义接入安全云脑 - 安全云脑 SecMaster
自定义接入安全云脑 通过UDP的方式采集ECS中的日志,将字符串解析成json格式(自定义解析),并将解析完的数据转出至安全云脑管道。接入后,可在“安全分析”页面进行查询,同时可基于解析后的日志进行威胁建模等。 前提条件 已获取登录控制台的IAM账号和密码。 步骤一:购买ECS
-
分析语句-函数 - 安全云脑 SecMaster
length('hello') LIMIT 1 locate 查找字符串 locate(string, string) -> integer SELECT locate('o', 'hello') LIMIT 1 replace 替换字符串 replace(string T, string, string)
-
约束与限制 - 安全云脑 SecMaster
约束与限制 查询语句不支持数学运算,比如:(age + 100) ≤ 1000。 聚合函数只支持字段,不支持表达式,比如avg(log(age))。 不支持多表关联。 不支持子查询。 页面查询只支持返回500条。 GROUP BY 分组上限为10000组。 父主题: 查询与分析语法-SQL语法
-
创建剧本规则 - 安全云脑 SecMaster
最大长度:64 表3 请求Body参数 参数 是否必选 参数类型 描述 rule 是 ConditionInfo object 剧本触发规则详情 表4 ConditionInfo 参数 是否必选 参数类型 描述 expression_type 否 String 表达式类型。默认为common
-
更新剧本规则 - 安全云脑 SecMaster
最大长度:64 表3 请求Body参数 参数 是否必选 参数类型 描述 rule 否 ConditionInfo object 剧本触发规则详情 表4 ConditionInfo 参数 是否必选 参数类型 描述 expression_type 否 String 表达式类型。默认为common
-
(可选)配置并启用流程 - 安全云脑 SecMaster
线路分流时,根据条件表达式选择符合条件的所有表达式执行。 线路汇聚时,所有分流时被执行的线路都到达包容网关时,才会继续后续节点执行(如果有一条失败,则整个流程都会失败) 流程节点 可以选择当前工作空间中已经发布的所有流程。 插件节点 可以选择当前工作空间中所有插件。 表2 人工审核节点参数说明
-
SDK概述 - 安全云脑 SecMaster
在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 表1提供了SecMaster服务支持的SDK列表,您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 表1 SDK列表 编程语言
-
管理流程版本 - 安全云脑 SecMaster
线路分流时,根据条件表达式选择符合条件的所有表达式执行。 线路汇聚时,所有分流时被执行的线路都到达包容网关时,才会继续后续节点执行(如果有一条失败,则整个流程都会失败) 流程节点 可以选择当前工作空间中已经发布的所有流程。 插件节点 可以选择当前工作空间中所有插件。 表2 人工审核节点参数说明
-
上报安全产品数据 - 安全云脑 SecMaster
有效期开始(可读字符串)。 最小长度:0 最大长度:32 valid_until 否 String 有效期结束(可读字符串)。 最小长度:0 最大长度:32 properties 否 ThreatIntelProperties object 威胁情报属性信息。 表17 ThreatIntelProperties
-
查询指标列表 - 安全云脑 SecMaster
最小长度:0 最大长度:64 表4 condition 参数 是否必选 参数类型 描述 conditions 否 Array of conditions objects 表达式列表 数组长度:0 - 999 logics 否 Array of strings 表达式名称列表 最小长度:0 最大长度:100
-
舆情监测 - 安全云脑 SecMaster
主题填写的字符要求在2到50个字符内。 监测主题上限为100个。 单击“生成监测主题(Enter)”或按“Enter”。 系统将在下方表格中生成监测主题。 说明: 一份报告中仅包含一个监测主题。 (可选)添加任务 如需购买多种类型的报告,可单击“添加任务”,并配置购买参数。 添加后,如果不再需要某个任务,可以
-
内置剧本和流程 - 安全云脑 SecMaster
Alert 自动更新告警名称 根据客户需要,筛选关键字段信息,拼接告警名称 Alert 告警打ip标签 告警添加告警关联攻击源IP及目标IP的标签信息 Alert 一键解封 根据不同的告警数据源产品选择执行不同的解封子流程 Alert 一键阻断 根据不同的告警数据源产品选择执行不同的阻断子流程
-
采集数据 - 安全云脑 SecMaster
参数说明 基本信息 名称 解析器名称,系统已根据模板自动生成,可进行修改。 描述 解析器描述信息,系统已根据模板自动生成,可进行修改。 规则列表 解析器解析规则,系统已根据模板自动生成,可进行修改。 如需添加规则,可以单击“添加”,选择规则类型,并根据选择的规则配置对应的参数信息。 解析
-
SecMaster自定义策略 - 安全云脑 SecMaster
可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。 JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见:创建自定义策略。
-
新增数据投递 - 安全云脑 SecMaster
数据源读取身份信息说明。 配置数据目的,请根据投递目的进行配置。 PIPE:将当前管道数据投递到本账号其他管道或其他账号的管道中,请根据您的需要进行选择配置。 本账号投递:将当前管道数据投递到本账号的其他管道中,参数配置说明如表3所示。 表3 配置数据目的-本账号PIPE 参数名称
-
日志字段含义 - 安全云脑 SecMaster
ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。 valid_from String 有效期开始(可读字符串)。 valid_until String 有效期结束(可读字符串)。 properties Object 见对象threat_intel.properties。 threat_intel
-
查询关联Dataobject列表 - 安全云脑 SecMaster
object 搜索条件表达式 表4 condition 参数 是否必选 参数类型 描述 conditions 否 Array of conditions objects 表达式列表 数组长度:0 - 999 logics 否 Array of strings 表达式名称列表 最小长度:0
-
管理解析器 - 安全云脑 SecMaster
参数说明 基本信息 名称 解析器名称,系统已根据模板自动生成,可进行修改。 描述 解析器描述信息,系统已根据模板自动生成,可进行修改。 规则列表 解析器解析规则,系统已根据模板自动生成,可进行修改。 如需添加规则,可以单击“添加”,选择规则类型,并根据选择的规则配置对应的参数信息。 解析
-
安全运营 - 安全云脑 SecMaster
动和威胁。 安全云脑可提供多种内置的由安全专家和分析团队根据已知威胁、常见攻击媒介和可疑活动上报链设计的模板,使你能够执行某些对应操作时收到此类威胁的通知。启用这些模板后,它们将自动在整个环境中搜索可疑活动。同时,可以根据你的需要自定义模板,以搜索或筛选出活动。 同时,还支持云服
-
概述 - 安全云脑 SecMaster
化看板呈现风险,提供华为专家改进建议。 自评估检查项 将安全遵从包内的法规标准条款转化成检查项,租户可根据检查项完成自身业务的合规评估,查看历史评估结果,进行证据上传和下载,根据华为专家改进建议进行治理。 合规结果可视 可视化呈现合规评估结果与安全治理情况,包括租户订阅的法规、标