-
概述 - 安全云脑 SecMaster
名词解释 插件:是包含函数、连接器、公共库的聚合。插件有自定义插件和商业插件两种类型,其中,自定义的插件可以在集市中显示,也可以在剧本中使用。 插件集:是具有相同业务场景的插件集合。 函数:是可以在剧本中选用的执行函数,在剧本中执行特定的行为。 连接器:是用于连接数据源,将告警、事件等安
-
日志字段含义 - 安全云脑 SecMaster
到目标的other协议每秒新建连接数统计。 tcp_concur_con String 到目标的tcp并发连接数统计。 udp_concur_con String 到目标的udp并发连接数统计。 icmp_concur_con String 到目标的icmp并发连接数统计。 other_concur_con
-
服务委托授权 - 安全云脑 SecMaster
SecMaster_Agency 用于告警剧本的执行和在基线检查功能中获取租户OBS资产信息 ELB ReadOnlyAccess 弹性负载均衡服务只读权限 SecMaster_Agency 用于在基线检查功能中获取租户ELB资产信息 CFW FullAccess 云防火墙所有权限 SecMaster_Agency
-
内置剧本和流程 - 安全云脑 SecMaster
每周统计客户资产防护状态,同时发送邮件/短信通知给客户 CommonContext 未关闭告警自动统计通知 每天晚上7点,统计未关闭的告警,并发送邮件/短信通知给客户 Alert 高危告警自动化安全封堵 针对高危和致命告警,源IP地址攻击次数达到阈值(次数>3)且命中微步在线的恶意
-
新增数据空间 - 安全云脑 SecMaster
新增数据空间 操作场景 数据空间是进行数据分组、负载、流控单元。同一数据空间的数据共享同一载均衡策略。 当您需要使用安全云脑提供的安全分析、数据分析、智能建模等功能时,需要新增数据空间。 本章节介绍如何创建数据空间。 约束与限制 单账号单Region单Workspace最多创建5个数据空间。
-
基线检查项目 - 安全云脑 SecMaster
检测风险项检查项目 检查项目 检查内容 ELB健康状态检查 弹性负载均衡(Elastic Load Balance,ELB)定期向后端服务器发送请求健康检查,通过健康检查来判断后端服务器是否可用。 如果判断出后端服务器健康检查异常,ELB会将异常后端服务器的流量分发到正常后端服务器。
-
查询剧本版本列表 - 安全云脑 SecMaster
PUBLISHED--审核通过) 最小长度:0 最大长度:64 action_strategy String 执行策略. 目前仅支持异步并发执行,对应值为ASYNC 最小长度:0 最大长度:64 rule_enable Boolean 过滤规则是否启用 dataclass_id
-
更新剧本版本 - 安全云脑 SecMaster
dataobject_delete 否 Boolean 数据对象是否删除时触发剧本 action_strategy 否 String 执行策略. 目前仅支持异步并发执行,对应值为ASYNC 最小长度:0 最大长度:64 响应参数 状态码: 200 表4 响应Header参数 参数 参数类型 描述 X-request-id
-
关键运维操作实时通知 - 安全云脑 SecMaster
当有关键运维操作时,发送通知给运营人员。 图1 关键运维操作实时通知流程 实现效果 当有关键运维操作时会触发剧本,触发如下邮件通知,以对等连接操作通知举例: 图2 操作通知 前提条件 已在安全云脑工作空间的“设置 > 数据集成”页面中接入云审计服务日志数据,详细操作请参见数据集成。
-
创建剧本版本 - 安全云脑 SecMaster
dataobject_delete 否 Boolean 标识数据对象是否删除时触发剧本 action_strategy 否 String 执行策略. 目前仅支持异步并发执行,对应值为ASYNC 最小长度:1 最大长度:64 表4 ActionInfo 参数 是否必选 参数类型 描述 id 否 String
-
查询剧本版本详情 - 安全云脑 SecMaster
不通过:UNPASSED 已发布:PUBLISHED 最小长度:0 最大长度:64 action_strategy String 执行策略. 目前仅支持异步并发执行,对应值为ASYNC 最小长度:0 最大长度:64 actions Array of ActionInfo objects 剧本关联流程列表信息
-
克隆剧本及版本 - 安全云脑 SecMaster
不通过:UNPASSED 已发布:PUBLISHED 最小长度:0 最大长度:64 action_strategy String 执行策略. 目前仅支持异步并发执行,对应值为ASYNC 最小长度:0 最大长度:64 actions Array of ActionInfo objects 剧本关联流程列表信息
-
业务信息梳理 - 安全云脑 SecMaster
问Internet,如果资源只配置了私网IP,就无法直接访问Internet。弹性公网IP可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 安全云脑的资产管理功能会自动完成云EIP资产的梳理。针对EIP资产,支持通过Anti-DDoS通
-
工作空间概述 - 安全云脑 SecMaster
工作空间委托:跨账号安全运营,可实现工作空间委托集中安全运营查看统一资产风险、告警和事件等。 什么是数据空间? 数据空间是进行数据分组、负载、流控单元。同一数据空间的数据共享同一载均衡策略。 什么是数据管道? 数据传输消息主题和存储索引组合为数据管道。 工作空间通用规则 付费版本安全云脑:单账号单Region内最多创建5个工作空间。
-
基本概念 - 安全云脑 SecMaster
空间可绑定普通项目、企业项目和Region,可支撑不同场景下的工作空间运营模式。 数据空间 数据空间是进行数据分组、负载、流控单元。同一数据空间的数据共享同一载均衡策略。 数据管道 数据传输消息主题和存储索引组合为数据管道。 分类和映射 分类和映射是指对云服务告警进行类型匹配和字段映射。
-
安全运营 - 安全云脑 SecMaster
全局指标情况。 值班响应大屏:可以查看未处理告警、事件、漏洞、基线等需要处理的安全风险事项。 资产大屏:可以查看资产总数、受攻击资产数、未防护资产数等需要处理的资产以及资产视角的风险情况。 威胁态势大屏:可以查看DDoS攻击次数、网络攻击次数、应用拦截次数、主机层拦截次数等威胁攻击趋势及其防御、检测情况。
-
快速接入安全云脑 - 安全云脑 SecMaster
道。 步骤六:新增数据连接(来源、目的) 新增数据连接,包含数据来源、以及数据解析后转出位置。 在左侧导航栏选择“设置 > 采集管理”,默认进入连接管理页面。 图10 进入采集管理页面 新增数据连接来源。 在“连接管理”页面中,单击“新增”,进入选择数据连接页面。 在“来源”页签中,选择数据源类型的来源“用户数据协议
-
自定义接入安全云脑 - 安全云脑 SecMaster
道。 步骤六:新增数据连接(来源、目的) 新增数据连接,包含数据来源、以及数据解析后转出位置。 在左侧导航栏选择“设置 > 采集管理”,默认进入连接管理页面。 图10 进入采集管理页面 新增数据连接来源。 在“连接管理”页面中,单击“新增”,进入选择数据连接页面。 在“来源”页签中,选择数据源类型的来源“用户数据协议
-
分析语句-函数 - 安全云脑 SecMaster
LIMIT 1 minute_of_hour 当前小时分钟数 minute_of_hour(date) -> integer SELECT minute_of_hour(date) LIMIT 1 minute_of_day 当天分钟数 minute_of_day(date) -> integer
-
采集数据 - 安全云脑 SecMaster
认”。 单击页面右下角“保存并应用”。 步骤五:新增数据连接 在左侧导航栏选择“设置 > 采集管理”,默认进入连接管理页面。 图10 进入采集管理页面 在“连接管理”页面中,单击“新增”,进入选择数据连接页面。 新增数据连接来源。 在“来源”页签中,选择数据源类型的来源,并根据选择的类型进行参数配置。