检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
导入剧本 playbook importPlaybook 新增剧本触发规则 playbook createPlaybookRule 更新剧本触发规则 playbook updatePlaybookRule 删除剧本触发规则 playbook deletePlaybookRule 创建剧本版本
参数名称 参数说明 实例名称 系统生成的实例的名称。 剧本名称 实例对应的剧本名称。 数据类 剧本的运营对象,即数据类。 触发方式 实例的触发方式。 定时触发 事件触发 状态 实例的状态。 成功:剧本实例成功执行。 失败:剧本实例执行失败,单击操作列的重试可重新执行剧本。 运行中:剧本
设置告警查询计划。 运行查询间隔:xx分钟/小时/天。 当运行查询间隔为分钟时,可设置为5-59分钟;当运行查询为小时时,可设置为1-23小时;当运行查询为天时,可设置为1-14天。 时间窗口:xx分钟/小时/天。 当时间窗口为分钟时,可设置为5-59分钟;当时间窗口为小时时,可设置为1
间是 30 分钟,当其不活跃的时间达到30分钟后,若观测到新的记录,则会启动一个新的会话时间窗口(否则该行数据会被添加到当前的窗口),且若在 30 分钟内没有观测到新纪录,这个窗口将会被关闭。会话时间窗口可以使用事件时间(批处理、流处理)或处理时间(流处理)。 在流处理表中的 SQL
String 错误描述 请求示例 创建一条威胁情报,威胁情报名称为“威胁情报名称”,威胁情报版本为1,威胁情报类型为DATA_SOURCE,触发标志为否。 { "data_object" : { "data_source" : { "source_type"
到一起,形成一种协同工作方式。它由多个相连接的组件构成,流程定义完成后可被外部触发,例如,当新工单产生时自动触发自动审核工单流程。您可以通过可视化流程编辑画布,定义每个节点的组件动作。 流程是剧本触发时响应的方式,它负责将剧本中的指令和规程转化为具体的操作和执行步骤。 联系与区别
启用流程 流程是剧本触发时响应的方式,安全云脑默认提供了“WAF一键解封”、“主机告警状态同步”、“告警指标提取”等流程。流程的初始版本(V1)系统默认启用,无需手动启用。同时,还支持对已有流程版本进行自定义编辑,使用自定义流程。 本章节将介绍如何配置并启用自定义版本的流程: 复制流程版本
到一起,形成一种协同工作方式。它由多个相连接的组件构成,流程定义完成后可被外部触发,例如,当新工单产生时自动触发自动审核工单流程。您可以通过可视化流程编辑画布,定义每个节点的组件动作。 流程是剧本触发时响应的方式,它负责将剧本中的指令和规程转化为具体的操作和执行步骤。 剧本和流程的关系
常操作的一部分,也可以是异常或错误。在运维和安全领域,事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发,也可能由其他因素(如用户操作、系统日志等)引发。 事件的目的是为了记录、分析、报告或审计,通常用于记录和报告系统的历史行为,以便于分析和审计。
ConditionItem objects 触发条件。事件触发剧本必填 logics 否 Array of strings 条件逻辑组合。事件触发剧本必填 cron 否 String Cron 表达式(定时任务)。定时触发剧本必填 schedule_type 否 String 定时重复类型(second--秒
trigger_type 否 String 触发方式. EVENT--事件触发, TIMER--定时触发 dataobject_create 否 Boolean 标识数据对象是否创建时触发剧本 dataobject_update 否 Boolean 标识数据对象是否更新时触发剧本 dataobject_delete
设置告警查询计划。 运行查询间隔:xx分钟/小时/天。 当运行查询间隔为分钟时,可设置为5-59分钟;当运行查询为小时时,可设置为1-23小时;当运行查询为天时,可设置为1-14天。 时间窗口:xx分钟/小时/天。 当时间窗口为分钟时,可设置为5-59分钟;当时间窗口为小时时,可设置为1
响应Body参数 参数 参数类型 描述 code String 错误码 message String 错误描述 请求示例 更新一条威胁情报,威胁情报触发标志为否,值为ip。 { "data_object" : { "indicator_type" : { "indicator_type"
运营对象管理概述 数据类:安全编排与响应中的剧本和流程的运行都需要绑定数据类,由数据对象(数据类的实例)触发剧本。常见的数据类包括告警、事件、威胁情报、漏洞等。查看数据类请参考查看数据类。 告警:告警是运维中的一种异常信号的通知,通常是由监控系统或安全设备在检测到系统或网络中的异
操作场景 当剧本/流程任务执行到某一节点时,任务暂停需人工处理,剧本/流程任务才能继续执行。 本章节主要介绍如何处理待办任务。 前提条件 已触发剧本/流程任务,且任务流程需人工处理。 处理待办任务 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规
ConditionItem objects 触发条件。事件触发剧本必填 logics 否 Array of strings 条件逻辑组合。事件触发剧本必填 cron 否 String Cron 表达式(定时任务)。定时触发剧本必填 schedule_type 否 String 定时重复类型(second--秒
trigger_type 否 String 触发方式. EVENT--事件触发, TIMER--定时触发 dataobject_create 否 Boolean 数据对象是否创建时触发剧本 dataobject_update 否 Boolean 数据对象是否更新时触发剧本 dataobject_delete
String 调度间隔单位,分钟、小时、天。Frequency unit. MINUTE, HOUR, DAY. period_interval 是 Integer 时间窗口间隔。Period interval. period_unit 是 String 时间窗口单位,分钟、小时、天。Period
查看数据类 安全编排与响应中的剧本和流程的运行都需要绑定数据类,由数据对象(数据类的实例)触发剧本。数据类支持如下操作: 查看数据类 查看数据类 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
查看模型模板 操作场景 安全云脑支持利用模型对管道中的日志数据进行扫描,如果检测到有满足模型中设置触发条件的内容时,系统将产生告警提示。模型是基于模板而创建的,因此,需利用已有模型模板创建模型。 安全云脑根据常用场景内置了多种模型模板(包括场景说明、模型原理、处置建议、使用约束等信息),请在参考本章节进行查看。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
