威胁分析与响应常见问题
本文介绍使用威胁分析与响应时可能遇到的问题及其解决方案。威胁分析 与响应 是否支持接入线下设备?不支持。威胁分析与响应目前只支持接入云上设备,具体支持接入的云产品,请参见 支持接入的云产品和日志。开通威胁分析与响应后,是否会...
API概览
本产品(云安全中心(威胁分析)/2022-06-16)的OpenAPI采用 RPC 签名风格,签名细节参见 签名机制说明。我们已经为开发者封装了常见编程语言的SDK,开发者可通过 下载SDK 直接调用本产品OpenAPI而无需关心技术细节。如果现有SDK不能满足...
什么是威胁分析与响应
通过云安全中心的威胁分析与响应服务,您将能够集中处理来自多云环境、多账户和多产品的告警和日志数据,提高安全运维效率,加强对潜在风险的响应能力。功能介绍 工作原理 威胁分析与响应是一款云原生安全信息和事件管理解决方案,主要提供...
仪表板
通过威胁分析与响应仪表板,您不仅可以集中监控和管理企业在不同云平台、账号及产品间的安全态势,而且还能够以可视化的数据视图直观展示安全运营的成效,便于在安全汇报中快速传达安全状态和风险管理措施的有效性。您可以基于仪表板的实时...
【通知】威胁分析与响应变更计费项
阿里云云安全中心将对威胁分析与响应服务的计费项进行变更。变更后,新购买的威胁分析与响应服务将按照变更后的计费项进行收费,安全告警、事件处置、编排响应等分析和处置能力将和日志存储能力解耦,您可以灵活选择是否使用日志存储功能。...
多账号安全管理
在 可信服务 页面,找到 云安全中心 或 云安全中心-威胁分析,在 操作 列单击 管理。在 委派管理员账号 区域,单击 添加。在 添加委派管理员账号 面板,选择需要设置为委派管理员的成员,然后单击 确定。添加成功后,使用该委派管理员账号...
DescribeUserBuyStatus-查看阿里云用户威胁分析购买...
123XXXXXX RegionId string 否 威胁分析的数据管理中心所在地。您需要根据资产所在地域,选择管理中心所在地。取值:cn-hangzhou:资产属于中国内地与中国香港 ap-southeast-1:资产属于海外地域 cn-hangzhou 返回参数 名称 类型 描述 示例...
接入云产品日志
开启成功后,系统会自动在成员账号下创建服务关联角色AliyunServiceRoleForSasRd,该角色允许云安全中心访问专有网络VPC、云防火墙等云产品的资源,以便威胁分析与响应功能检测已接入的云产品日志,进行日志投递,并处置相关事件,提供告警...
ListRdUsers-查看资源目录下用户信息
操作 访问级别 资源类型 条件关键字 关联操作 yundun-sas:ListRdUsers List acs:yundun-sas:{#accountId}:*无 无 请求参数 名称 类型 必填 描述 示例值 RegionId string 否 威胁分析的数据管理中心所在地。您需要根据资产所在地域,选择...
威胁分析支持新加坡地域部署
适用客户 跨国公司或集团,需要使用威胁分析功能特性,在同一个控制台通过切换地域,根据数据合规性要求,将相关地域的云产品日志数据接入到上海或新加坡地域。新增功能/规格 新增新加坡地域,支持用户选择将日志数据投递到:1)中国区:...
什么是威胁情报
威胁情报服务是阿里云提供的情报安全服务,结合威胁情报数据,通过对威胁来源进行实时自动化采集、分析、分类与关联,评估企业资产中存在的威胁并为改善安全状况提供建议。...多维度多场景威胁分析,有效识别已知或潜在风险。
处置安全事件
威胁分析与响应通过使用预定义的规则或您自定义的规则,将关联的多个安全告警聚合成一个完整的安全事件,帮助您迅速识别并对云产品的安全告警作出响应。建议您定期检查并处理安全事件,以提升云产品的安全水平并确保系统的完整性。前提条件...
GetCapacity-获取当前企业威胁分析存储的使用量及购买...
获取当前威胁分析存储的使用量以及预付费的购买量,单位为GB。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,...
功能发布记录
2023年10月 功能名称 变更类型 动态说明 影响的版本 发布时间 相关文档 威胁分析-产品接入 迭代 支持将腾讯云、华为云的WAF和云防火墙告警日志接入威胁分析进行统一管理。增值服务 2023-10-30 使用威胁分析 安全告警处理 新增 支持大模型...
AddUserSourceLogConfig-添加日志接入
添加日志接入任务,将对应的日志数据接入到威胁分析中以便后续的告警、事件分析。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API...
威胁分析预定义仪表板“全局告警态势”发布
新增功能/规格 威胁分析与响应一级菜单下,新增仪表板二级菜单,系统预定义“全局告警态势”主题仪表板,安全分析师可实时监测被管控账号的日志、告警的概览信息和风险趋势,以提升安全运营工作响应和分析效率。产品文档 仪表板
ListOperation-获取当前登录用户拥有的资源权限
获取当前登录用户所具备的资源操作权限,威胁分析服务存在两种身份,管理员和普通成员,管理员具备所有权限,普通成员只能访问受限资源。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI ...
DeleteDataSourceLog-删除日志
操作 访问级别 资源类型 条件关键字 关联操作 yundun-sas:DeleteDataSourceLog Write acs:yundun-sas:{#accountId}:*无 无 请求参数 名称 类型 必填 描述 示例值 LogInstanceId string 是 日志 ID,由威胁分析根据具体参数计算 md5 生成。...
AddUser-纳管指定云账号
RegionId string 否 威胁分析的数据管理中心所在地。您需要根据资产所在地域,选择管理中心所在地。取值:cn-hangzhou:资产属于中国内地与中国香港 ap-southeast-1:资产属于海外地域 cn-hangzhou 返回参数 名称 类型 描述 示例值 object ...
公共错误码
当前用户为资源目录用户,请联系管理员添加为威胁分析的委派管理员使用。诊断 400 AccessKey.NotFound Access Key not found,please add access key for siem.未找到有效的AK,请在云安全中心配置中心配置%s账号,并给SIEM授权。诊断 400 ...
DescribeStorage-判断威胁分析用户的存储是否存在
判断威胁分析用户的存储(用户侧日志服务中LogStore)是否正常。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,...
ModifyDataSourceLog-修改日志
[{"LogCode":"cloud_siem_qcloud_waf_alert_log","LogParas":"[{\"ParaCode\":\"api_name\",\"ParaValue\":\"GetAttackDownloadRecords\"}]"}]LogInstanceId string 是 日志 ID,由威胁分析根据具体参数计算 md5 生成。可调用 ...
EnableAccessForCloudSiem-创建威胁分析SLR
操作 访问级别 资源类型 条件关键字 关联操作 yundun-sas:EnableAccessForCloudSiem Write acs:yundun-sas:{#accountId}:*无 无 请求参数 名称 类型 必填 描述 示例值 RegionId string 否 威胁分析的数据管理中心所在地。您需要根据资产...
BindAccount-绑定多云账号
取值:aliyun:阿里云 hcloud:华为云 qcloud:腾讯云 hcloud RegionId string 否 威胁分析的数据管理中心所在地。您需要根据资产所在地域,选择管理中心所在地。取值:cn-hangzhou:资产属于中国内地与中国香港 ap-southeast-1:资产属于...
云安全中心服务关联角色
具体操作,请参见 授权威胁分析与响应功能访问云资源。AliyunServiceRoleForSasCspm 首次使用云平台配置检查功能并执行授权操作后,系统会自动创建服务关联角色AliyunServiceRoleForSasCspm。说明 北京时间2022年11月21日起,云平台配置...
AddDataSourceLog-添加日志
cloud_siem_waf_xxxxx DataSourceInstanceId string 是 数据源 ID,由威胁分析根据具体参数计算 md5 生成。可调用 ListDataSourceLogs 获取数据源 ID。220ba97c9d1fdb0b9c7e8c7ca328d7ea DataSourceInstanceLogs string 是 数据源参数详情...
查看资源目录是否已给威胁分析授权
查看资源目录是否已给威胁分析授权。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 ...
ListDelivery-展示接入威胁分析的日志投递状态
查看整个企业或者普通成员接入威胁分析的产品、日志列表,以及这些日志的数据投递情况。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表...
ModifyDataSource-修改数据源
obs DataSourceInstanceId string 是 数据源 ID,由威胁分析根据具体参数计算 md5 生成。可调用 DescribeDataSourceInstance 获取数据源 ID。220ba97c9d1fdb0b9c7e8c7ca328d7ea DataSourceInstanceName string 否 数据源名称。beijing_waf_...
CloseDelivery-关闭威胁分析已接入的云产品日志的投递
cloud_siem_aegis_proc RegionId string 否 威胁分析的数据管理中心所在地。您需要根据资产所在地域,选择管理中心所在地。取值:cn-hangzhou:资产属于中国内地与中国香港,选择该项。ap-southeast-1:资产属于海外地域,选择该项。...
安全告警大模型分析
如果您已购买威胁分析与响应服务,左侧导航栏入口将变更为 威胁分析与响应>安全告警。您需要在 安全告警 页面右上角,单击 主机和容器安全告警,前往 安全告警处理 页面。在 安全告警处理 页面,单击目标告警 AI分析 列的 图标,可查看该告...
配置威胁检测规则
威胁分析与响应内置了预定义检测规则,可以深入检测分析收集到的安全告警日志,识别威胁攻击链路和时间线,并生成详细的安全事件。您可以按需创建自定义检测规则、开启或关闭预定义规则,确保生产的安全事件符合您的业务需求。配置检测规则...
响应编排
威胁分析与响应服务响应编排SOAR(Security Orchestration,Automation and Response)是一种综合性的安全解决方案,通过将不同的系统或服务按照一定的逻辑进行编排连接,实现安全运维的自动化编排和快速响应,旨在加强企业安全防御,提高安全...
常见问题
only问题的排查与处理方法 集群负载不均问题的分析方法及解决方案 通过手动迁移shard均匀分布热点数据的解决方案 指标含义与异常处理建议 fielddata内存使用率高问题的排查与处理方法 重启变更报错:集群状态不健康或存在close索引,不能...
DescribeAlertType-获取自定义规则可选威胁类型列表
操作 访问级别 资源类型 条件关键字 关联操作 yundun-sas:DescribeAlertType Read acs:yundun-sas:{#accountId}:*无 无 请求参数 名称 类型 必填 描述 示例值 RegionId string 否 威胁分析的数据管理中心所在地。您需要根据资产所在地域,...
购买云安全中心
威胁分析与响应 可检测并处理多云、多账号和多产品(例如云防火墙、专有网络VPC等)中的安全信息和安全事件,帮助您提升事件运营效率。如果已购买云安全中心日志分析存储容量,建议您将此处 购买数量 设置为日志分析存储容量的三倍。威胁...
线程分析
说明 如果单击 方法栈 后,显示无数据,排查方法如下:如果探针版本为2.7.3.5以下,则在 应用配置>自定义配置 页签的 线程设置 区域查看 线程分析方法栈 开关是否开启。如未开启,则无法记录方法栈信息;如已开启,则每5分钟采集一次方法栈...
用户洞察
主要结合标签能力,对存量用户提供丰富、灵活的洞察分析能力,可实现全量用户、细分用户多维度、多形态的分析方法,满足业务人员对用户的全方位理解 用户概览 概述 基于全量私域用户,洞察整体特征分布情况,了解显著特征。操作说明 1.查看...
线程分析
说明 如果单击 方法栈 后,显示无数据,排查方法如下:如果探针版本为2.7.3.5以下,则在 应用配置>自定义配置 页签的 线程设置 区域查看 线程分析方法栈 开关是否开启。如未开启,则无法记录方法栈信息;如已开启,则每5分钟采集一次方法栈...
安全服务
安全效果分析 实施安全服务之后,安全管家通过阿里云大数据平台构建深度分析模型,对云上业务资产评估、关键系统识别、业务安全威胁分析、综合风险识别等过程进行威胁情报分析,发现业务存在的残留风险,并根据风险问题排定风险优先等级,...
- 产品推荐
- 这些文档可能帮助您