创建并订阅主题最佳实践
消息通知服务(Simple Message Notification,SMN)能够根据用户的需求,向订阅者主动推送消息,订阅者可以是电子邮件、短信、HTTP和HTTPS等。在SMN中有两种类型的客户端,即发布者和订阅者。
- 发布者:发布者通过主题发布消息,由SMN将消息推送给主题订阅者。
- 订阅者:订阅者可以为邮箱地址、手机号码、函数及URL地址。
- 主题:主题作为消息的集合,是一个逻辑访问点和通信渠道,拥有唯一的主题名称。
安全云脑在启用通知类剧本时,需要先创建并订阅主题,用户方可接收到通知消息。
| 剧本名称 | 剧本说明 |
|---|---|
| 攻击链路分析告警通知 | 针对攻击链路进行分析,如果主机产生告警,就会查看关联主机所属的网站,如果有对应网站信息且有告警,就进行告警通知 |
| 高危漏洞自动通知 | 对威胁等级为High的漏洞进行邮件或者短信通知 |
| 高危告警自动通知 | 对威胁级别为High或者Fatal的告警进行邮件或者短信通知 |
| 关键运维操作实时通知 | 针对模型产生的运维告警,进行实时通知。目前支持挂载网卡、peering对等连接、资源绑定EIP三种关键运维操作进行smn通知 |
| 资产防护状态统计通知 | 每周统计客户资产防护状态,同时发送邮件/短信通知给客户 |
| 主机资产风险统计通知 | 查询资产管理中绑定EIP的主机资产,将其漏洞信息统计通知给客户 |
| 未关闭告警自动统计通知 | 每天晚上7点,统计未关闭的告警,并发送邮件/短信通知给客户 |
| 新增主机资产防护状态通知 | 新增主机资产为未防护状态,通知客户及时防护 |
| HSS高危告警拦截通知 | 主机高危告警,如果源IP未加入安全组阻断,则通知客户并生成待办,如果人工审核通过则加入安全云脑VPC策略阻断 |
本章节介绍如何创建并订阅主题。
前提条件
- 已完成IAM账号授权操作,详细操作请参见IAM账号授权。
- 已购买安全云脑。
步骤一:确认租户已获得SMN ReadOnlyAccess权限
确认租户已获得SMN ReadOnlyAccess权限,即拥有消息通知服务的只读权限。
| 权限 | 权限描述 | 授权主体 | 权限用途 |
|---|---|---|---|
| SMN ReadOnlyAccess | 拥有消息通知服务的只读权限。 拥有该权限的用户仅能查看消息通知服务数据。 | SecMaster_Agency | 用于消息通知 |
可参考以下步骤查看租户是否已获得SMN ReadOnlyAccess权限。若未授权,请参考步骤二(可选):服务委托授权进行授权。
- 使用管理员账号登录安全云脑 SecMaster控制台。
- 在页面左上角单击
,选择,进入统一身份认证服务管理控制台。 - 在左侧导航栏选择“委托”,在委托界面,单击委托名称“SecMaster_Agency”,然后选择“授权记录”页面,可查看所有授权主体为SecMaster_Agency的授权记录,确认是否包含SMN ReadOnlyAccess或SMN FullAccess权限。
步骤二(可选):服务委托授权
仅当通过步骤一:确认租户已获得SMN ReadOnlyAccess权限确认租户不具备SMN ReadOnlyAccess和SMN FullAccess权限时,才需要执行此步骤。
- 登录安全云脑 SecMaster控制台。
- 单击管理控制台左上角的
,选择区域和项目。 - 在左侧导航栏选择,进入工作空间管理页面。 图1 工作空间管理页面
- (可选)在空间管理页面上方单击“服务委托授权-当前租户”,右侧弹出授权页面。
首次进入无需进行单击操作,页面将自动弹出服务委托授权页面。
- 在授权页面中检查是否已勾选SMN ReadOnlyAccess或SMN FullAccess权限,默认已勾选所需全部权限。
- 确认完毕后,请勾选权限下方的“同意授权”,并单击“确认”。
步骤三:创建并订阅主题
- 登录安全云脑 SecMaster控制台。
- 在页面左上角单击
,选择,进入消息通知服务管理页面。 - 创建主题。
- 在左侧导航栏,选择,进入主题管理页面后,单击右上角“创建主题”。 图2 创建主题
- 在弹出的创建主题页面中,配置主题信息后,单击“确定”。
- 主题名称:设置为“SecMaster-Notification”。
- 显示名:建议设置为“安全云脑通知主题”。
- 其他参数保持缺省值即可。
“主题名称”必须配置为“SecMaster-Notification”,否则会导致剧本执行不生效。
- 在左侧导航栏,选择,进入主题管理页面后,单击右上角“创建主题”。
- 添加订阅。
- 在主题页面中,单击“SecMaster-Notification”主题所在行“操作”列的“添加订阅”。
- 在弹出的添加订阅页面中,配置订阅信息后,单击“确定”。
- 协议:自定义选择通知方式,此处以选择“邮件”为例示例说明。
- 订阅终端:输入订阅终端邮箱地址,如username@example.com
- 确认订阅。
添加订阅后,会在4中设置的邮箱地址中收到系统自动发送的确认订阅的邮件通知,单击邮件正文的“订阅确认”链接,会弹出订阅成功页面。
相关文档
配置并启用通知类剧本,参见表3。
| 剧本名称 | 剧本说明 |
|---|---|
| 针对攻击链路进行分析,如果主机产生告警,就会查看关联主机所属的网站,如果有对应网站信息且有告警,就进行告警通知 | |
| 对威胁等级为High的漏洞进行邮件或者短信通知 | |
| 对威胁级别为High或者Fatal的告警进行邮件或者短信通知 | |
| 针对模型产生的运维告警,进行实时通知。目前支持挂载网卡、peering对等连接、资源绑定EIP三种关键运维操作进行smn通知 | |
| 每周统计客户资产防护状态,同时发送邮件/短信通知给客户 | |
| 查询资产管理中绑定EIP的主机资产,将其漏洞信息统计通知给客户 | |
| 每天晚上7点,统计未关闭的告警,并发送邮件/短信通知给客户 | |
| 新增主机资产为未防护状态,通知客户及时防护 | |
| 主机高危告警,如果源IP未加入安全组阻断,则通知客户并生成待办,如果人工审核通过则加入安全云脑VPC策略阻断 |
