文档首页/ 安全云脑 SecMaster/ 用户指南/ 剧本说明/ 关键运维操作实时通知
更新时间:2024-11-21 GMT+08:00

关键运维操作实时通知

剧本说明

安全云脑提供的关键运维操作实时通知剧本,基于运维操作,对关键运维操作进行邮件实时通知。

“关键运维操作实时通知”剧本已匹配“关键运维操作实时通知”流程,该流程是通过消息通知服务,当有关键运维操作时,发送通知给运营人员。

图1 关键运维操作实时通知流程

前提条件

  • 已在安全云脑工作空间的设置 > 数据集成页面中接入云审计服务日志数据,详细操作请参见数据集成
    图2 接入CTS日志
  • 已启用对应的运维防线模型,详细操作请参见步骤二:启用告警模型

步骤一:创建并订阅主题

“关键运维操作实时通知”流程需要使用消息通知服务(Simple Message Notification,SMN)来创建安全云脑告警通知主题,并完成订阅即可接收到告警通知。
  1. 登录管理控制台。
  2. 在页面左上角单击,选择管理与监管 > 消息通知服务,进入消息通知服务管理页面。
  3. 创建主题。
    1. 在左侧导航栏,选择主题管理 > 主题,进入主题管理页面后,单击右上角“创建主题”
      图3 创建主题
    2. 在弹出的创建主题页面中,配置主题信息后,单击“确定”
      • 主题名称:建议设置为“SecMaster-Notification”
      • 显示名:建议设置为“安全云脑通知主题”
      • 其他参数保持缺省值即可。
  4. 添加订阅。
    1. 在主题页面中,单击“SecMaster-Notification”主题所在行“操作”列的“添加订阅”
    2. 在弹出的添加订阅页面中,配置订阅信息后,单击“确定”
      • 协议:请选择“邮件”
      • 订阅终端:输入订阅终端邮箱地址,如username@example.com

步骤二:启用告警模型

使用“关键运维操作实时通知”剧本前,需要先启用运维防线模型(运维-挂载网卡、运维-创建peering对等连接、运维-资源绑定EIP)。

  1. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  2. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
    图4 进入目标工作空间管理页面
  3. 在左侧导航栏选择威胁运营 > 智能建模,进入智能建模页面后,选择“模型模板”页签,进入模型模板页面。
    图5 模型模板页面
  4. 在模型模板列表中,单击目标模型模板所在行“操作”列的“详情”,右侧弹出模板详情页面。
  5. 在模板详情页面,单击右下角“创建模型”,进入新建告警模型页面。
  6. 在新增告警模型页面中,配置告警模型基础信息。
    • 管道名称:选择告警模型的执行管道。
      表1 选择执行管道

      告警模板

      需要选择的执行管道

      运维-挂载网卡

      sec-cts-audit

      运维-创建peering对等连接

      运维-资源绑定EIP

    • 其他参数建议保持默认值即可。
  7. 设置完成后,单击页面右下角“下一步”,进入设置模型逻辑页面。
  8. 设置模型逻辑,建议保持默认即可。
  9. 设置完成后,单击页面右下角“下一步”,进入模型详情预览页面。
  10. 预览确认无误后,单击页面右下角“确定”
  11. 重复4-10为其他模板创建告警模型。
  12. 在左侧导航栏选择威胁运营 > 智能建模,进入智能建模的可用模型页面。
    图6 可用模型页面
  13. 在模型列表中,勾选所有需要启动的模型,然后单击列表左上角的“启用”

    当模型状态更新为启用,则表示启动模型成功。

步骤三:配置并启用剧本

在安全云脑中,默认“关键运维操作实时通知”流程的初始版本(V1)也已启用,无需手动启用。默认“关键运维操作实时通知”剧本的初始版本(V1)也已激活,只需要启用就可以进行使用。
  1. 在左侧导航栏选择安全编排 > 剧本编排,默认进入剧本管理页面。
    图7 进入剧本管理页面
  2. 剧本管理页面中,单击“关键运维操作实时通知”剧本所在行的“操作”列的“启用”
  3. 在弹出的确认框中,选择初始剧本版本v1后,单击“确定”

实现效果

当有关键运维操作时会触发剧本,触发如下邮件通知,以对等连接操作通知举例:

图8 操作通知