新增工作空间
操作场景
工作空间(Workspace)属于安全云脑顶层工作台,单个工作空间可绑定普通项目、企业项目和Region,可支撑不同场景下的工作空间运营模式。
在使用安全云脑的基线检查、告警管理、安全分析、安全编排等功能前,需要先创建工作空间,它可以将资源划分为各个不同的工作场景,避免资源冗余查找不便,影响日常使用。
本章节介绍如何新增工作空间。
约束与限制
- 付费版本安全云脑:单账号单Region内最多创建5个工作空间。
- 免费版本安全云脑:单账号单Region内最多创建1个工作空间。
- 新创建的工作空间需要初始化,工作空间创建完成后需要等待约10分钟后刷新查看。查看工作空间请参见查看工作空间。
新增工作空间
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域和项目。 - 在页面左上角单击
,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 - 在左侧导航栏选择,进入工作空间管理页面。
图1 工作空间管理页面
- (可选)首次进入空间管理页面时,需要进行授权操作。
- 在空间管理页面上方单击“服务委托授权-当前租户”,右侧弹出授权页面。
- 在授权页面中,默认已勾选所需的全部权限,请勾选权限下方的“同意授权”,并单击“确认”。
- 在工作空间管理页面中,单击“新增”,系统从右侧弹出新增工作空间页面。
- 配置新建工作空间参数,参数说明如下表所示:
表1 新增工作空间 参数名称
参数说明
区域
选择待新增工作空间所在区域。
项目类型
选择待新增工作空间所属的项目类型。
工作空间名称
自定义工作空间的名称。命名规则如下:
- 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_())。
- 长度不能超过64个字符。
标签(可选)
可选参数,添加该工作空间的标签,用于标识工作空间,方便您对工作空间进行分类和跟踪。
如果您需要使用同一标签标识多种云资源,即所有服务均可在标签输入框下拉选择同一标签,建议在TMS中创建预定义标签,也可以直接在此处创建标签。
描述(可选)
可选参数,设置该工作空间的备注信息。
- 单击“确定”,完成工作空间的新增。
- 工作空间配置完成后,在左侧导航栏选择,进入安全云脑工作空间管理页面,可查看已新增的工作空间。
新增工作空间时初始化内容
- 页面布局初始化:新增工作空间时会初始化页面布局,布局用于提供页面的展示样式。进入工作空间管理页面,在左侧导航栏选择,默认进入布局管理页面可查看内置的布局。新增工作空间时空间初始化涉及的布局有告警列表、告警详情、事件列表、事件详情、情报列表、情报详情、漏洞列表、漏洞详情、资产列表、资产详情、日报、月报、周报。查看布局详细操作请参见查看布局。
- 运营对象初始化:关于运营对象的基本概念请参见运营对象管理概述。空间初始化时会完成数据类和类型管理的初始化。
- 剧本编排初始化:剧本和流程的概念请参见安全编排概述。新增工作空间时会初始化剧本、流程和插件,详细列表如下:
表2 初始化的剧本、流程、插件 类别
初始化内容
剧本
主机资产风险统计通知
资产防护状态统计通知
新增主机资产防护状态通知
告警指标提取
主机Rootkit事件攻击自动化处置
同步WAF黑IP到情报
同步CFW黑IP到情报
主机告警状态同步
网络防线告警关联历史处置信息
身份防线告警关联历史处置信息
应用防线告警关联历史处置信息
主机防线告警关联历史处置信息
统一买
关键运维操作实时通知
重复告警自动关闭
攻击链路分析告警通知
HSS文件隔离查杀
高危告警自动通知
低危告警自动关闭
主机反弹Shell攻击自动化处置
云脑WAF地址组关联策略
Web登录爆破拦截
关联内外部IP画像情报
自动更新告警名称
高危漏洞自动通知
挖矿主机隔离
未关闭告警自动统计通知
高危告警自动化安全封堵
告警ip指标打标
HSS高危告警拦截通知
勒索主机隔离
WAF删除空防护策略
流程
主机告警状态同步
CIS_PostgreSQL限制连接数据库的IP地址
资产防护信息通知
主机自动存储AirGap熔断
CIS_MySQL开启数据库审计日志
策略管理_VPC
主机自动备份及副本防篡改操作
WAF地址组取消绑定策略
CIS_启用LTS主机全量日志功能
CIS_启用ELB访问日志记录功能
高危漏洞自动通知
CIS_启用LTS服务并采集容器日志
CIS_确保设置密码最短使用时间
WAF一键拦截
HSS高危告警拦截通知
CIS_启用FunctionGraph函数日志功能
网络防线告警关联历史处置信息
策略管理-CFW取消阻断
策略管理-WAF阻断
CIS_确保管理员账号已启用MFA
创建情报
主机防线告警关联历史处置信息-威胁建模-登录类
CIS_备份数据删除建议开启二次确认
CIS_DDS开启加密通信
CIS_使用专属资源池
CIS_启用访问密钥保护
一键解封
关联内外部IP画像情报
CIS_MySQL禁止使用默认端口
WAF地址组绑定策略
CIS_使用IP白名单的方式接入notebook
Web登录爆破拦截
高危告警自动化安全封堵
中风险主机自动快照及策略配置
CIS_GaussDBWAL归档配置
策略管理_CFW
CIS_启用CTS的关键操作通知功能
CIS_DDS限制最大连接数
CIS_确保任何单个IAM用户仅有一个可用的活动访问密钥
CIS_PostgreSQL开启用户登录时日志记录功能
CIS_DDS设置秒级监控和告警规则
告警指标提取
高风险主机自动快照及策略配置
应用防线告警关联历史处置信息
同步CFW黑IP到情报
查询历史告警
CIS_GaussDB用户密码的安全策略
攻击链路分析告警通知
CIS_确保私有镜像开启了加密
CIS_开启Kerberos认证
主机防线告警关联历史处置信息
策略管理-IAM账号阻断
CIS_MySQL避免绑定EIP直接通过互联网访问
策略管理_WAF
策略管理-WAF取消阻断
CIS_GaussDB安全认证配置
策略管理_IAM
主机一键解封
CIS_GaussDB数据库连接的最大并发连接数配置
漏洞处理
HSS文件隔离查杀
自动更改告警名称
CIS_PostgreSQL开启备份功能设置合理的备份策略
CIS_PostgreSQL禁止使用默认端口
CIS_DDS开启数据库审计日志
CIS_确保不创建允许通配符管理权限的IAM策略
同步WAF黑IP到情报
重复告警自动关闭
实时自动关闭告警
CFW一键拦截
CIS_使用密钥对安全登录BMS
CIS_PostgreSQL开启数据库审计日志
CIS_启用CFW日志管理能力
CIS_确保不创建管理员权限的IAM用户
CIS_集群apiserver不要暴露到公网
CIS_集群节点不要暴露到公网
告警打ip标签
高危告警自动通知
Labeled Hosts Backup
CIS_MySQL数据库版本更新到最新版本
身份防线告警关联历史处置信息
主机防线告警关联历史处置信息-威胁建模-进程类
CFW一键解封
CIS_PostgreSQL配置客户端认证超时时间
CIS_启用HSS的容器安全版
低风险主机自动快照及策略配置
关键运维操作实时通知
主机防线告警关联历史处置信息-自动转告警
一键阻断
WAF删除空防护策略
统一买
CIS_启用VPC流量日志功能
策略管理-IAM账号取消阻断
CIS_开启日志文件完整性校验
CIS_配置 IAM 的网络访问控制策略
未关闭高风险告警统计自动通知
主机资产风险统计通知
CIS_开启日志文件加密存储
基线检查结果反馈
WAF一键解封
策略管理-CFW阻断
主机隔离-恶意软件
策略管理-安全组阻断
策略管理-安全组取消阻断
主机一键隔离
资产防护状态统计通知
CIS_DDS开启磁盘加密
CIS_DDS关闭脚本运行功能
插件
SecMasterWebTools
SMN
FunctionGraph
DDS
ELB
EPS
IMS
LTS
CFW
Kafka
SFS
SecMasterBiz
CSBS
VPC
HTTP
DBSS
HSS
ECS
BSS
IAM
ThreatBook
HBRD
EVS
SecMasterUtilities
RMS
GaussDB
EIP
OBS
WAF
CCE
SecMaster
VoiceCall
RDS
CTS
BMS
Organizations
MRS
ModelArts
APIE
- 数据集成初始化:数据集成用于接入其他云服务日志到安全云脑,安全云脑支持接入的云服务日志请参见支持接入的云服务日志,手动接入云服务日志操作指导请参见接入日志数据。新增工作空间时默认接入的云服务日志参见下表:
表3 默认接入的日志 安全分类
服务
服务类型
日志
日志描述
主机安全
企业主机安全(HSS)
租户侧云服务
hss-alarm
主机安全告警
hss-log
主机安全日志
应用安全
Web应用防火墙(WAF)
租户侧云服务
waf-attack
WAF攻击日志
waf-access
WAF访问日志
云审计服务(CTS)
租户侧云服务
cts-audit
云审计服务日志
网络安全
NIP
华为设备
nip-attack
IPS攻击日志
云防火墙(CFW)
租户侧云服务
cfw-block
访问控制日志
cfw-risk
攻击事件日志
- 模型初始化:安全云脑支持利用模型对管道中的日志数据进行扫描,如果检测到有满足模型中设置触发条件的内容时,系统将产生告警提示。模型是基于模板而创建的,因此,需利用已有模型模板创建模型。安全云脑根据常用场景内置了多种模型模板,新增工作空间时,默认系统自动创建的模型参见下表。查看模型请参见查看模型,管理模型请参见管理模型。
|
类别 |
初始化内容 |
|---|---|
|
模型 |
应用-分布式url遍历攻击 |
|
应用-源ip对域名进行爆破攻击 |
|
|
应用-源ip进行url遍历 |
|
|
应用-WAF关键攻击告警 |
|
|
主机-虚拟机横向连接 |
|
|
网络-高危端口对外暴露 |
|
|
网络-登录爆破告警 |
|
|
主机-异常网络连接 |
|
|
网络-源ip对多个目标进行攻击 |
|
|
网络-命令注入告警 |
|
|
网络-恶意外联 |
|
|
主机-rootkit事件 |
|
|
主机-反弹shell |
|
|
主机-异地登录 |
|
|
主机-异常shell |
|
|
主机-弱口令 |
|
|
主机-恶意程序 |
|
|
主机-暴力破解成功 |
|
|
主机-高危命令检测 |
|
|
网络-检测异常连接行为 |
|
|
网络-检测黑客工具攻击 |
|
|
网络-恶意软件 [蠕虫、病毒、木马] |
|
|
网络-僵尸网络 |
|
|
网络-后门 |
|
|
应用-疑似存在源码泄露风险 |
|
|
应用-疑似存在log4j2漏洞 |
|
|
运维-挂载网卡 |
|
|
运维-创建peering对等连接 |
|
|
运维-资源绑定EIP |
|
|
应用-疑似存在fastjson漏洞 |
|
|
应用-疑似存在 Java框架通用代码执行漏洞 |
|
|
应用-疑似存在Shiro漏洞 |
|
|
网络-CFW异常外联 |
|
|
网络-疑似存在DOS攻击 |
|
|
应用-登录爆破攻击 |
|
|
主机-异常文件属性修改 |
|
|
主机-恶意定时任务写入 |
|
|
主机-进程和端口信息隐匿 |
|
|
主机-异常文件权限修改 |
|
|
主机-关键文件路径变更 |
|
|
主机-异常外联行为 |
|
|
主机-文件/目录变更 |
|
|
主机-尝试暴力破解 |
|
|
主机-可疑进程异常访问文件 |
|
|
主机-容器异常启动 |
|
|
主机-非可信进程运行 |
|
|
主机-Crontab可疑任务 |
|
|
主机-用户账号变更 |
|
|
网络-CFW恶意外部攻击 |
工作空间相关操作
新增工作空间后,用户可以进行如下相关操作。具体功能是否支持取决于购买的安全云脑版本,不同版本支持的功能不同,具体请参见产品功能。
- 查看态势总览、查看安全大屏、安全报告、任务中心:查看工作空间的安全态势、创建安全报告以及处理待办,通过安全大屏一览安全态势。
- 资产管理:对资产进行统一管理。
- 风险预防:进行风险预防,包括基线检查、漏洞管理、应急漏洞公告、策略管理。
- 威胁管理:进行威胁管理,包括事件管理、告警管理、情报管理、智能建模、安全分析、安全舆情。
- 安全编排:进行安全编排,将企业和组织在安全运营过程中涉及的不同系统或者同一个系统不同组件的安全功能按照一定的逻辑关系组合到一起,以完成某个特定的安全运营过程和规程。旨在帮助企业和组织的安全团队快速并高效地响应网络威胁,实现安全事故的高效自动化响应处置。主要内容包括运营对象管理、剧本编排管理、页面布局管理、插件管理。
- 设置:设置日志采集或日志接入相关配置,实现日志采集或日志接入安全云脑。
