更新时间:2024-12-28 GMT+08:00
分享

安全分析概述

安全云脑的安全分析功能是一种云原生安全信息和事件管理(SIEM)解决方案,支持采集多产品的安全日志及告警,并基于预定义和自定义的安全检测规则对多来源的告警及日志进行聚合分析,旨在帮助企业快速发现和响应安全事件,实现对云负载、各类应用及数据的安全保护。

支持接入的云产品和日志

安全云脑支持集成WAF、HSS、OBS等多种华为云云产品的日志数据。集成后,可以检索并分析所有收集到的日志,且默认存储7天。

具体支持接入的云服务日志请参见支持接入的云服务日志

约束与限制

  • 单次查询分析最多支持返回500条结果。
  • 一个数据管道内最多创建50个快速查询,即最多可以将50个查询分析条件保存为快速查询。
  • 单次查询结果大于50000条时,准确率可能会下降。请通过缩短查询的时间范围、添加查询限制条件等方法减少查询结果的数量。
  • 使用聚合查询(例如group by语句)聚合多个字段时,第二个字段默认分桶数量为10,如果超出会有数据丢失的情况,将导致查询结果不准确。

使用流程

表1 使用流程

子流程

说明

新增工作空间

新增工作空间,用于资源隔离和控制。

数据集成

配置需要接入的数据源。

安全云脑支持集成存储、管理与监管、安全等多种华为云云产品的日志数据。集成后,可以检索并分析所有收集到的日志。

(可选)新增数据空间

创建用于存储收集日志数据的数据空间。

通过控制台接入的数据,系统将创建默认数据空间,无需再进行创建。

(可选)创建管道

创建用于日志数据的采集、存储和查询的数据管道。

通过控制台接入的数据,系统将创建默认数据管道,无需再进行创建。

配置索引

配置索引条件,缩小查询范围。

接入的云服务日志,默认已为部分保留字段配置索引,具体请参见日志字段含义

查询与分析

对接入的数据进行查询、分析。

下载日志

支持将原始日志或查询分析后的日志下载到本地。

查看图表统计结果

当您执行了查询分析语句后,安全云脑支持通过图表统计的形式对查询和分析的结果进行可视化展示。

目前支持表格、折线图、柱状图和饼图方式进行展示。

相关文档