文档首页/ 安全云脑 SecMaster/ 用户指南/ 剧本说明/ 关键运维操作实时通知
更新时间:2025-01-21 GMT+08:00
查看PDF
分享

关键运维操作实时通知

剧本说明

安全云脑提供的关键运维操作实时通知剧本,基于运维操作,对关键运维操作进行邮件实时通知。

“关键运维操作实时通知”剧本已匹配“关键运维操作实时通知”流程,该流程是通过消息通知服务,当有关键运维操作时,发送通知给运营人员。

图1 关键运维操作实时通知流程

前提条件

  • 已在安全云脑工作空间的设置 > 数据集成页面中接入云审计服务日志数据,详细操作请参见数据集成
    图2 接入CTS日志
  • 已启用对应的运维防线模型,详细操作请参见步骤二:启用告警模型
  • 安全云脑已获得“SMN FullAccess”权限,即拥有消息通知服务的所有权限。
    表1 权限说明

    权限

    权限描述

    授权主体

    权限用途

    SMN FullAccess

    拥有消息通知服务的所有权限

    SecMaster_Agency

    用于通知类剧本的执行

    可参考以下步骤查看安全云脑是否已获得“SMN FullAccess”权限。若未授权,请参考服务委托授权进行授权。

    1. 使用管理员账号登录管理控制台。
    2. 在页面左上角单击,选择管理与监管 > 统一身份认证服务,进入统一身份认证服务管理控制台。
    3. 在左侧导航栏选择“委托”,在委托界面,单击委托名称“SecMaster_Agency”,然后选择“授权记录”页面,可查看所有授权主体为SecMaster_Agency的授权记录。
    图3 查看委托授权记录

步骤一:创建并订阅主题

“关键运维操作实时通知”流程需要使用消息通知服务(Simple Message Notification,SMN)来创建安全云脑告警通知主题,并完成订阅即可接收到告警通知。
  1. 登录管理控制台。
  2. 在页面左上角单击,选择管理与监管 > 消息通知服务,进入消息通知服务管理页面。
  3. 创建主题。
    1. 在左侧导航栏,选择主题管理 > 主题,进入主题管理页面后,单击右上角“创建主题”
      图4 创建主题
    2. 在弹出的创建主题页面中,配置主题信息后,单击“确定”
      • 主题名称:设置为“SecMaster-Notification”
      • 显示名:建议设置为“安全云脑通知主题”
      • 其他参数保持缺省值即可。

      “主题名称”必须配置为“SecMaster-Notification”,否则会导致剧本执行不生效。

  4. 添加订阅。
    1. 在主题页面中,单击“SecMaster-Notification”主题所在行“操作”列的“添加订阅”
    2. 在弹出的添加订阅页面中,配置订阅信息后,单击“确定”
      • 协议:请选择“邮件”
      • 订阅终端:输入订阅终端邮箱地址,如username@example.com
  5. 确认订阅。

    添加订阅后,会在4中设置的邮箱地址中收到系统自动发送的确认订阅的邮件通知,单击邮件正文的“订阅确认”链接,会弹出订阅成功页面。

步骤二:启用告警模型

使用“关键运维操作实时通知”剧本前,需要先启用运维防线模型(运维-挂载网卡、运维-创建peering对等连接、运维-资源绑定EIP)。

  1. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  2. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
    图5 进入目标工作空间管理页面
  3. 在左侧导航栏选择威胁管理 > 智能建模,进入智能建模页面后,选择“模型模板”页签,进入模型模板页面。
    图6 模型模板页面
  4. 在模型模板列表中,单击目标模型模板所在行“操作”列的“详情”,右侧弹出模板详情页面。
  5. 在模板详情页面,单击右下角“创建模型”,进入新建告警模型页面。
  6. 在新增告警模型页面中,配置告警模型基础信息。
    • 管道名称:选择告警模型的执行管道。
      表2 选择执行管道

      告警模板

      需要选择的执行管道

      运维-挂载网卡

      sec-cts-audit

      运维-创建peering对等连接

      运维-资源绑定EIP
    • 其他参数建议保持默认值即可。
  7. 设置完成后,单击页面右下角“下一步”,进入设置模型逻辑页面。
  8. 设置模型逻辑,建议保持默认即可。
  9. 设置完成后,单击页面右下角“下一步”,进入模型详情预览页面。
  10. 预览确认无误后,单击页面右下角“确定”
  11. 重复4-10为其他模板创建告警模型。
  12. 在左侧导航栏选择威胁管理 > 智能建模,进入智能建模的可用模型页面。
    图7 可用模型页面
  13. 在模型列表中,勾选所有需要启动的模型,然后单击列表左上角的“启用”

    当模型状态更新为启用,则表示启动模型成功。

步骤三:配置并启用剧本

在安全云脑中,默认“关键运维操作实时通知”流程的初始版本(V1)也已启用,无需手动启用。默认“关键运维操作实时通知”剧本的初始版本(V1)也已激活,只需要启用就可以进行使用。
  1. 在左侧导航栏选择安全编排 > 剧本编排,默认进入剧本管理页面。
    图8 进入剧本管理页面
  2. 剧本管理页面中,单击“关键运维操作实时通知”剧本所在行的“操作”列的“启用”
  3. 在弹出的确认框中,选择初始剧本版本v1后,单击“确定”

实现效果

当有关键运维操作时会触发剧本,触发如下邮件通知,以对等连接操作通知举例:

图9 操作通知
父主题: 剧本说明

相关文档