SecMasterBiz
功能说明
安全云脑系统内置插件,可进行告警及其他数据类数据进行预处理。
系统内置插件均已存在对应内置的操作连接。
查看SecMasterBiz插件详情和操作连接
- 登录安全云脑 SecMaster控制台。
- 单击管理控制台左上角的
,选择区域和项目。 - 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。 图1 进入目标工作空间管理页面
- 在左侧导航栏选择,进入插件管理页面。 图2 插件管理页面
- 在插件管理页面,选择华为云目录下的SecMasterBiz,默认进入插件“详情”页签。详情页签展示插件已关联操作连接的登录凭证信息。
- 单击SecMasterBiz插件的“操作连接”页签,进入操作连接页面,可查看SecMasterBiz插件已关联的操作连接信息。
- 若用户需编辑或删除操作连接,可参见编辑操作连接、删除操作连接。新增插件操作连接可参见新增操作连接,一个插件可存在多个操作连接。
插件执行函数modifyStatus说明
- 函数modifyStatus参数说明:介绍函数的输入参数和输出参数。
- 函数modifyStatus输出示例:给出函数的输出示例。
函数modifyStatus参数说明
函数功能:安全云脑内置告警标题摘要评论生成方法。
| 参数名称 | 参数类型 | 参数描述 | 是否必填 |
|---|---|---|---|
| title | String | 告警标题。 | 是 |
| mainTitle | String | 标题摘要,可通过函数processTitle参数说明获取。 | 是 |
| eventCount | String | 告警次数。 | 是 |
| 参数名称 | 参数类型 | 参数描述 |
|---|---|---|
| riskLevel | String | 根据告警的重复次数生成的风险等级。 |
| riskDesc | String | 根据告警的重复次数生成的风险描述。 |
| riskTag | String | 风险标签。 |
| riskSubject | string | 添加了次数标签的告警标题。 |
| handle_status | string | 建议处置的告警状态。 |
函数modifyStatus输出示例
{
"riskLevel": "low",
"riskDesc": "相同告警最近一个月重复出现已达2次(超过3次),告警回溯请参考标题标记为0-2次的处置评论",
"riskTag": "closed",
"riskSubject": "【2次】【主机】test",
"handle_status": "Closed"
} 插件执行函数getDataClassID说明
- 函数getDataClassID参数说明:介绍函数的输入参数和输出参数。
- 函数getDataClassID输出示例:给出函数的输出示例。
函数getDataClassID参数说明
函数功能:安全云脑空间数据类类型id生成。
| 参数名称 | 参数类型 | 参数描述 | 是否必填 |
|---|---|---|---|
| projectID | String | 华为云项目id,可在我的凭据查看。 | 是 |
| workspaceID | String | 安全云脑空间id,空间管理页面查看。 | 是 |
| itemID | String | 内置原始数据类id:
| 是 |
| 参数名称 | 参数类型 | 参数描述 |
|---|---|---|
| dataClassID | string | 计算所得的目标项目,目标空间,目标数据类的数据类id。 |
插件执行函数processTitle说明
- 函数processTitle参数说明:介绍函数的输入参数和输出参数。
- 函数processTitle输出示例:给出函数的输出示例。
函数processTitle参数说明
函数功能:根据内置正则获取告警标题摘要。
| 参数名称 | 参数类型 | 参数描述 | 是否必填 |
|---|---|---|---|
| title | String | 告警标题。 | 是 |
| 参数名称 | 参数类型 | 参数描述 |
|---|---|---|
| mainTitle | string | 正则截取后的标题摘要。 |
| allTitle | string | 特殊字符转义后的告警标题。 |
插件执行函数judging说明
- 函数judging参数说明:介绍函数的输入参数和输出参数。
- 函数judging输出示例:给出函数的输出示例。
函数judging参数说明
函数功能:根据输入正则查看告警标题或评论是否有命中内容。
| 参数名称 | 参数类型 | 参数描述 | 是否必填 |
|---|---|---|---|
| eventTille | String | 告警标题。 | 否 |
| eventComment | String | 告警评论。 | 否 |
| susSubjects | Array | 告警正则筛选列表。 | 否 |
| susComments | Array | 评论正则筛选列表。 | 否 |
| 参数名称 | 参数类型 | 参数描述 |
|---|---|---|
| isMatch | bool |
|
插件执行函数initMessageContent说明
- 函数initMessageContent参数说明:介绍函数的输入参数和输出参数。
- 函数initMessageContent输出示例:给出函数的输出示例。
函数initMessageContent参数说明
函数功能:根据输入初始化告警通知内容。
| 参数名称 | 参数类型 | 参数描述 | 是否必填 |
|---|---|---|---|
| eventTille | String | 告警标题。 | 否 |
| eventComment | String | 告警评论。 | 否 |
| eventSeverity | String | 告警威胁等级。 | 否 |
| judgingResult | Object | 告警标题,评论命中结果,可通过函数judging参数说明获取。 | 否 |
| eventID | String | 告警id。 | 否 |
| 参数名称 | 参数类型 | 参数描述 |
|---|---|---|
| notifiedType | bool |
|
| SMSContent | String | 短信初始化消息通知内容。 |
| mailContent | String | 邮件初始化消息通知内容。 |
| sip | String | 标题中正则匹配出的攻击源ip。 |
函数initMessageContent输出示例
{
"notifiedType": true,
"SMSContent": "【高风险漏洞(ID=11223344)】:test,建议尽快处理。\\n命中标题:NA\\n命中评论:NA",
"mailContent": "xxxx",
"sip": ""
} 插件执行函数createRMAssetData说明(已弃用)
- 函数createRMAssetData参数说明:介绍函数的输入参数和输出参数。
- 函数createRMAssetData输出示例:给出函数的输出示例。
函数createRMAssetData参数说明
函数功能:根据华为云ECS,VPC,EIP,RDS,WAF等华为云服务接口返回值生成安全云脑资产格式,已弃用。
| 参数名称 | 参数类型 | 参数描述 | 是否必填 |
|---|---|---|---|
| workspaceData | String | 安全云脑工作空间id。 | 是 |
| resourceData | Object | 云服务资产接口返回值。 | 是 |
| cloudserversData | Object | 安全云脑资产格式刷数据。 | 否 |
| 参数名称 | 参数类型 | 参数描述 |
|---|---|---|
| rmAssetData | Object | 安全云脑格式资产数据。 |
函数createRMAssetData输出示例
{
"is_build_in": true,
"create_time": "2026-04-07T09:36:20.779Z+0800",
"sys_key": "CloudServicevpcs936a4cbd-f22a-4dfe-9d7d-f9f973e2bf825de11c5b-3655-4ba1-a80c-937a3b4d190f",
"region_id": "cn-north-7",
"import_time": "2026-04-07T09:36:20.285Z+0800",
"dataclass_id": "63e4e911-2bc2-3a38-bc44-fae3c2fc4c79",
"type": "vpcs",
"tags": [],
"domain_id": "c54198aa774c48eabb0ed1f018f2f2de",
"workspace_id": "5de11c5b-3655-4ba1-a80c-937a3b4d190f",
"environment": {
"domain_id": "c54198aa774c48eabb0ed1f018f2f2de",
"domain_name": "scc_soc_xxx882",
"project_id": "8846a9979e464df3817056a9e8f70e53",
"region_id": "cn-north-7",
"project_name": "cn-north-7",
"ep_id": "0",
"ep_name": "default",
"vendor_type": "CloudService"
},
"protected_status": "CLOSE",
"update_time": "2026-04-07T09:36:20.779Z+0800",
"domain_name": "scc_soc_xxx882",
"is_deleted": false,
"trigger_flag": true,
"provider": "vpc",
"project_id": "8846a9979e464df3817056a9e8f70e53",
"name": "vpc-2cc2",
"resource_id": "936a4cbd-f22a-4dfe-9d7d-f9f973e2bf82",
"region_name": "cn-north-7",
"id": "CloudServicevpcs936a4cbd-f22a-4dfe-9d7d-f9f973e2bf825de11c5b-3655-4ba1-a80c-937a3b4d190f",
"properties": {
"vpc_vpcs": {
"enterprise_project_id": "0",
"updated_at": "2025-04-18T07:55:04Z",
"cloud_resources": [
{
"resource_type": "routetable",
"resource_count": 1
},
{
"resource_type": "virsubnet",
"resource_count": 1
}
],
"project_id": "8846a9979e464df3817056a9e8f70e53",
"name": "vpc-2cc2",
"extend_cidrs": [],
"created_at": "2025-04-18T07:55:04Z",
"description": "",
"cidr": "192.168.0.0/16",
"id": "936a4cbd-f22a-4dfe-9d7d-f9f973e2bf82",
"status": "ACTIVE",
"tags": []
}
}
} 插件执行函数setCondition说明
- 函数setCondition参数说明:介绍函数的输入参数和输出参数。
- 函数setCondition输出示例:给出函数的输出示例。
函数setCondition参数说明
函数功能:根据安全云脑数据及需要筛选字段生成查询条件语句。
| 参数名称 | 参数类型 | 参数描述 | 是否必填 |
|---|---|---|---|
| sourcedata | Object | 安全云脑格式数据,如告警,事件,资产,漏洞等。 | 是 |
| keys | Array | 字符串数组,设置对那些字段进行查询筛选,默认各筛选条件为且,示例: ["origin_id","!id","?>title","alert_type.id"],筛选与目前数据origin_id相同,id不同,包含当前title,alert_type.id相同的数据。 | 是 |
| 参数名称 | 参数类型 | 参数描述 |
|---|---|---|
| condition | Object | 安全云脑数据筛选查询语句。 |
函数setCondition输出示例
{
"logics": ["id", "and", "title", "and", "alert_type.id", "and", "severity"],
"conditions": [{
"data": ["id", "!=", "5770fcf6-885a-xxxx-833e-a1233dcbb9a9"],
"name": "id"
}, {
"data": ["title", "contains", "[Application] there is login burst attack, src_ip:xxxxx"],
"name": "title"
}, {
"data": ["alert_type.id", "=", ""],
"name": "alert_type.id"
}, {
"data": ["severity", "=", "High"],
"name": "severity"
}]
} 插件执行函数judgeIp说明
- 函数judgeIp参数说明:介绍函数的输入参数和输出参数。
- 函数judgeIp输出示例:给出函数的输出示例。
函数judgeIp参数说明
函数功能:判断ip是否为内网ip。
| 参数名称 | 参数类型 | 参数描述 | 是否必填 |
|---|---|---|---|
| ip | String | 需要被判断是否为内网ip的ip地址。 | 是 |
| 参数名称 | 参数类型 | 参数描述 |
|---|---|---|
| isMatch | Bool | 是否为内网ip的判断结果。 |
插件执行函数splitIpType说明
- 函数splitIpType参数说明:介绍函数的输入参数和输出参数。
- 函数splitIpType输出示例:给出函数的输出示例。
函数splitIpType参数说明
函数功能:根据输入ip列表按照ip类型分类。
| 参数名称 | 参数类型 | 参数描述 | 是否必填 |
|---|---|---|---|
| ip_list | Array | 需要分类的ip列表。 | 是 |
| 参数名称 | 参数类型 | 参数描述 |
|---|---|---|
| result | Array | 按照ipv4,ipv6分类输出ip列表。 |
插件执行函数changeWebshellAlertName说明
- 函数changeWebshellAlertName参数说明:介绍函数的输入参数和输出参数。
- 函数changeWebshellAlertName输出示例:给出函数的输出示例。
函数changeWebshellAlertName参数说明
函数功能:修改WebShell类型告警名称。
| 参数名称 | 参数类型 | 参数描述 | 是否必填 |
|---|---|---|---|
| alertData | Object | 需要分类的ip列表 | 是 |
| severity | String | 严重性等级,取值范围:Tips | Low | Medium | High | Fatal | 否 |
| createTime | String | 记录时间 | 否 |
| srcIp | String | 攻击源IP | 否 |
| sourceCountryCity | String | 攻击源IP所属国家 | 否 |
| destinationIp | String | 目的IP | 否 |
| destinationCountryCity | String | 目的IP所属国家 | 否 |
| 参数名称 | 参数类型 | 参数描述 |
|---|---|---|
| title | String | 修改后的告警名称 |
插件执行函数getCredential说明(已弃用)
- 函数getCredential参数说明:介绍函数的输入参数和输出参数。
- 函数getCredential输出示例:给出函数的输出示例。
函数getCredential参数说明
函数功能:通过IAM5认证调用目标接口,已弃用。
| 参数名称 | 参数类型 | 参数描述 | 是否必填 |
|---|---|---|---|
| key | String | IAM认证的目标接口标识,决定调用的那个接口 | 是 |
| method | String | 接口调用方法:
| 是 |
| headers | Object | 接口请求头,默认值: { "Content-type": "application/json;charset=UTF-8" } | 是 |
| body | Object | 接口调用body | 否 |
| region_id | String | 接口调用资源region | 是 |
| domain_id | String | 接口调用资源账号 | 是 |
| project_id | String | 接口调用资源项目id | 否 |
| policy_id | String | IAM接口策略名称 | 否 |
| agency_id | String | IAM接口委托id | 否 |
| child_id | String | 子账号id | 否 |
| agency_name | String | IAM接口委托名称 | 否 |
| 参数名称 | 参数类型 | 参数描述 |
|---|---|---|
| result | Object | 目标接口的IAM5认证返回值 |
函数getCredential输出示例
{
"code": 200,
"body": {
"page_info": {
"next_marker": null,
"current_count": 6
},
"accounts": [{
"urn": "organizations::94aee09081cxxxx00ec50:account:o-eveyxxxxxxt2rtrsic5d66p/0ca3xxxxxxx211884fd97",
"joined_at": "2025-05-08T02:33:55.582Z",
"join_method": "created",
"mobile_phone": null,
"name": "lixxxx3350_01",
"description": "",
"intl_number_prefix": null,
"id": "0cxxxxxxx7a2211884fd97",
"email": null,
"status": "pending_closure"
}, {
"urn": "organizations::94aeexxxxxxxx5200ec50:account:o-eveyj9jnbpkiaxxxxxx2rtrsic5d66p/44525d669xxxxx59c028",
"joined_at": "2025-12-25T14:10:36.337Z",
"join_method": "invited",
"mobile_phone": null,
"name": "scc_sa_lxxxxxx8",
"description": null,
"intl_number_prefix": null,
"id": "44525d66xxxxxxxx95413c659c028",
"email": null,
"status": "active"
}, {
"urn": "organizations::94aexxxxxx0ec50:account:o-eveyj9jnbpkiaxxxxxxrsic5d66p/52aba5xxxxxxa7e6644e",
"joined_at": "2026-02-28T03:11:53.727Z",
"join_method": "invited",
"mobile_phone": null,
"name": "scc_cnfw_xxxxxxxx0",
"description": null,
"intl_number_prefix": null,
"id": "52aba5xxxxxxx9d30efa7e6644e",
"email": null,
"status": "active"
}, {
"urn": "organizations::94aee09xxxxxx25200ec50:account:o-eveyj9xxxxxx4uxt2rtrsic5d66p/94aee09081c6xxxxxx5200ec50",
"joined_at": "2024-12-13T01:47:58.641Z",
"join_method": "invited",
"mobile_phone": null,
"name": "scc_sa_xxxxxxx8",
"description": null,
"intl_number_prefix": null,
"id": "94aee09081c649xxxxxxxx00ec50",
"email": null,
"status": "active"
}, {
"urn": "organizations::94axxxxxxx25200ec50:account:o-eveyj9xxxxxxxd66p/bfxxxxxxe3a2208",
"joined_at": "2025-05-06T11:13:18.549Z",
"join_method": "created",
"mobile_phone": null,
"name": "lixxxxxxx73350",
"description": "xxxxxx测试账号",
"intl_number_prefix": null,
"id": "bf2fefexxxxxxxa2208",
"email": null,
"status": "pending_closure"
}, {
"urn": "organizations::94aee09xxxxxxx200ec50:account:o-eveyj9jnbpxxxxxxxtrsic5d66p/c54198xxxxxxx018f2f2de",
"joined_at": "2025-08-01T07:27:14.306Z",
"join_method": "invited",
"mobile_phone": null,
"name": "scc_soc_xxxxxxxx",
"description": null,
"intl_number_prefix": null,
"id": "c54198aaxxxxxxxxxxe",
"email": null,
"status": "active"
}]
}
} 插件执行函数getProductId说明(已弃用)
- 函数getProductId参数说明:介绍函数的输入参数和输出参数。
- 函数getProductId输出示例:给出函数的输出示例。
函数getProductId参数说明
函数功能:通过IAM5认证调用目标接口获取ProductId,已弃用。
| 参数名称 | 参数类型 | 参数描述 | 是否必填 |
|---|---|---|---|
| region_id | String | 接口调用资源region | 是 |
| 参数名称 | 参数类型 | 参数描述 |
|---|---|---|
| result | String | 根据region获取的product_id |
插件执行函数obtainToken说明
- 函数obtainToken参数说明:介绍函数的输入参数和输出参数。
- 函数obtainToken输出示例:给出函数的输出示例。
函数obtainToken参数说明
函数功能:华为云平台侧服务token计算获取。
| 参数名称 | 参数类型 | 参数描述 | 是否必填 |
|---|---|---|---|
| sk | String | 鉴权token计算密钥 | 是 |
| user_name | String | 获取token的用户名 | 是 |
| user_role | String | 获取token的权限级别 | 是 |
| cookie_login_user | String | 登录用户身份标识 | 是 |
| attribute_groups | String | 属性群组 | 是 |
| audience | String | 被授权者,固定值:THIRD | 是 |
| subject | String | 访问服务权限验证方式 | 是 |
| issuer | String | 访问服务名称 | 是 |
| 参数名称 | 参数类型 | 参数描述 |
|---|---|---|
| result | String | 计算所得的华为云平台侧token |