更新时间:2026-06-29 GMT+08:00
分享

SecMasterBiz

功能说明

安全云脑系统内置插件,可进行告警及其他数据类数据进行预处理。

系统内置插件均已存在对应内置的操作连接。

查看SecMasterBiz插件详情和操作连接

  1. 登录安全云脑 SecMaster控制台
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  4. 在左侧导航栏选择安全编排 > 插件管理,进入插件管理页面。

    图2 插件管理页面

  5. 在插件管理页面,选择华为云目录下的SecMasterBiz,默认进入插件“详情”页签。详情页签展示插件已关联操作连接的登录凭证信息。
  6. 单击SecMasterBiz插件的“操作连接”页签,进入操作连接页面,可查看SecMasterBiz插件已关联的操作连接信息。
  7. 若用户需编辑或删除操作连接,可参见编辑操作连接删除操作连接。新增插件操作连接可参见新增操作连接,一个插件可存在多个操作连接。

插件执行函数modifyStatus说明

函数modifyStatus参数说明

函数功能:安全云脑内置告警标题摘要评论生成方法。

表1 函数modifyStatus入参说明

参数名称

参数类型

参数描述

是否必填

title

String

告警标题。

mainTitle

String

标题摘要,可通过函数processTitle参数说明获取。

eventCount

String

告警次数。

表2 函数modifyStatus出参说明

参数名称

参数类型

参数描述

riskLevel

String

根据告警的重复次数生成的风险等级。

riskDesc

String

根据告警的重复次数生成的风险描述。

riskTag

String

风险标签。

riskSubject

string

添加了次数标签的告警标题。

handle_status

string

建议处置的告警状态。

函数modifyStatus输出示例

{
	"riskLevel": "low",
	"riskDesc": "相同告警最近一个月重复出现已达2次(超过3次),告警回溯请参考标题标记为0-2次的处置评论",
	"riskTag": "closed",
	"riskSubject": "【2次】【主机】test",
	"handle_status": "Closed"
}

插件执行函数getDataClassID说明

函数getDataClassID参数说明

函数功能:安全云脑空间数据类类型id生成。

表3 函数getDataClassID入参说明

参数名称

参数类型

参数描述

是否必填

projectID

String

华为云项目id,可在我的凭据查看。

workspaceID

String

安全云脑空间id,空间管理页面查看。

itemID

String

内置原始数据类id:

  • 告警(Alert):369def57-75c3-4cc4-988c-22263ece4b17
  • 事件(Incident):369def57-75c3-4cc4-988c-22263ece4b18
  • 通用上下文(CommonContext):369def57-75c3-4cc4-988c-22263ece4b19
  • 情报(Indicator):369def57-75c3-4cc4-988c-22263ece4b30
  • 证据 (Evidence):369def57-75c3-4cc4-988c-22263ece4b31
  • 漏洞(Vulnerability):369def57-75c3-4cc4-988c-22263ece4b32
  • 资产(Resource):369def57-75c3-4cc4-988c-22263ece4b33
  • 策略(Policy):369def57-75c3-4cc4-988c-22263ece4b34
  • 策略记录(PolicyRecord):369def57-75c3-4cc4-988c-22263ece4b35
  • 基线检查(Baseline):79674a18-3016-4927-9bea-88fd157fb02b

表4 函数getDataClassID出参说明

参数名称

参数类型

参数描述

dataClassID

string

计算所得的目标项目,目标空间,目标数据类的数据类id。

函数getDataClassID输出示例

202cb962-ac59-375b-964b-07152d234b70

插件执行函数processTitle说明

函数processTitle参数说明

函数功能:根据内置正则获取告警标题摘要。

表5 函数processTitle入参说明

参数名称

参数类型

参数描述

是否必填

title

String

告警标题。

表6 函数processTitle出参说明

参数名称

参数类型

参数描述

mainTitle

string

正则截取后的标题摘要。

allTitle

string

特殊字符转义后的告警标题。

函数processTitle输出示例

mainTitle:测试告警
allTitle:【主机】测试告警

插件执行函数judging说明

函数judging参数说明

函数功能:根据输入正则查看告警标题或评论是否有命中内容。

表7 函数judging入参说明

参数名称

参数类型

参数描述

是否必填

eventTille

String

告警标题。

eventComment

String

告警评论。

susSubjects

Array

告警正则筛选列表。

susComments

Array

评论正则筛选列表。

表8 函数judging出参说明

参数名称

参数类型

参数描述

isMatch

bool

  • true:告警标题或评论进行正则匹配成功。
  • false: 告警标题或评论进行正则匹配失败。

函数judging输出示例

{"isMatch":false}

插件执行函数initMessageContent说明

函数initMessageContent参数说明

函数功能:根据输入初始化告警通知内容。

表9 函数initMessageContent入参说明

参数名称

参数类型

参数描述

是否必填

eventTille

String

告警标题。

eventComment

String

告警评论。

eventSeverity

String

告警威胁等级。

judgingResult

Object

告警标题,评论命中结果,可通过函数judging参数说明获取。

eventID

String

告警id。

表10 函数initMessageContent出参说明

参数名称

参数类型

参数描述

notifiedType

bool

  • true:需要发送通知。
  • false: 不需要发送通知。

SMSContent

String

短信初始化消息通知内容。

mailContent

String

邮件初始化消息通知内容。

sip

String

标题中正则匹配出的攻击源ip。

函数initMessageContent输出示例

{
	"notifiedType": true,
	"SMSContent": "【高风险漏洞(ID=11223344)】:test,建议尽快处理。\\n命中标题:NA\\n命中评论:NA",
	"mailContent": "xxxx",
	"sip": ""
}

插件执行函数createRMAssetData说明(已弃用)

函数createRMAssetData参数说明

函数功能:根据华为云ECS,VPC,EIP,RDS,WAF等华为云服务接口返回值生成安全云脑资产格式,已弃用。

表11 函数createRMAssetData入参说明

参数名称

参数类型

参数描述

是否必填

workspaceData

String

安全云脑工作空间id。

resourceData

Object

云服务资产接口返回值。

cloudserversData

Object

安全云脑资产格式刷数据。

表12 函数createRMAssetData出参说明

参数名称

参数类型

参数描述

rmAssetData

Object

安全云脑格式资产数据。

函数createRMAssetData输出示例

{
    "is_build_in": true,
    "create_time": "2026-04-07T09:36:20.779Z+0800",
    "sys_key": "CloudServicevpcs936a4cbd-f22a-4dfe-9d7d-f9f973e2bf825de11c5b-3655-4ba1-a80c-937a3b4d190f",
    "region_id": "cn-north-7",
    "import_time": "2026-04-07T09:36:20.285Z+0800",
    "dataclass_id": "63e4e911-2bc2-3a38-bc44-fae3c2fc4c79",
    "type": "vpcs",
    "tags": [],
    "domain_id": "c54198aa774c48eabb0ed1f018f2f2de",
    "workspace_id": "5de11c5b-3655-4ba1-a80c-937a3b4d190f",
    "environment": {
        "domain_id": "c54198aa774c48eabb0ed1f018f2f2de",
        "domain_name": "scc_soc_xxx882",
        "project_id": "8846a9979e464df3817056a9e8f70e53",
        "region_id": "cn-north-7",
        "project_name": "cn-north-7",
        "ep_id": "0",
        "ep_name": "default",
        "vendor_type": "CloudService"
    },
    "protected_status": "CLOSE",
    "update_time": "2026-04-07T09:36:20.779Z+0800",
    "domain_name": "scc_soc_xxx882",
    "is_deleted": false,
    "trigger_flag": true,
    "provider": "vpc",
    "project_id": "8846a9979e464df3817056a9e8f70e53",
    "name": "vpc-2cc2",
    "resource_id": "936a4cbd-f22a-4dfe-9d7d-f9f973e2bf82",
    "region_name": "cn-north-7",
    "id": "CloudServicevpcs936a4cbd-f22a-4dfe-9d7d-f9f973e2bf825de11c5b-3655-4ba1-a80c-937a3b4d190f",
    "properties": {
        "vpc_vpcs": {
            "enterprise_project_id": "0",
            "updated_at": "2025-04-18T07:55:04Z",
            "cloud_resources": [
                {
                    "resource_type": "routetable",
                    "resource_count": 1
                },
                {
                    "resource_type": "virsubnet",
                    "resource_count": 1
                }
            ],
            "project_id": "8846a9979e464df3817056a9e8f70e53",
            "name": "vpc-2cc2",
            "extend_cidrs": [],
            "created_at": "2025-04-18T07:55:04Z",
            "description": "",
            "cidr": "192.168.0.0/16",
            "id": "936a4cbd-f22a-4dfe-9d7d-f9f973e2bf82",
            "status": "ACTIVE",
            "tags": []
        }
    }
}

插件执行函数setCondition说明

函数setCondition参数说明

函数功能:根据安全云脑数据及需要筛选字段生成查询条件语句。

表13 函数setCondition入参说明

参数名称

参数类型

参数描述

是否必填

sourcedata

Object

安全云脑格式数据,如告警,事件,资产,漏洞等。

keys

Array

字符串数组,设置对那些字段进行查询筛选,默认各筛选条件为且,示例:

["origin_id","!id","?>title","alert_type.id"],筛选与目前数据origin_id相同,id不同,包含当前title,alert_type.id相同的数据。

表14 函数setCondition出参说明

参数名称

参数类型

参数描述

condition

Object

安全云脑数据筛选查询语句。

函数setCondition输出示例

{
	"logics": ["id", "and", "title", "and", "alert_type.id", "and", "severity"],
	"conditions": [{
		"data": ["id", "!=", "5770fcf6-885a-xxxx-833e-a1233dcbb9a9"],
		"name": "id"
	}, {
		"data": ["title", "contains", "[Application] there is login burst attack, src_ip:xxxxx"],
		"name": "title"
	}, {
		"data": ["alert_type.id", "=", ""],
		"name": "alert_type.id"
	}, {
		"data": ["severity", "=", "High"],
		"name": "severity"
	}]
}

插件执行函数judgeIp说明

函数judgeIp参数说明

函数功能:判断ip是否为内网ip。

表15 函数judgeIp入参说明

参数名称

参数类型

参数描述

是否必填

ip

String

需要被判断是否为内网ip的ip地址。

表16 函数judgeIp出参说明

参数名称

参数类型

参数描述

isMatch

Bool

是否为内网ip的判断结果。

函数judgeIp输出示例

{"isMatch":false}

插件执行函数splitIpType说明

函数splitIpType参数说明

函数功能:根据输入ip列表按照ip类型分类。

表17 函数splitIpType入参说明

参数名称

参数类型

参数描述

是否必填

ip_list

Array

需要分类的ip列表。

表18 函数splitIpType出参说明

参数名称

参数类型

参数描述

result

Array

按照ipv4,ipv6分类输出ip列表。

函数splitIpType输出示例

[{
	"IPv4": ["8.*.*.8", "9.*.*.9"]
}, {
	"IPv6": []
}]

插件执行函数changeWebshellAlertName说明

函数changeWebshellAlertName参数说明

函数功能:修改WebShell类型告警名称。

表19 函数changeWebshellAlertName入参说明

参数名称

参数类型

参数描述

是否必填

alertData

Object

需要分类的ip列表

severity

String

严重性等级,取值范围:Tips | Low | Medium | High | Fatal

createTime

String

记录时间

srcIp

String

攻击源IP

sourceCountryCity

String

攻击源IP所属国家

destinationIp

String

目的IP

destinationCountryCity

String

目的IP所属国家

表20 函数changeWebshellAlertName出参说明

参数名称

参数类型

参数描述

title

String

修改后的告警名称

函数changeWebshellAlertName输出示例

{
  "title": "Hackers launched a cyber-attack on tenant service!"
}

插件执行函数getCredential说明(已弃用)

函数getCredential参数说明

函数功能:通过IAM5认证调用目标接口,已弃用。

表21 函数getCredential入参说明

参数名称

参数类型

参数描述

是否必填

key

String

IAM认证的目标接口标识,决定调用的那个接口

method

String

接口调用方法:

  • GET
  • POST
  • PUT
  • DELETE

headers

Object

接口请求头,默认值:

{

"Content-type": "application/json;charset=UTF-8"

}

body

Object

接口调用body

region_id

String

接口调用资源region

domain_id

String

接口调用资源账号

project_id

String

接口调用资源项目id

policy_id

String

IAM接口策略名称

agency_id

String

IAM接口委托id

child_id

String

子账号id

agency_name

String

IAM接口委托名称

表22 函数getCredential出参说明

参数名称

参数类型

参数描述

result

Object

目标接口的IAM5认证返回值

函数getCredential输出示例

{
	"code": 200,
	"body": {
		"page_info": {
			"next_marker": null,
			"current_count": 6
		},
		"accounts": [{
			"urn": "organizations::94aee09081cxxxx00ec50:account:o-eveyxxxxxxt2rtrsic5d66p/0ca3xxxxxxx211884fd97",
			"joined_at": "2025-05-08T02:33:55.582Z",
			"join_method": "created",
			"mobile_phone": null,
			"name": "lixxxx3350_01",
			"description": "",
			"intl_number_prefix": null,
			"id": "0cxxxxxxx7a2211884fd97",
			"email": null,
			"status": "pending_closure"
		}, {
			"urn": "organizations::94aeexxxxxxxx5200ec50:account:o-eveyj9jnbpkiaxxxxxx2rtrsic5d66p/44525d669xxxxx59c028",
			"joined_at": "2025-12-25T14:10:36.337Z",
			"join_method": "invited",
			"mobile_phone": null,
			"name": "scc_sa_lxxxxxx8",
			"description": null,
			"intl_number_prefix": null,
			"id": "44525d66xxxxxxxx95413c659c028",
			"email": null,
			"status": "active"
		}, {
			"urn": "organizations::94aexxxxxx0ec50:account:o-eveyj9jnbpkiaxxxxxxrsic5d66p/52aba5xxxxxxa7e6644e",
			"joined_at": "2026-02-28T03:11:53.727Z",
			"join_method": "invited",
			"mobile_phone": null,
			"name": "scc_cnfw_xxxxxxxx0",
			"description": null,
			"intl_number_prefix": null,
			"id": "52aba5xxxxxxx9d30efa7e6644e",
			"email": null,
			"status": "active"
		}, {
			"urn": "organizations::94aee09xxxxxx25200ec50:account:o-eveyj9xxxxxx4uxt2rtrsic5d66p/94aee09081c6xxxxxx5200ec50",
			"joined_at": "2024-12-13T01:47:58.641Z",
			"join_method": "invited",
			"mobile_phone": null,
			"name": "scc_sa_xxxxxxx8",
			"description": null,
			"intl_number_prefix": null,
			"id": "94aee09081c649xxxxxxxx00ec50",
			"email": null,
			"status": "active"
		}, {
			"urn": "organizations::94axxxxxxx25200ec50:account:o-eveyj9xxxxxxxd66p/bfxxxxxxe3a2208",
			"joined_at": "2025-05-06T11:13:18.549Z",
			"join_method": "created",
			"mobile_phone": null,
			"name": "lixxxxxxx73350",
			"description": "xxxxxx测试账号",
			"intl_number_prefix": null,
			"id": "bf2fefexxxxxxxa2208",
			"email": null,
			"status": "pending_closure"
		}, {
			"urn": "organizations::94aee09xxxxxxx200ec50:account:o-eveyj9jnbpxxxxxxxtrsic5d66p/c54198xxxxxxx018f2f2de",
			"joined_at": "2025-08-01T07:27:14.306Z",
			"join_method": "invited",
			"mobile_phone": null,
			"name": "scc_soc_xxxxxxxx",
			"description": null,
			"intl_number_prefix": null,
			"id": "c54198aaxxxxxxxxxxe",
			"email": null,
			"status": "active"
		}]
	}
}

插件执行函数getProductId说明(已弃用)

函数getProductId参数说明

函数功能:通过IAM5认证调用目标接口获取ProductId,已弃用。

表23 函数getProductId入参说明

参数名称

参数类型

参数描述

是否必填

region_id

String

接口调用资源region

表24 函数getProductId出参说明

参数名称

参数类型

参数描述

result

String

根据region获取的product_id

函数getProductId输出示例

result: 000000000

插件执行函数obtainToken说明

函数obtainToken参数说明

函数功能:华为云平台侧服务token计算获取。

表25 函数obtainToken入参说明

参数名称

参数类型

参数描述

是否必填

sk

String

鉴权token计算密钥

user_name

String

获取token的用户名

user_role

String

获取token的权限级别

cookie_login_user

String

登录用户身份标识

attribute_groups

String

属性群组

audience

String

被授权者,固定值:THIRD

subject

String

访问服务权限验证方式

issuer

String

访问服务名称

表26 函数obtainToken出参说明

参数名称

参数类型

参数描述

result

String

计算所得的华为云平台侧token

函数obtainToken输出示例

result:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiAiQ1NQIEp3dCB0b2tlbiIsICJpc3MiOiAiQ1NQIiwgImlhdCI6IDE3NzU2MTcxOTMsICJleHAiOiAxNzc1NjMxNTkzLCAiV******CJ4aF90ZXN0IiwgIlJPTEUiOiAiYWRtaW4ifQ.S******lAV5ubjis5N75Oxsq8MStBgXv0J0******

相关文档