3.3.1.1 概述

仪表盘页面可查看安全评分、安全产品开启状态及覆盖率、待处理的安全事件（包括告警、漏洞、基线等）和安全事件处理趋势。

3.3.1.2 界面介绍和操作

进入仪表盘界面

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面，默认展示仪表盘页面。

(3) 查看安全评分、安全产品开启状态及覆盖率、安全状态、处置发展趋势。

(4) 选择租户。

安全评分

根据当天产生的告警计算安全评分并给出风险等级以及风险建议说明。

安全产品开启状态及覆盖率

展示安全产品云防火墙-CFW、web 应用防火墙-WAF、漏洞扫描-VSS、云堡垒机-CBH、数据库审计-DAS、可信云服务器-TCS、云主机安全-CHS、云安全中心-SOC 的开启状态以及覆盖率。

• 安全产品显示为灰色时，表示未开启；显示为蓝色时，表示已开启。

• 鼠标悬停在已开启的安全产品上，展示安全产品的覆盖率。

安全状态

• 告警事件：展示今日待处理的安全告警数量、安全事故数量。

单击“安全状态-告警事件”区域左上角的等级设置图标 ，在弹出的对话框中可对事件等级（严重、可疑、提醒）进行过滤。

单击数字，跳转至“威胁检测”页面并过滤筛选展示。

• 漏洞：展示今日待处理的集群漏洞、服务器漏洞、容器漏洞数量。

单击“安全状态-漏洞”区域左上角的等级设置图标 ，在弹出的对话框中可对漏洞等级（紧急、高危、中危）进行过滤；单击数字，跳转至漏洞管理页面并过滤筛选展示。

• 基线：展示今日待处理的基线（容器基线、服务器基线、集群基线、云产品基线）。

单击数字，跳转至相应页面并过滤筛选展示。

处置发展趋势

展示近 7 天或近 30 天的告警事件、漏洞和基线总量以及已处理数量。

单击右上角的选择框，在下拉选项中选择要展示的告警事件/漏洞/基线；选择统计的时间范围；选择总量”、“已处理”；页面根据设定结果刷新展示。

3.3.2.1 概述

云安全中心安全大屏通过安全指标统计、3D 可视化技术、安全事件发展趋势、攻击、实时入侵监测、网络流量监控功能展示全网安全态势，为用户在日常安全运营、重大活动保障期间提供统一可视化监控平台。

3.3.2.2 查看安全态势总览大屏

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“安全可视 > 安全大屏”，进入安全大屏页面。

(4) 单击安全态势总览大屏，查看安全态势总览。

(5) 自定义统计时间。（自定义统计时间为全局参数，选择时间范围后，安全态势总览页面根据设定的时间刷新展示）

单击左上角的时间设定框，在下拉选项中选择此页面的数据统计时间，单击“确定”后，页面自动刷新数据。

 安全评分

通过查看安全评分了解全局业务系统整体安全态势。

 攻击态势分析

通过攻击双方详细的统计数据，进一步了解攻击双方态势，包括被攻击资产、攻击类型、攻击区域。

 安全事件发展态势

提供安全事件发展趋势图，帮助用户了解告警事件、漏洞、合规基线等的发展态势，进而优化防御策略；通过单击“告警”、“漏洞”、“基线”选择要展示的安全事件趋势；鼠标悬停在趋势图上，可查看具体时间内的安全事件统计信息。

 实时入侵监控

为了更形象的表达实时发生的攻击状态，安全大屏通过 3D 攻击态势图方式呈现。

 网络流量监控

您可在此处查看自指定的结束时间起往前 24 小时内的网络流量趋势；通过单击“上行流量”、“下行流量”选择要展示的流量变化趋势；鼠标悬停在流量曲线上，可查看具体时间内的流量大小。

3.3.2.3 查看安全运营大屏

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“安全可视 > 安全大屏”，进入安全大屏页面。

(4) 单击安全运营大屏，查看安全运营大屏。

(5) 自定义统计时间。（自定义统计时间为全局参数，选择时间范围后，安全运营大屏页面根据设定的时间刷新展示）

单击左上角的时间设定框，在下拉选项中选择此页面的数据统计时间，单击“确定”后，页面自动刷新数据。

(6) 查看大屏展示信息

 实时攻击监控大图

为了更形象的表达实时发生的攻击状态，安全大屏通过 3D 攻击示意图方式呈现。

 确认风险处置率

确认风险处置率=告警状态为已处理的告警数÷告警总数

 平均发现时间

指定时间内，所有告警落库时间与告警真实时间的差值的平均值。

 平均响应时间

指定时间内，告警状态为已处理的告警的最终处置时间减去告警最新发现时间的平均值。

 平均止血时间

统计的是状态为已处理（已防御）的告警被处置的时间减去告警最新发现的时间的平均值。

 自动化处置率

统计的是告警从发生到系统自动处置的时间的平均值。

 风险处置率部门

展示风险处置率为前 5 的资产组。

 新增攻击源统计

统计指定时间范围内的攻击 IP 数量和已封禁 IP 数量。

 攻击源处置监控

统计指定时间范围内，SOC 对攻击源的处理信息。

 安全事件

统计指定时间范围内的 Top 5 安全事件，发生的安全事件信息，包括类型和数量。

 工单状态统计

统计自定义时间范围内的工单处理信息。

3.3.2.4 自定义大屏

系统支持自定义安全大屏。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心控制台页面。

(3) 单击左侧导航栏的“安全可视 > 安全大屏”，进入安全大屏页面。

(4) 单击右上角的“自定义大屏”，弹出“自定义大屏”对话框。

(5) 选择大屏类型；单击“导入 logo”，在弹出的对话框选择 logo，确定后设置成功。

自定义成功后，您可在“安全大屏”页面，单击大屏进入到详情页面查看自定义后的大屏。

3.3.3.1 概述

云安全中心安全报表，可以针对一定时间区间安全数据进行报表分类统计输出，主要功能包括创建报表、报表通知、报表下载。

3.3.3.2 创建安全报表

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“安全可视 > 安全报表”，进入安全报表页面。

(4) 单击“创建报表”，弹出创建报表窗口。

(5) 根据下表中的参数说明配置参数信息后，单击“保存”。

3.3.3.3 下载安全报表

• 待安全报表生成后，可到“安全可视 > 安全报表”页面，单击“下载列表”下载对应安全报表。

• 安全报表下载完成后，单击“查看”可看到报表中统计的相关数据信息。

资产中心页面从资产的类型、防护状态、风险状态等维度分别展示安全资产的对应信息。其功能包含：

• 资产同步：通过 API 方式同步物理服务器、租户云服务器 ECS 和容器的资产信息，包括主机唯一标识、IP 地址、操作系统、主机名称、弹性公网 IP 等。

• 资产查询展示：查询展示包括租户云服务器、物理服务器和容器相关所属租户名称、资产名称、资产 ID、资产状态、IP 地址、操作系统、保护状态、风险状态。

• 资产分组和换组：通过创建分组、更换组别，将接入的资产进行分组管理。

资产同步功能默认 2 小时自动同步一次，如用户想尽快得到最新结果，可手动单击“同步资产”。

(1) 登录 CECSTACK 统一管理平台。

(2) 在统一管理平台页面单击“云安全中心”图标 ，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“资产中心 > 资产详情”。

(4) 单击“同步资产”，同步物理服务器、租户云服务器 ECS 和容器的在线状态、防护状态等信息。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“资产中心 > 资产详情”，进入资产中心页面。

(4) 选择租户。

(5) 选择资产类型（服务器或容器），选择资产分组，选择查询类型，输入相关值，单击查询图标即可查询目标资产。

任务简介

您可以通过创建分组，将接入的资产进行分组管理；并通过“换组”，为自定义分组添加资产。

操作步骤

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 进入“资产中心 > 资产详情 > 服务器”页面。

(4) 选择租户。

(5) 单击“新建分组”，在弹出的对话框中设置组名称、描述等信息后，单击“确定”，创建成功。

创建成功的分组显示在“资产分组”列表中。

(6) （可选）创建子分组。

选择自定义的分组，单击 ，在下拉选项中选择“添加子分组”，弹出“新建分组”对话框，设置组名称、描述等信息后，单击“确定”，创建成功。

创建成功的分组显示在“资产分组”列表中。

(7) 为自定义分组添加资产。

选择目标资产，单击右侧的“换组”，在弹出的“换组”对话框中，选择已有的自定义分组，即可将该资产添加到分组中。

(8) 删除或编辑自定义分组。

选择目标分组，单击，在下拉选项中选择“删除分组”或“编辑分组”，在弹出的对话框中确认即可。

任务简介

通过“换版本”操作，升级 Agent。

前提条件

您需要登录 CECSTACK 统一管理平台，在云工作负载安全 CWP 上传 Agent 升级包。操作如下：

(1) 登录 CECSTACK 统一管理平台。

(2) 在统一管理平台页面单击“云工作负载安全”图标，进入云工作负载安全 CWP 控制台页面。

(3) 进入“设置 > 系统升级”页面，在 Agent 版本管理区域，单击“上传新版本”。

(4) 在弹出的“防护设置”对话框，单击“上传”导入 Agent 升级包，Agent 升级包导入成功后，单击“确定”，上传完成。

限制与指导

Agent 升级只对 ECS 有效，platformadmin 账户下无法升级，您可以切换到含 ECS 的租户账号，再进行升级。

Agent 升级

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“资产中心 > 资产详情”，进入资产中心页面。

(4) 选择要升级的 Agent，单击操作列的“换版本”，弹出“切换客户端版本”对话框。

(5) 选择要升级的目标版本，单击“保存”，等待 Agent 升级。

查看升级状态

(1) “换版本”显示为灰色不可操作时，表示正在升级中；“换版本”显示为蓝色可操作时，表示升级完成。

(2) 单击右上角的 ，勾选“版本”，资产详情列表页面显示版本状态列。

(3) 单击版本状态的，查看升级记录；可在升级结果列查看是否升级成功。

如果升级失败，系统自动回退到最近一个可用版本；如果升级成功，Agent 自动重启。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“资产中心 > 资产详情”，进入资产中心页面。

(4) 选择租户。

(5) 单击资产列表中的“存在风险”，自动跳转至“威胁检测”页面，并可对其告警处理。

场景描述

启动信任链是在设备启动过程中的阶段可基于可信根进行可信验证。启动过程包括整个启动链条的逐级度量，构成一个完整的信任链，保障启动以后进入一个可信的计算环境。

各环节度量模块根据度量策略的配置由 TPCM 完整对度量对象数据获取和对系统的控制，由 TCM完成对被度量数据的密码运算生成日志。启动阶段包括 BIOS、OSLoader、OSkernel 等。

前提条件

已同步资产。

操作步骤

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“资产中心 > 资产详情”，进入资产中心页面。

(4) 进入存在风险资产分组。

(5) 单击资产目标 ID，进入查看可信资产启动过程页面，即可查看启动信任链。

 如实际测量值与标准值不同，状态将显示“异常”。

 单击状态列的“异常”可跳转到威胁检测中，查看启动信任链异常的告警信息并通过处理建议进行相关处理。

云安全中心支持应用白名单的功能，防止您服务器上有未经过认证或授权的程序运行，为您提供可信的资产运行环境。

3.5.2.1 概述

您可将常见的、可信任的应用进程添加到可信应用白名单中，当应用程序尝试执行时，系统自动检查可信应用白名单，如果发现在其中就允许运行。

您需要先创建自学习策略，在学习完成后对进程加白，并将可信应用白名单下发到系统中，系统便可根据可信应用白名单，禁止非法程序运行。

3.5.2.2 可信应用白名单业务流程

(1) 开通 TCS 服务。

(2) 同步资产。

(3) 新建自学习策略。

(4) 开始学习。

(5) 自学习完成。

(6) 进程加白（添加可信应用白名单）。

(7) 下发可信应用白名单。

(8) （可选）重新学习。

3.5.2.3 新建自学习策略

任务简介

您可以创建针对单一资产或多个资产的自学习策略，策略创建成功后，系统下发学习任务，并根据学习策略开始学习。

前提条件已开通 TCS 服务。

在 SOC 的“资产中心 > 资产详情”页面已同步资产。

操作步骤

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“策略中心 > 可信应用白名单”，进入可信应用白名单页面。

(4) 单击“策略管理”页签。

(5) 单击“新建策略”，弹出新建策略页面。

(6) 根据下表中的参数说明配置参数信息后，单击“确定”。

3.5.2.4 开始自学习

查看自学习策略

新建自学习策略成功后，您可以在“生效工作负载”页面、“策略管理”页面查看创建的自学习策略。

“生效工作负载”页面展示针对单一资产的自学习策略；“策略管理”页面展示针对单一资产或多个

资产的自学习策略。

查看学习状态

进入“策略中心 > 可信应用白名单 > 策略管理”页面，您可查看各学习策略对应的学习状态：

• 正在学习

• 学习完成

在学习完成后，您可以查看学习到的进程，并对可疑进程加白。

操作生效资产上的相关进程

您可以根据“策略中心 > 可信应用白名单 > 生效工作负载”页面中的生效工作负载列表，在生效资

产上操作相关进程，等待学习完成后查看学习到的进程，并对可疑进程加白。

3.5.2.5 进程加白

在学习完成后，您可以在在“生效工作负载”页面通过“设置白名单策略”将进程添加为可信应用白名单；当应用程序尝试执行时，系统自动检查可信应用白名单，如果发现在其中就允许运行。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“策略中心 > 可信应用白名单”，进入可信应用白名单页面。

(4) 进入“生效工作负载”页面。

(5) 选择学习完成的资产，单击操作列“设置白名单策略”，进入“白名单策略页面”，可查看到该资产学习完成后生成的可以进程名单。

(6) 添加可信应用白名单。

 单个添加：单击要添加白名单的可疑进程，单击右侧的“添加白名单”，在弹出的对话框中确定即可。

 批量添加：勾选要添加白名单的可疑进程，单击下方的“批量添加白名单”，在弹出的对话框中确定即可。

3.5.2.6 应用策略

您可以通过“应用策略”将添加的可信应用白名单下发到系统中，后续云安全中心自动检查可信应用白名单，将对不在白名单中的进程进行告警提示，在白名单中的则允许运行。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“策略中心 > 可信应用白名单”，进入应用白名单页面。

(4) 单击“策略管理”页签，进入策略管理列表。

(5) 将策略应用状态列的开关置为，将该策略下的可信应用白名单下发到系统中。

3.5.2.7 重新学习

如果生效资产中，新增了其他可执行程序，您希望将这些程序添加为可信应用白名单，便可通过“重新学习”对该资产再次执行自学习策略。

(1) 进入“策略中心 > 可信应用白名单 > 策略管理”页面。

(2) 选择需要重新学习的策略，单击“重新学习”。

(3) 系统开始学习，等待学习完成后对可疑进程加白即可。

3.5.2.8 自学习策略管理

可根据需要，在“策略管理”页面的操作列对策略进行“重新学习”、“编辑”和“删除”操作。

3.5.2.9 取消可信应用白名单

您可以根据实际运营需求，移除可信应用白名单里的白名单进程。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“策略中心 > 可信应用白名单”，进入应用白名单页面。

(4) 进入“生效工作负载”页面。

(5) 找到目标资产，单击操作列“设置白名单策略”，进入“白名单策略页面”。

(6) 取消可信应用白名单。

 单个取消：单击要移出白名单的可疑进程，单击右侧的“取消白名单”，在弹出的对话框中确定即可。

 批量取消：勾选要移出白名单的可疑进程，单击下方的“批量取消白名单”，在弹出的对话框中确定即可。

3.5.3.1 概述

通过接入 UTS 探针设备，对入云流量做分析，如果达到致命级别，就会关联路径上的安全设备予以封禁。系统支持全局自动化封禁、封禁黑名单、封禁白名单和封禁时长设置；通过“处置脚本”进行自动化封禁联动，您需要在“多源日志接入”中“上传处置脚本”。

3.5.3.2 配置白名单

将 IP 配置到白名单中，系统开启封禁时，将白名单 IP 放行，不阻断此 IP。建议将预先知晓的、可信任的 IP 加入到白名单中，减少业务干扰。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“策略中心 > 封禁处置”，进入封禁处置页面。

(4) 单击“白名单配置”，进入白名单配置页面。

(5) 单击“添加 IP 白名单”，在弹出的对话框中输入 IP 地址或 IP 段、填写备注以及生效时长，完成后单击“保存”，添加成功。

(6) 您可以在此页面修改或删除白名单 IP，单击白名单列表右侧的“修改”或“删除”即可。

3.5.3.3 配置黑名单

系统对黑名单中的 IP 为阻断操作。如果系统产生告警且等级为严重，系统会提取此告警的源 IP，与白名单/黑名单 IP 进行比对，如果命中了黑名单，会将此 IP 添加到封禁列表里；如果开启自动封禁会自动加到封禁列表并自动封禁，如果关闭自动封禁，则只新增条目但不封禁。

建议将重保护网过程中获得的威胁 IP 威胁添加为黑名单，起预防作用。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“策略中心 > 封禁处置”，进入封禁处置页面。

(4) 单击“黑名单配置”，进入黑名单配置页面。

(5) 单击“添加 IP 黑名单”，在弹出的对话框中输入 IP 地址或 IP 段、填写备注以及生效时长，完成后单击“保存”，添加成功。

(6) 您可以在此页面修改或删除黑名单 IP，单击黑名单列表右侧的“修改”或“删除”即可。

3.5.3.4 自动封禁

开启自动封禁时，如果产生告警且告警等级为严重，系统则提取此告警的源 IP，与白名单 IP 进行比对，如果命中了白名单则丢弃不处理；如果没有命中白名单，则将这个源 IP 添加到封禁条目中，并自动下发一条封禁策略封禁此 IP。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“策略中心 > 封禁处置”，进入封禁处置页面。

(4) 单击自动封禁开关可关闭/开启自动封禁功能。

3.5.3.5 手动封禁

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“策略中心 > 封禁处置”，进入封禁处置页面。

(4) 单击封禁 IP 对应操作列的“封禁”（针对已解封的 IP），在弹出的对话框中输入封禁设备、封禁原因、封禁时长，单击“保存”即可封禁此 IP。

3.5.3.6 解封

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“策略中心 > 封禁处置”，进入封禁处置页面。

(4) 单击封禁 IP 对应操作列的“解封”，在弹出的对话框中输入解封原因、是否加白，单击“保存”即可解封此 IP。

3.5.3.7 查看告警详情

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“策略中心 > 封禁处置”，进入封禁处置页面。

(4) 单击封禁 IP 对应操作列的“告警详情”可查看此条封禁 IP 对应的告警。

3.5.3.8 封禁生效时长说明

3.5.4.1 概述

通过创建策略白名单对 DGA 告警进行加白；系统对接入的报文进行匹配，满足白名单规则的报文将不产生相应的告警。

SOC 暂时只支持对 DGA 告警进行加白。

3.5.4.2 新建策略白名单

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 进入“策略中心 > 策略白名单”页面。

(4) 单击“新建”，弹出“新建策略白名单”对话框。

(5) 设置参数，单击“保存”，策略白名单新建成功。

3.5.4.3 策略白名单管理

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 进入“策略中心 > 策略白名单”页面。

(4) 您可以对策略白名单进行过滤展示、删除、编辑、开启/关闭等操作。

策略白名单为开启状态时，不允许删除。

3.6.1.1 概述

云安全中心产品支持通过云工作负载安全 CWP 服务对服务器、容器镜像存在的高危系统漏洞、应用漏洞进行检测、识别、修复等。

3.6.1.2 限制与指导

云安全中心的“漏洞管理”界面只支持查看漏洞信息，暂不支持漏洞扫描、加白、验证、修复等操作，您可在云工作负载安全 CWP 的“安全防范 > 漏洞管理”中执行相应的操作，具体可参见《云工作负载安全 CWP 用户指南》手册。

3.6.1.3 服务器漏洞

Linux 系统漏洞

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 进入“安全防范 > 漏洞管理 > 服务器漏洞 > Linux 系统漏洞”页面。

(4) 查看当前服务器漏洞统计信息、Linux 系统漏洞等。

 从漏洞维度查看漏洞详情

单击漏洞公告名称，可以查看漏洞公告详情。

 查看漏洞公告白名单

单击“漏洞公告白名单”，在弹出的对话框中查看漏洞公告白名单列表，已加入白名单的漏洞将不在页面上展示。

注意：您必须在 CWP 的“安全防范 > 漏洞管理”中添加漏洞公告白名单，云安全中心的此页面上才有数据。

 从服务器角度查看漏洞风险分布和受影响资产

进入“Linux 系统漏洞 > 服务器维度”页面，可查看所有资产的漏洞扫描结果。

 查看服务器白名单

单击“服务器白名单”，在弹出的对话框中查看服务器白名单列表，已加入白名单的服务器将不在页面上展示。

注意：您必须在 CWP 的“安全防范 > 漏洞管理”中添加服务器白名单，云安全中心的此页面上才有数据。

 导出漏洞信息

单击右侧的，可将当前页面的信息导出到本地。

应用漏洞

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 进入“安全防范 > 漏洞管理 > 服务器漏洞 > 应用漏洞”页面。

(4) 查看当前服务器漏洞统计信息、应用漏洞等。

 查看漏洞详情

单击漏洞公告名称，可以查看漏洞公告详情。

 导出漏洞信息

单击右侧的，可将当前页面的信息导出到本地。

3.6.1.4 容器漏洞

系统漏洞

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 进入“安全防范 > 漏洞管理 > 容器漏洞 > 系统漏洞”页面。

(4) 查看容器漏洞统计信息、系统漏洞等。

 从漏洞维度查看漏洞详情

单击操作列的“详情”，可以查看漏洞公告详情。

 查看影响镜像详情

在漏洞公告中单击“详情”，进入“漏洞公告详情”页面；在“影响镜像”页面单击“详情”即可。

 查看影响容器详情

在漏洞公告中单击“详情”，进入“漏洞公告详情”页面；在“影响容器”页面单击“详情”即可。

 从镜像维度查看漏洞风险分布和受影响资产

进入“系统漏洞 > 镜像维度”页面，可查看漏洞扫描结果。

 从镜像维度查看漏洞详情

单击操作列的“详情”，可以查看漏洞详情。

 查看影响漏洞详情

在镜像维度单击“详情”，进入“详情”页面；在“影响漏洞”页面单击“详情”即可。

 查看影响分层

在镜像维度单击“详情”，进入“详情”页面；在“影响分层”页面可查看。

 导出漏洞信息

单击右侧的，可将当前页面的信息导出到本地。

应用漏洞

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 进入“安全防范 > 漏洞管理 > 容器漏洞 > 应用漏洞”页面。

(4) 查看容器漏洞统计信息、应用漏洞等。

 查看应用漏洞详情

单击操作列的“详情”，可以查看应用漏洞详情。

 查看影响镜像详情

在应用漏洞单击“详情”，进入“应用漏洞详情”页面；在“影响镜像”页面单击“详情”即可。

 查看影响容器详情

在应用漏洞中单击“详情”，进入“应用漏洞详情”页面；在“影响容器”页面单击“详情”即可。

 导出漏洞信息

单击右侧的 ，可将当前页面的信息导出到本地。

任务简介

云安全中心产品支持通过云工作负载安全 CWP 服务查看基线扫描完成后的合规情况，包括检查结果、检查项列表、检查项详情等。

限制与指导

请确保已在 CWP 服务的“策略中心 > 检测规则 ”的“合规基线 > 基线扫描”中创建了基线扫描策略。

• 云安全中心的“合规基线”界面只支持查看合规基线信息，暂不支持基线扫描、忽略检查项、验证检查项等操作，您可在云工作负载安全 CWP 的“安全防范 > 合规基线”中执行相应的操作，具体可参见《云工作负载安全 CWP 用户指南》手册。

• 您必须在云工作负载安全 CWP 服务中至少完成一次基线扫描。

• 支持 4 种基线类型：国际标准-kubernetes、CECloud Linux 操作系统最佳实践、Linux 操作系统等保三级、Linux 操作系统等保二级。

操作步骤

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 进入“安全防范 > 合规基线”页面。

(4) 单击“查看详情”进入详情页面。

筛选：您可以单击下拉列表根据分类、检查项、重要程度、检查结果进行筛选。

导出：您可以单击将筛选后的检查项进行导出。

详情：您可以单击“详情”，查看此检查项的描述信息、执行方法、修复建议等信息。

 Master 节点页面

 查看 Master 节点页面的检查项详情

 Worker 节点页面

 查看 Worker 节点页面的检查项详情

3.6.3.1 概述

云产品基线功能支持对云服务器、专有网络、云数据库、对象存储、云负载均衡、云工作负载安全、访问控制等的配置进行安全检测，并提供检测结果说明和加固建议。基线检查功能可以帮您进行系统安全加固，降低入侵风险并满足安全合规要求。

3.6.3.2 基线检查项

云安全中心提供默认的基线检查项目。通过对服务器进行基线检测，可以获取服务器在基线配置和应用上存在的风险和缺陷，同时云安全中心还会为您提供风险告警和修复建议。以下为云安全中心支持的基线检查项。

3.6.3.3 系统自动检查

系统内置基线检查规则，每天 00:10 自动对云产品基线的所有项进行检查，检查结果显示在“安全规范 > 云产品基线”页面和“安全可视 > 仪表盘”的“安全状态-基线（今日待处理）”区域。

3.6.3.4 执行手动检查

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“安全规范 > 云产品基线”，进入云产品基线页面。

(4) 确认左上角所选择的账号为 paltformadmin。

(5) 手动检查云产品基线。

 单击“立即检查”，对云产品基线的所有项进行检查。

 展开目标云产品基线，单击检查项右侧的“检查”，对单个子项进行检查。

3.6.3.5 查看检查结果

完成基线检查后，您可以在“云产品基线”基线页面查看检查结果、处理检查结果，并可根据检查项中的“设置向导”处理风险问题。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“安全规范 > 云产品基线”，进入云产品基线页面。

(4) 在左上角选择账号。

(5) 查看检查结果。

3.6.3.6 处理检查结果

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“安全规范 > 云产品基线”，进入云产品基线页面。

(4) 在左上角选择账号。

(5) 处理检查结果。

 修复

展开云产品基线，单击具体的检查项，根据设置导向说明进行修复。

不同类型的风险项修复方式不同，根据实际场景中的设置向导说明操作即可。

 验证修复

修复完成后，您可以在“云产品基线”页面执行“检查”或“立即检查”操作，查看是否仍存在风险项；也可以进入到对应的检查项说明中，单击“验证”，根据检查结果（是否依旧存在风险项）查看是否修复成功。

 忽略统计

当您确认某项检查结果不是风险项，可单击右侧的“忽略”，系统便不将此项计入风险项统计结果中，即“云产品基线”左上方的风险项统计数据根据操作刷新显示。

 取消忽略统计

“取消忽略”指再次将检查项纳入统计中。单击“取消忽略”后，左上角的风险项数据刷新展示。

为解决告警事件数量庞大，分析和处置方法复杂，告警事件无法统一管理等问题，中国电子云云安全中心-威胁检测模块，提供安全告警事件统一处置与响应功能，帮助用户集中处理全网安全事件，提升安全运营效率。

• 支持多种告警类型，如：进程异常行为、反弹 shell、可信环境异常、横向移动、网页木马、网络威胁、异常登录、网络侦察、恶意软件查杀、拒绝服务攻击、Web 攻击、APT、网络异常行为、DDoS 防护告警、DGA 域名检测等。

• 精准安全告警识别：通过集成商业威胁情报能力对原始告警二次分析，富化关键信息，实现告警动态定级，降低信息过载。一站式告警处置：客户可通过云安全中心，针对各类告警执行不同处置方案，包括忽略、加白、转工单、防御、线下处理操作等，后续会联动 XDR 设备实现一键封禁功能，针对无法快速处置告警，可参考处置建议，灵活应变。支持 DDoS 防护防御设置，可设置清洗阈值。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 在下拉菜单选择查询类型，输入相关值；选择时间范围后，便可查询目标告警。

 筛选时间范围

 筛选告警类型

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 在“告警详情”模块，单击目标告警操作列的“详情与建议”可查看告警详细信息和处理建议；单击“告警处理”可对告警信息进行处理（告警处理说明见告警处理方式说明）。

1. 进入告警处理对话框

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 在“告警详情”模块，您有 2 种方式进入告警处理对话框：

 单击目标告警操作列的“告警处理”。

 单击目标告警操作列的“详情与建议”，在“详情与建议”对话框中单击“告警处理”。

(5) 选择告警处理方式。

告警方式说明见告警处理方式说明。

2. 告警处理方式说明

加白

将告警添加到策略白名单中，当再次发生相同告警时不再告警，请谨慎操作。加入白名单后，告警状态显示为“已处理（已加白）”。

如果告警为误报，您可以将本次告警加入白名单；部分加白处理需设置加入白名单的规则和应用范围。

忽略

忽略本次告警，再次发生相同告警时，云安全中心将再次告警。忽略后，告警状态显示为“已处理（已忽略）”。

防御

在“告警处理”中设置封禁设备、生效时长等封禁策略，云安全中心服务器在接受到告警信息后进行研判，生成封禁 IP，下发封禁策略到关联设备，触发处置脚本来执行阻断动作。封禁防御处理完成后，告警状态将变为“已处理（已防御）”。

转工单

通过创建工单，设置处置人员，将告警处理任务下发到工单系统中进行处理。工单下发后，告警状态变为“已处理（工单处置中）”，处理完成后告警状态将变为“已处理（工单关闭）”。

误报

加入误报后，当相同告警再次发生时将再次告警；选择误报后，告警状态将变为“已处理（疑似误报）”。

线下处理

安全运营人员在线下处理完成，后续云安全中心会继续对该事件进行告警。处理后，告警状态将变为“已处理（已线下处理）”。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) （可选）参见过滤筛选操作，筛选出您需要的信息。

(5) 在“告警详情”模块，单击右上方的“导出”图标，可将告警信息导出到本地。

云安全中心支持实时检测资产中的安全告警事件，覆盖网页木马、进程异常、持久化后门、异常登录、恶意进程等安全告警类型。通过多种威胁检测模型，提供全面的安全告警类型检测，帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。

您可以在“威胁检测”页面查看检测出的安全告警事件。

1. 进程异常行为

进程异常行为是指实时监控容器或主机内所有异常进程执行的行为，告警包括访问恶意下载源、代理软件调用、清理痕迹、信息收集、后门进程、可疑命令、操作敏感文件、agent 威胁操作、修改关键文件、渗透常用工具、远程文件执行、进程异常写文件。

在“威胁检测”页面的下拉菜单中，告警类型选择进程异常行为，单击“确认”即可筛选此类告警数据。

2. 反弹 shell

云安全中心产品实时监控容器、主机内所有利用 shell 进行反向连接的行为，当有反向连接行为发生时，云安全中心产品将及时告警。反弹 shell 告警类型包括 Linux 工具反弹 shell、编程语言反弹shell、BASH 反弹 shell。

在“威胁检测”页面的下拉菜单中，告警类型选择反弹 shell，单击“确认”即可筛选此类告警数据。

3. 可信环境异常

检测服务器的系统进程是否存在修改、启动过程是否出现异常等问题。

在“威胁检测”页面的下拉菜单中，告警类型选择可信环境异常，单击“确认”即可筛选此类告警数据。

4. 横向移动

提供高交互与低交换两种蜜罐技术，在本机模拟业务系统，诱导攻击流量访问内网蜜罐，从而起到获取攻击和延缓攻击的作用，可全面记录攻击流量，为后续溯源分析提供有效的数据支撑。

在“威胁检测”页面的下拉菜单中，告警类型选择横向移动，单击“确认”即可筛选此类告警数据。

5. 网页木马

云安全中心产品可以对 Web 目录下的文件内容进行检测，发现是否存在有 web 后门文件。若发现存在后门文件，则会在威胁检测中告警，包括 JSP 木马、PHP 木马等。

在“威胁检测”页面的下拉菜单中，告警类型选择网页木马，单击“确认”即可筛选此类告警数据。

6. 异常登录

云安全中心产品支持暴力破解告警、异地登录告警、异常时间登录告警、异常账号登录告警以及异常 IP 登录告警。

在“威胁检测”页面的下拉菜单中，告警类型选择异常登录，单击“确认”即可筛选此类告警数据。

7. 网络侦察

扫描端口、网络，检测 Web 弱口令是否合规等。

在“威胁检测”页面的下拉菜单中，告警类型选择网络侦察，单击“确认”即可筛选此类告警数据。

8. 网络威胁

检测系统服务器中的远控木马、后门程序、恶意域名访问、DGA 域名、DNA 隐藏隧道、可疑 VPN等。

在“威胁检测”页面的下拉菜单中，告警类型选择网络威胁，单击“确认”即可筛选此类告警数据。

• 使用与限制

云安全中心支持 DGA 域名检测。DGA 域名检测需确保在云工作负载安全 CWP 中开启“网络异常行为-域名规则”。

9. 恶意软件查杀

检测系统是否遭受恶意软件攻击，对可能的恶意软件进行查杀。

在“威胁检测”页面的下拉菜单中，告警类型选择恶意软件查杀，单击“确认”即可筛选此类告警数据。

10. 拒绝服务攻击

检测 DDoS 流量攻击等行为。

在“威胁检测”页面的下拉菜单中，告警类型选择拒绝服务攻击，单击“确认”即可筛选此类告警数据。

11. Web 攻击

检测 Web 攻击行为，包括跨站脚本攻击、跨站请求伪造、webshell 等。

在“威胁检测”页面的下拉菜单中，告警类型选择 Web 攻击，单击“确认”即可筛选此类告警数据。

12. APT

在“威胁检测”页面的下拉菜单中，告警类型选择 APT，单击“确认”即可筛选此类告警数据。

13. 网络异常行为

云安全中心产品通过实时采集客户端 DGA、DNS、socket 对外连接数据，与商业威胁情报匹配完成网络异常行为发现功能，其中包括但不限于矿池通讯行为、访问恶意域名、APT 活动事件等异常网络行为。

在“威胁检测”页面的下拉菜单中，告警类型选择网络异常行为，单击“确认”即可筛选此类告警数据。

14. 病毒木马

云安全中心的病毒木马功能支持对服务器、容器内所有进程文件实时检测、发现病毒文件告警时提供关闭进程、隔离文件、隔离后恢复等处置能力，形成安全闭环。

在“威胁检测”页面的下拉菜单中，告警类型选择病毒木马，单击“确认”即可筛选此类告警数据。

15. 持久化后门

云安全中心产品支持检测服务器中存在的持久化后门，如果发现持久化后门将触发告警，包括恶意启动项、SSH 免登录 key 后门、后门账户等。

在“威胁检测”页面的下拉菜单中，告警类型选择持久化后门，单击“确认”即可筛选此类告警数据。

围绕企业用户日志集中管理和搜索分析核心需求，云安全中心推出了全量日志分析功能，对现有的基础日志和告警日志进行管理。同时支持用户自定义报表分析功能。

“全量日志分析”页面可查询接入的安全日志、基础日志等日志的原始日志信息，也可以查看日志聚合后的统计结果。

3.8.2.1 全量日志存储说明

• SOC 中，“统一管理平台+所有租户”共用的全量日志存储容量最大为 512GB，当达到容量阈值时，系统进行删除，删除比例为 25%。

您可以在“全量日志分析”页面的右上方查看当前存储情况。

• 全量日志的日志存储时间最长为 180 天，系统自动清理超过 180 天的数据。

3.8.2.2 查看全量日志分析字段说明

您可以在“全量日志分析”页面单击右上方的“字段说明”，将“全量日志分析字段说明”文件下载到本地，查看全量日志分析接入的日志类型、字段说明、告警说明等。

3.8.2.3 设置过滤条件

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“调查响应 > 全量日志分析”，进入全量日志分析页面。

(4) 设置过滤筛选条件，查找日志。

选择需要查询的日志类型、时间或输入 SQL 语句单击“检索”，页面根据筛选条件刷新展示。

在输入 SQL 语句时，单击，弹出语法提示，您可根据提示的语法说明填写字段筛选条件；或参照附录中的日志检索语法说明检索。

3.8.2.4 查看/下载原始日志

前提条件

已完成多源日志接入配置。

操作步骤

设置过滤条件后，在“原始日志”页面可查看日志发展趋势、日志详情，或下载日志到本地。

• 日志发展趋势

“日志发展趋势”以柱状图统计指定时间范围内的日志数量。

• 快速分析

在“快速分析”区域可查看字段占比等信息；可对已选字段和可选字段进行增加或减少。

注意：已选字段和可选字段的增加或减少会影响日志信息导出时日志字段数。

• 日志详情

在“日志详情”页面可查看具体日期内的原始日志详情。

• 下载日志

在日志详情模块单击 下载日志信息。

3.8.2.5 查看/下载统计报表

云产品中心支持丰富的报表展现形式，如：表格、柱状图、饼图、折线图等，可直观的展示日志统计信息。

前提条件

已完成多源日志接入配置。

操作步骤

设置过滤条件后，在“全量日志分析”页面，单击“统计报表”页签，选择报表形式后，配置报表属性，即可展示统计报表；单击可将报表下载到本地。

云安全中心 SOC 可对接入的平台日志（物理服务器、平台数据库、平台堡垒机、平台 WAF、硬件防火墙、VPN 设备等）进行审计规则匹配，命中规则后产生审计事件。

“日志审计”页面提供日志审计结果概览、日志查询、审计策略管理。您可在此页面执行与日志审计相关的操作。

• 每个租户的日志存储容量最大为 100GB，当达到容量阈值时，系统进行删除，删除比例为25%。

您可以在“日志审计”页面的右上方查看当前存储情况。

• 每个租户的日志存储时间最长为 180 天，系统自动清理超过 180 天的数据。

3.9.3 审计概览

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“日志审计”，进入日志审计页面。

(4) 选择需要审计的账号。

(5) 设定时间范围。

您可以单击“近 1 天”、“近 7 天”、“近 14 天”或自定义时间，从页面查看原始日志发展趋势、审计事件发展趋势、审计类型日志量、审计类型日志量备份。

(6) 下载趋势图。

单击可下载趋势图。

(7) 下载日志审计字段说明 pdf 文件。

可单击“字段说明”下载日志审计字段说明 pdf 文件。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“日志审计”，进入日志审计页面。

(4) 单击“审计查询”页签，进入审计查询页面。

(5) 选择需要查询的账号、审计日志类型与时间，单击“检索”查看审计日志。

 查看原始日志

“日志发展趋势”以柱状图统计指定时间范围内的日志数量；在“快速分析”区域可查看字段占比等信息；在“日志详情”页面可查看具体日期内的原始日志详情。

 查看统计报表

可在“支持统计聚合查询，关联统计聚合查询”设置框中输入 SQL 语句查询统计报表，根据 SQL 语句查询会自动跳转到统计报表页面。

云产品中心支持丰富的报表展现形式，如：表格、柱状图、饼图、折线图等，可直观的展示日志统计信息。

在“日志审计 > 审计查询 > 统计报表”页面，选择报表形式后，配置报表属性，即可展示统计报表；单击可将报表下载到本地。

3.9.5.1 新建审计策略

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“日志审计”，进入日志审计页面。

(4) 单击“审计策略”页签，进入审计策略页面。

(5) 单击“新建”，弹出新建页面。

(6) 根据下表中的参数说明配置参数信息。

(7) 单击“保存”，完成新建日志审计策略。

3.9.5.2 审计策略管理

• 单击策略操作列的“编辑”可修改此策略。

• 单击策略操作列的“删除”可删除此策略。

• 单击策略操作列的可开启或关闭此策略。

3.10.1.1 概述

云安全中心支持通过短信和邮件的方式向您发送通知。您可根据业务需要配置进程异常、网页木马、网络威胁等告警通知。

3.10.1.2 设置告警通知

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“系统设置 > 通知”，进入通知页面。

(4) 单击“设置”，弹出设置-威胁告警窗口。

(5) 根据需要选择告警类别、风险等级、通知方式和通知时间后，单击“保存”。

(6) 在“系统设置 > 通知”页面，设置消息通知开关为开启。若未添加接收人会导致开启失败，请先新增接收人。

(7) 若触发告警，则可以查看通知信息，以邮件举例。

3.10.1.3 新增接收人

(1) 在通知页面，单击“新增接收人”，弹出新建接收人窗口。

(2) 填写姓名等相关信息后，单击“保存”。

3.10.1.4 管理接收人

• 单击目标接收人操作列的“编辑”，编辑该接收人信息。

• 单击目标接收人操作列的“删除”，删除该接收人。

3.10.2.1 概述

对接入设备进行管理，包括增删改查厂商、设备和日志采集方式。

3.10.2.2 新增设备类型

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“系统设置 > 多源日志接入”，进入多源日志接入页面。

(4) 单击“新建设备类型”，弹出新建设备类型窗口。

(5) 根据下表中的参数说明配置参数信息后，单击“确定”。

3.10.2.3 管理设备类型

• 单击目标设备类型后的“ > 编辑设备类型”，编辑该设备类型信息。

• 单击目标设备类型后的“ > 删除设备类型”，删除该设备类型。

3.10.2.4 添加厂商

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“系统设置 > 多源日志接入”，进入多源日志接入页面。

(4) 单击对应设备类型后的，并单击“添加厂商”，弹出添加厂商窗口。

(5) 根据下表中的参数说明配置参数信息后，单击“确定”。

3.10.2.5 管理厂商

• 单击目标厂商后的“ > 编辑厂商”，编辑该厂商信息。

• 单击目标厂商后的“ > 删除厂商”，删除该厂商。

3.10.2.6 新增设备

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“系统设置 > 多源日志接入”，进入多源日志接入页面。

(4) 单击“新建设备”，弹出新建设备窗口。

(5) 根据下表中的参数说明配置参数信息后，单击“确定”。

3.10.2.7 管理设备

• 启动设备：单击已创建日志接入模板的目标设备操作列的“启动”，启动接入该设备日志。启动后日志将在“调查响应 > 全量日志分析”页面进行展示。

• 停止接入设备：单击已启动的目标设备操作列的“停止”，停止该设备接入。

• 编辑设备信息：单击目标设备操作列的“编辑”，编辑该设备信息。

• 删除设备：单击目标设备操作列的“删除”，删除该设备。

3.10.2.8 上传处置脚本

系统通过处置脚本执行封禁中的阻断动作。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“系统设置 > 多源日志接入”，进入多源日志接入页面。

(4) 在“接入设备”页面，单击目标设备操作列的“处置脚本”，在弹出的“上传处置脚本”对话框中上传阻断脚本文件；系统通过处置脚本执行封禁处理。

3.10.2.9 创建接入模板

基础模式

“基础模式”支持少量的解析方式，建议对 logstash 了解较少的用户使用。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“系统设置 > 多源日志接入”，进入多源日志接入页面。

(4) 单击“接入模板”页签。

(5) 单击“新建模板”，弹出选择模板类型对话框。

(6) 选择基础模式，进入新建模板页面。

(7) 配置解析参数。

可根据需要自定义模板名称、在下拉列表中选择设备名称、设置日志解析方式、日志样例和解析规则，完成后单击“下一步”。

(8) 设置日志字段转换策略。

在转换页面，设置日志转换策略，配置完成后单击“下一步”。

(9) 配置日志转发策略。

日志转发方式为 clickhouse(为全量日志分析做准备)和 kafka（可提供给其他日志服务），配置完成后，单击“保存”。

专家模式

“专家模式”支持较多的解析方式，用户可自定义 logstash 语句和 filter。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“系统设置 > 多源日志接入”，进入多源日志接入页面。

(4) 单击“接入模板”页签。

(5) 单击“新建模板”，弹出选择模板类型对话框。

(6) 选择专家模式，进入新建模板页面。

(7) 配置解析参数。

根据需要自定义模板名称、在下拉列表中选择设备名称、填写日志解析配置，完成后单击下一步”。

(8) 配置日志转发策略，配置完成后，单击“保存”。

3.10.2.10 管理接入模板

• 单击目标接入模板操作列的“编辑”，编辑该接入模板信息。

• 单击目标接入模板操作列的“删除”，删除该接入模板。