文档中心

云安全中心SOC用户指南

最近更新时间：

3 管理维护

3.1 IAM权限管理

3.1.1 IAM 权限说明

概述

身份认证与访问管理服务（Identity and Access Management，IAM）提供用户身份认证、权限分配、访问控制等功能，通过创建多个 IAM 用户并授权不同资源权限策略，可实现不同 IAM 用户之间的权限隔离。

IAM 权限基于 IAM 用户授权云资源权限，定义了允许和拒绝的访问操作。默认情况下，新创建的IAM 用户不具备任何资源权限，需授权 IAM 用户，才能基于被授权的资源权限进行操作。

IAM 权限策略是一组资源权限集，云安全中心 SOC 支持“系统策略”和“自定义策略”。

权限管理支持通过 IAM 或组织管理进行配置。

IAM 权限管理仅在“组织管理”未开启状态下可用。“组织管理”功能开启后，资源标签和 IAM权限管理功能将不再可用。若需使用组织管理功能进行权限管理，详细描述请参见《控制台快速入门》的“组织管理”章节。

系统策略

系统策略统一由系统创建和维护，不支持自定义修改策略权限范围。云安全中心 SOC 支持的系统策略如下：

自定义策略

自定义策略是由系统开放资源授权项（Action），支持自主创建、更新和删除策略。目前支持“可视化”和“脚本”两种配置方式创建自定义策略：

• 可视化配置：按可视化导航栏选择策略效力、云服务、操作、资源、条件等权限策略内容，自动生成策略。

• 脚本配置：提供基本策略模板，可根据具体需求编辑策略内容，也可直接在编辑框内编写策略内容。

云安全中心 SOC 支持的资源授权项如下：

3.1.2 配置流程

3.1.3 配置 IAM 权限

3.1.3.1 创建 IAM 用户

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入 IAM用户管理页面。

(3) 在“用户管理”页面，单击“创建用户”，进入创建用户页面。

(4) 配置 IAM 用户账号信息和访问方式。

账号信息包括用户名、显示名、手机号、邮箱、备注等。

访问方式可选择控制台访问或编程访问。

一次最多可创建 10 个 IAM 用户，且同时创建的用户访问方式相同。

(5) 确认信息无误后，IAM 用户创建成功。

自定义密码：单击“确定”，提示用户创建成功，可查看新创建的用户列表。

自动生成密码：单击“确定”，弹出下载密码对话框，确认后下载用户密码至本地保存，且可查看新创建的用户列表。

3.1.3.2 创建自定义权限策略

任务简介

IAM 权限策略是一组资源权限集，云安全中心 SOC 支持“系统策略”和“自定义策略”。

如果预置的云安全中心 SOC 系统策略不满足使用要求，可通过创建自定义策略，添加授权项（Action），对云安全中心 SOC 资源进行精细的权限管理。目前支持“可视化”和“脚本”两种配置方式创建自定义策略。

• 可视化配置：按可视化导航栏选择策略效力、云服务、操作、资源、条件等权限策略内容，自动生成策略。

• 脚本配置：提供基本策略模板，可根据具体需求编辑策略内容，也可直接在编辑框内编写策略内容。

本小节主要介绍如何在管理控制台创建自定义策略。

可视化配置自定义策略

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入 IAM用户管理页面。

(3) 单击“权限策略管理”，进入权限策略管理页面。

(4) 单击“创建自定义权限策略”，进入创建自定义权限策略页面。

(5) 配置权限策略基本信息。

权限策略名称：自定义权限策略名称。

备注：自定义策略配置信息。

(6) 配置方式，选择“可视化配置”。

(7) 配置权限策略。

a. 配置权限策略效力，可选择“允许”或“拒绝”。

− 允许：表示该策略为允许操作效力。

− 拒绝：表示该策略为拒绝操作效力。

b. 配置云服务，选择“云安全中心 SOC”。

c. 配置云服务操作，根据需求勾选操作权限。

d. 配置资源，可选择“全部资源”或“特定资源”。

e. （可选）配置请求条件。

此产品暂不支持添加请求条件。

(8) 确认信息无误后，单击“确定”，返回权限策略列表页面，自定义策略即创建完成。

通过脚本配置自定义策略

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入 IAM用户管理页面。

(3) 单击“权限策略管理”，进入权限策略管理页面。

(4) 单击“创建自定义权限策略”，进入创建自定义权限策略页面。

(5) 配置权限策略基本信息。

权限策略名称：自定义权限策略名称。

备注：自定义策略配置信息。

(6) 配置方式，选择“脚本配置”。

(7) 配置权限策略。

您可直接编辑脚本；也可复制已有策略权限，并在基础上做修改。

(8) 确认信息无误后，单击“确定”，返回权限策略列表页面，自定义策略即创建完成。

3.1.3.3 授权单个 IAM 用户使用 SOC

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入 IAM用户管理页面。

(3) 在“用户管理”页面，单击目标 IAM 用户操作列的“添加权限”，弹出添加权限窗口。

(4) 在左侧列框，勾选云安全中心 SOC 权限策略，并单击，为用户添加权限。

您也可以将已配置的权限移除。

权限策略列框包含该账号下全量系统策略和自定义策略。

(5) 单击“确定”，返回 IAM 用户列表页面。

3.1.3.4 授权 IAM 用户组使用 SOC

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入 IAM用户管理页面。

(3) 单击“用户组”，进入用户组页面。

(4) 新建用户组。

a. 单击“创建用户组”，弹出创建用户组窗口。

b. 配置用户组名称，并可自定义描述信息。

c. 单击“确定”，返回用户组列表。

(5) 添加组成员。

a. 在目标用户组的操作列，单击“添加组成员”，弹出添加组成员窗口。

b. 在左侧列框，勾选一个或多个目标用户并单击，添加用户至用户组。

− 您也可以将已添加的用户从用户组移除。

− 用户列框包含该账号下已创建的全部 IAM 用户。

− 已被添加至其他用户组的用户置灰，不能被添加到新用户组。

c. 单击“确定”，返回用户组列表页面。

(6) 添加用户组权限。

a. 在目标用户组的操作列，单击“添加权限”，弹出添加权限窗口。

b. 在左侧列框，勾选云安全中心 SOC 权限策略并单击，为用户组添加权限。

− 您也可以将已配置的权限从用户组移除。

− 权限策略列框包含该账号下全量系统策略和自定义策略。

c. 单击“确定”，返回用户组列表页面。

3.1.4 验证权限配置

(1) 使用 IAM 用户账号登录专属云控制台。

(2) 在服务列表中选择“云安全中心 SOC”，进入云安全中心 SOC 管理页面。

(3) 对各功能菜单执行相应操作，确认权限是否生效。

3.1.4 验证权限配置

(1) 使用 IAM 用户账号登录专属云控制台。

(2) 在服务列表中选择“云安全中心 SOC”，进入云安全中心 SOC 管理页面。

(3) 对各功能菜单执行相应操作，确认权限是否生效。

3.2 实例管理

3.2.1 续费 SOC

任务简介

若云安全中心 SOC 即将到期，您可通过续费延长云安全中心 SOC 的使用期限。

限制与指导

• 仅包周期计费模式支持续费。

• 仅未到期的资源支持续费；资源到期后自动退订，无法续费。

• 未过期资源，续费操作成功后会在当前周期结束后生效。

• 如果您在开通实例时勾选了“自动续费”，则实例到期后系统自动续费，重新开始新续费周期。

前提条件

已开通云安全中心 SOC 企业版。

操作步骤

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(3) 单击左侧导航栏的“实例管理”，进入实例管理页面。

(4) 单击实例操作列的“续费”进入产品续费页面。

(5) 确认产品实例信息和续费时长无误后，根据页面显示，可进行如下操作：

单击“立即申请”，待管理员通过审批后，即可完成续费操作。

单击“立即支付”，选择支付方式，并单击“确认付款”后，即可完成续费操作。

3.2.2 扩容 SOC

任务简介

若当前实例的基础能力授权数、增值服务授权数无法满足您的业务需求，您可通过扩容增加 SOC的基础能力授权数、日志审计授权数、漏洞扫描授权数。

限制与指导

• 不支持对安全产品的降配操作。

• 扩容过程中，请勿对安全产品进行配置修改。

• 扩容不影响现有安全产品配置。

前提条件

已开通云安全中心 SOC 企业版。

操作步骤

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心

控制台页面。

(3) 单击左侧导航栏的“实例管理”，进入实例管理页面。

(4) 单击实例操作列的“扩容”，进入产品扩容页面。

(5) 根据需要，配置对应的扩容后授权数，并单击“下一步”，进入确认配置页面。

(6) 确认变更后的授权数无误后，根据页面显示，可进行如下操作：

单击“立即申请”，待管理员通过审批后，即可完成扩容操作。

单击“立即支付”，选择支付方式，并单击“确认付款”后，即可完成扩容操作。

单击“立即开通”，即可扩容成功。

“包周期”模式下扩容时，支持“立即申请”和“立即支付”2 种开通方式；“按需”模式扩容时，支持“立即开通”、“立即申请”和“立即支付”3 种开通方式。

3.2.3 退订 SOC

任务简介

当您不再使用云安全中心 SOC 时，可直接退订 SOC 资源。

限制与指导

• 仅包周期模式支持退订操作。

• 退订云安全中心 SOC 后，将不会对该 SOC 收取费用。

前提条件

已开通云安全中心 SOC 企业版。

操作步骤

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(3) 单击左侧导航栏的“实例管理”，进入实例管理页面。

(4) 单击实例操作列的“退订”，进入退订页面。

(5) 确认要退订实例、退订原因、退款金额等信息，并勾选“我已确认本次退订金额和相关费用”后，单击“退订”，根据页面显示，可进行如下操作：

在弹出的确认窗口中，单击“确定”，待管理员通过审批后，即可完成退订。

在弹出的确认窗口中，进行手机号或邮箱验证后，单击“确定”，即可完成退订。

退订后的状态说明

若 SOC 实例已购买增值服务，退订后，相应的增值服务不可使用，即无法对资产进行漏洞扫描，不再执行日志审计等；在“资产中心 > 资产详情”页面，授权状态列相应的增值服务显示为“未授权”，服务规格变为“免费版”。

3.2.4 释放 SOC

任务简介

当您不再使用云安全中心 SOC 时，可直接释放云安全中心 SOC。

限制与指导

• 仅按需模式支持释放操作。

• 释放云安全中心 SOC 后，资源会被删除并无法找回数据，请谨慎操作。

前提条件

已开通云安全中心 SOC 企业版。

操作步骤

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心SOC 服务的“实例管理”页面。

(3) 选择目标实例，单击操作列处的“释放”，弹出释放确认框。

(4) 单击“确定”，即可释放成功。

释放后的状态说明

若 SOC 实例已购买增值服务，释放后，相应的增值服务不可使用，即无法对资产进行漏洞扫描，不再执行日志审计等；在“资产中心 > 资产详情”页面，授权状态列相应的增值服务显示为“未授权”，服务规格变为“免费版”。

3.2.5 按需模式下欠费

简介

按需计费模式下，当您的账户欠费时，系统将回收所有授权数，实例状态为“已欠费”，实例管理页面仅能执行释放实例操作。在充值后，可恢复授权数，并进行其他实例操作。

欠费后的状态说明

• 账户欠费后，实例状态变更为“已欠费”。

• 您只能释放该实例。

在“实例管理”页面，只支持“释放”操作。

• 若 SOC 实例已购买增值服务，欠费后，相应的增值服务不可使用，即无法对资产进行漏洞扫描，不再执行日志审计等。

• 在“资产中心 > 资产详情”页面，授权状态列相应的增值服务显示为“未授权”，服务规格变为“免费版”。

充值不再欠费后

• 在“实例管理”页面，该实例的实例状态显示为“运行中”。

• 在“资产中心 > 资产详情”页面，恢复对应的授权数，您可以切换规格。

3.2.6 包周期模式实例到期

• 包周期模式下，实例到期后，直接释放实例。

• 若 SOC 实例已购买增值服务，实例到期后，相应的增值服务不可使用，即无法对资产进行漏洞扫描，不再执行日志审计等。

• 在“资产中心 > 资产详情”页面，授权状态列相应的增值服务显示为“未授权”，服务规格变为“免费版”。

3.3 安全可视

3.3.1 仪表盘

3.3.1.1 概述

仪表盘页面可查看安全评分、安全产品开启状态及覆盖率、待处理的安全事件（包括告警、漏洞、基线等）和安全事件发展趋势。

3.3.1.2 界面介绍和操作

进入仪表盘界面

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“安全可视 > 仪表盘”，进入仪表盘页面。

(3) 查看安全评分、安全产品开启状态及覆盖率、安全状态、处置发展趋势。

安全评分

根据当天产生的告警计算安全评分并给出风险等级以及风险建议说明。

安全产品开启状态及覆盖率

展示安全产品云防火墙 CFW、web 应用防火墙 WAF、漏洞扫描 VSS、云堡垒机 CBH、数据库审计 DAS、可信云服务器 TCS、云主机安全 CHS、云安全中心 SOC 的开启状态以及覆盖率。

• 安全产品显示为灰色时，表示未开启；显示为蓝色时，表示已开启。

• 鼠标悬停在已开启的安全产品上，展示安全产品的覆盖率。

安全状态

• 告警事件：展示今日待处理的安全告警数量、安全事故数量。

单击“安全状态-告警事件”区域左上角的等级设置图标，在弹出的对话框中可对事件等级（严重、可疑、提醒）进行过滤。

单击数字，跳转至“威胁检测”页面并过滤筛选。

• 漏洞：展示今日待处理的集群漏洞、服务器漏洞、容器漏洞数量。

单击“安全状态-漏洞”区域左上角的等级设置图标，在弹出的对话框中可对漏洞等级（紧急、高危、中危）进行过滤；单击数字，跳转至相应页面并过滤筛选展示。

• 基线：展示今日待处理的基线（容器基线、服务器基线、集群基线、云产品基线）。

单击数字，跳转至相应页面并过滤筛选展示。

处置发展趋势

展示近 7 天或近 30 天的告警事件、漏洞和基线总量以及已处理数量。

单击右上角的选择框，在下拉选项中选择要展示的告警事件 / 漏洞 / 基线；选择统计的时间范围；选择“总量”、“已处理”；页面根据设定结果刷新展示。

3.3.2 安全大屏

3.3.2.1 概述

云安全中心安全大屏通过安全指标统计、3D 可视化技术、安全事件发展趋势、攻击、实时入侵监测、网络流量监控功能展示全网安全态势，为用户在日常安全运营、重大活动保障期间提供统一可视化监控平台。

3.3.2.2 前提条件

请确保 SOC 已开通企业版。

3.3.2.3 查看安全态势总览大屏

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“安全可视 > 安全大屏”，进入安全大屏页面。

(3) 单击安全态势总览大屏，查看安全态势总览。

(4) 自定义统计时间。（自定义统计时间为全局参数，选择时间范围后，安全态势总览页面根据设定的时间刷新展示）

单击左上角的时间设定框，在下拉选项中选择此页面的数据统计时间，单击“确定”后，页面自动刷新数据。

安全评分

通过查看安全评分了解全局业务系统整体安全态势。

攻击态势分析

通过攻击双方详细的统计数据，进一步了解攻击双方态势，包括被攻击资产、攻击类型、攻击区域。

安全事件发展态势

提供安全事件发展趋势图，帮助用户了解告警事件、漏洞、合规基线等的发展态势，进而优化防御策略；通过单击“告警”、“漏洞”、“基线”选择要展示的安全事件趋势；鼠标悬停在趋势图上，可查看具体时间内的安全事件统计信息。

实时入侵监控

为了更形象的表达实时发生的攻击状态，安全大屏通过 3D 攻击态势图方式呈现。

网络流量监控

您可在此处查看自指定的结束时间起往前 24 小时内的网络流量趋势；通过单击“上行流量”、“下行流量”选择要展示的流量变化趋势；鼠标悬停在流量曲线上，可查看具体时间内的流量大小。

3.3.2.4 查看安全运营大屏

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“安全可视 > 安全大屏”，进入安全大屏页面。

(3) 单击安全运营大屏，查看安全运营大屏。

(4) 自定义统计时间。（自定义统计时间为全局参数，选择时间范围后，安全运营大屏页面根据设定的时间刷新展示）

单击左上角的时间设定框，在下拉选项中选择此页面的数据统计时间，单击“确定”后，页面自动刷新数据。

(5) 查看大屏展示信息

实时攻击监控大图

为了更形象的表达实时发生的攻击状态，安全大屏通过 3D 攻击示意图方式呈现。

确认风险处置率

确认风险处置率=告警状态为已处理的告警数÷告警总数

平均发现时间

指定时间内，所有告警落库时间与告警真实时间的差值的平均值。

平均响应时间

指定时间内，状态为已处理的告警的最终处置时间减去告警最新发现时间的平均值。

平均止血时间

统计的是状态为已处理（已防御）的告警被处置的时间减去告警最新发现的时间的平均值。

自动化处置率

统计的是告警从发生到系统自动处置的时间的平均值。

风险处置率部门

展示风险处置率为前 5 的资产组。

新增攻击源统计

统计指定时间范围内的攻击 IP 数量和已封禁 IP 数量。

攻击源处置监控

统计指定时间范围内，SOC 对攻击源的处理信息。

安全事件

统计指定时间范围内的 Top 5 安全事件，发生的安全事件信息，包括类型和数量。

工单状态统计

统计自定义时间范围内的工单处理信息。

3.3.2.5 自定义大屏

系统支持自定义安全大屏。

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“安全可视 > 安全大屏”，进入安全大屏页面。

(3) 单击右上角的“自定义大屏”，弹出“自定义大屏”对话框。

(4) 选择大屏类型；单击“导入 logo”，在弹出的对话框选择 logo，确定后设置成功。

自定义成功后，您可在“安全大屏”页面单击大屏进入到详情页面查看自定义后的大屏。

为了更好地呈现安全大屏，建议您上传透明背景色的图片，并使用浅色版本的 logo 样式。

3.3.3 安全报表

3.3.3.1 概述

云安全中心安全报表，可以针对一定时间区间安全数据进行报表分类统计输出，主要功能包括创建报表、报表通知、报表下载。

3.3.3.2 创建安全报表

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“安全可视 > 安全报表”，进入安全报表页面。

(3) 单击“创建报表”，弹出创建报表窗口。

(4) 根据下表中的参数说明配置参数信息，单击“保存”完成创建报表操作。

3.3.3.3 下载安全报表

• 待安全报表生成后，可到“安全可视 > 安全报表”页面，单击“下载列表”下载对应安全报表。

• 安全报表下载完成后，单击“查看”可看到报表中统计的相关数据信息。

3.4 资产中心

3.4.1 概述

资产中心页面从资产的类型、防护状态、风险状态等维度分别展示安全资产的对应信息。其功能包含：

• 资产同步：通过 API 方式同步云服务器资产，包括主机唯一标识、IP 地址、操作系统、主机名称、弹性公网 IP 等。

• 资产查询展示：查询展示云服务器相关资产名称、资产 ID、资产状态、IP 地址、操作系统、保护状态、风险状态。

• 资产分组和换组：通过创建分组、更换组别，将接入的资产进行分组管理。

• 切换服务规格：修改目标资产的基础服务授权规格、日志审计授权规格和漏洞扫描授权规格。

• 切换版本：即升级 Agent。

3.4.2 资产同步

资产同步功能默认 2 小时自动同步一次，如用户想尽快得到最新结果，可手动单击“同步资产”。

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 进入“资产中心 > 资产详情 > 服务器”页面。

(3) 单击“同步资产”，同步云服务器资产，包括主机唯一标识、IP 地址、操作系统、主机名称弹性公网 IP 等。

3.4.3 资产查询

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 进入“资产中心 > 资产详情 > 服务器”页面。

(3) 选择“资产分组”，在下拉菜单中选择查询类型，输入相关值，查询目标资产。

3.4.4 资产分组管理

任务简介

您可以通过创建分组，将接入的资产进行分组管理；并通过“换组”，为自定义分组添加资产。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 进入“资产中心 > 资产详情 > 服务器”页面。

(3) 单击“新建分组”，在弹出的对话框中设置组名称、描述等信息后，单击“确定”，创建成功。

创建成功的分组显示在“资产分组”列表中。

(4) （可选）创建子分组。

选择自定义的分组，单击，在下拉选项中选择“添加子分组”，弹出“新建分组”对话框，设置组名称、描述等信息后，单击“确定”，创建成功。

创建成功的分组显示在“资产分组”列表中。

(5) 为自定义分组添加资产。

选择目标资产，单击右侧的“换组”，在弹出的“换组”对话框中，选择已有的自定义分组，即可将该资产添加到分组中。

(6) 删除或编辑自定义分组。

选择目标分组，单击，在下拉选项中选择“删除分组”或“编辑分组”，在弹出的对话框中确认即可。

• 出厂默认的资产分组不允许删除和编辑。

• 当分组下有子分组或资产时，不允许删除分组；移除组内的资产后方可删除该分组。

3.4.5 切换服务规格

任务简介

“切换规格”指修改目标资产的基础服务授权规格、日志审计授权规格和漏洞扫描授权规格，在对应的威胁检测界面、日志审计界面只展示/不展示该资产信息。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 进入“资产中心 > 资产详情 > 服务器”页面。

(3) 单击目标资产操作列的“换规格”，弹出“切换规格”对话框。

(4) 修改资产的基础服务授权规格、日志审计授权规格或漏洞扫描授权规格后，保存即可。

参数说明

3.4.6 切换版本（Agent 升级）

任务简介

通过“换版本”操作，升级 Agent。

前提条件

您需要登录 CECSTACK 统一管理平台，在云工作负载安全 CWP 上传 Agent 升级包。操作如下：

(1) 登录 CECSTACK 统一管理平台。

(2) 在统一管理平台页面单击“云工作负载安全”图标，进入云工作负载安全 CWP 控制台页面。

(3) 进入“设置 > 系统升级”页面，在 Agent 版本管理区域，单击“上传新版本”。

(4) 在弹出的“防护设置”对话框，单击“上传”导入 Agent 升级包，Agent 升级包导入成功后，单击“确定”，上传完成。

Agent 升级

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“资产中心 > 资产详情”，进入资产中心页面。

(3) 选择要升级的 Agent，单击操作列的“换版本”，弹出“切换客户端版本”对话框。

(4) 选择要升级的目标版本，单击“保存”，等待 Agent 升级。

查看升级状态

(1) “换版本”显示为灰色不可操作时，表示正在升级中；“换版本”显示为蓝色可操作时，表示升级完成。

(2) 单击右上角的，勾选“版本”，资产详情列表页面显示版本状态列。

(3) 单击版本状态的，查看升级记录；可在升级结果列查看是否升级成功。

如果升级失败，系统自动回退到最近一个可用版本；如果升级成功，Agent 自动重启。

3.4.7 查看风险资产详情

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“资产中心 > 资产详情”，进入资产中心页面。

(3) 单击资产列表中的“存在风险”，自动跳转至“威胁检测”页面，并可对其告警处理。

3.4.8 启动信任链

场景描述

启动信任链是在设备启动过程中的阶段可基于可信根进行可信验证。启动过程包括整个启动链条的逐级度量，构成一个完整的信任链，保障启动以后进入一个可信的计算环境。

各环节度量模块根据度量策略的配置由 TPCM 完整对度量对象数据获取和对系统的控制，由 TCM完成对被度量数据的密码运算生成日志。启动阶段包括 BIOS、OSLoader、OSkernel 等。

前提条件

已同步资产。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“资产中心 > 资产详情”，进入资产中心页面。

(3) 进入存在风险资产分组。

(4) 单击资产目标 ID，进入查看可信资产启动过程页面，即可查看启动信任链。

如实际测量值与标准值不同，状态将显示“异常”。

单击状态列的“异常”可跳转到威胁检测中，查看启动信任链异常的告警信息并通过处理建议进行相关处理。

3.5 策略中心

3.5.1 概述

云安全中心支持应用白名单的功能，可防止您服务器上有未经过认证或授权的程序运行，为您提供可信的资产运行环境。

3.5.2 可信应用白名单

3.5.2.1 概述

您可将常见的、可信任的应用进程添加到可信应用白名单中，当应用程序尝试执行时，系统自动检查可信应用白名单，如果发现在其中就允许运行。

您需要先创建自学习策略，在学习完成后对进程加白，并将可信应用白名单下发到系统中，系统便可根据可信应用白名单，禁止非法程序运行。

3.5.2.2 可信应用白名单业务流程

(1) 开通 TCS 服务。

(2) 同步资产。

(3) 新建自学习策略。

(4) 开始学习。

(5) 自学习完成。

(6) 进程加白（添加可信应用白名单）。

(7) 下发可信应用白名单。

(8) （可选）重新学习。

3.5.2.3 新建自学习策略

任务简介

您可以创建针对单一资产或多个资产的自学习策略，策略创建成功后，系统下发学习任务，并根据学习策略开始学习。

前提条件

已开通 TCS 服务。

在 SOC 的“资产中心 > 资产详情”页面已同步资产。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“策略中心 > 可信应用白名单”，进入可信应用白名单页面。

(3) 单击“策略管理”页签。

(4) 单击“新建策略”，弹出新建策略页面。

(5) 根据下表中的参数说明配置参数信息后，单击“确定”。

3.5.2.4 开始自学习

查看自学习策略

新建自学习策略成功后，您可以在“生效工作负载”页面、“策略管理”页面查看创建的自学习策略。

“生效工作负载”页面展示针对单一资产的自学习策略；“策略管理”页面展示针对单一资产或多个资产的自学习策略。

查看学习状态

进入“策略中心 > 可信应用白名单 > 策略管理”页面，您可查看各学习策略对应的学习状态：

• 正在学习

• 学习完成

正在学习中的策略不支持编辑、删除操作。

在学习完成后，您可以查看学习到的进程，并对可疑进程加白。

操作生效资产上的相关进程

您可以根据“策略中心 > 可信应用白名单 > 生效工作负载”页面中的生效工作负载列表，在生效资产上操作相关进程，等待学习完成后查看学习到的进程，并对可疑进程加白。

3.5.2.5 进程加白

(1) 在学习完成后，您可以在“生效工作负载”页面通过“设置白名单策略”将进程添加为可信应用白名单；当应用程序尝试执行时，系统自动检查可信应用白名单，如果发现在其中就允许运行。在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 >云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“策略中心 > 可信应用白名单”，进入可信应用白名单页面。

(3) 进入“生效工作负载”页面。

(4) 选择学习完成的资产，单击操作列“设置白名单策略”，进入“白名单策略页面”，可查看到该资产学习完成后生成的可以进程名单。

(5) 添加可信应用白名单。

单个添加：单击要添加白名单的可疑进程，单击右侧的“添加白名单”，在弹出的对话框中确定即可。

批量添加：勾选要添加白名单的可疑进程，单击下方的“批量添加白名单”，在弹出的对话框中确定即可。

3.5.2.6 应用策略

您可以通过“应用策略”将添加的可信应用白名单下发到系统中，后续云安全中心自动检查可信应用白名单，将对不在白名单中的进程进行告警提示，在白名单中的则允许运行。

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“策略中心 > 可信应用白名单”，进入可信应用白名单页面。

(3) 单击“策略管理”页签，进入策略管理列表页面。

(4) 将策略应用状态列的开关置为，将该策略下的可信应用白名单下发到系统中。

3.5.2.7 重新学习

如果生效资产中，新增了其他可执行程序，您希望将这些程序添加为可信应用白名单，便可通过“重新学习”对该资产再次执行自学习策略。

(1) 进入“策略中心 > 可信应用白名单 > 策略管理”页面。

(2) 选择需要重新学习的策略，单击“重新学习”。

(3) 系统开始学习，等待学习完成后对可疑进程加白即可。

3.5.2.8 自学习策略管理

可根据需要，在“策略管理”页面的操作列对策略进行“重新学习”、“编辑”和“删除”操作。

正在学习中的策略不支持编辑、删除操作。

重新学习时，手动调整添加的白名单进程将继续保留，如想删除，需手动执行。

3.5.2.9 取消可信应用白名单

您可以根据实际运营需求，移除可信应用白名单里的白名单进程。

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“策略中心 > 可信应用白名单”，进入可信应用白名单页面。

(3) 进入“生效工作负载”页面。

(4) 找到目标资产，单击操作列“设置白名单策略”，进入“白名单策略页面”。

(5) 取消可信应用白名单。

单个取消：单击要移出白名单的可疑进程，单击右侧的“取消白名单”，在弹出的对话框中确定即可。

批量取消：勾选要移出白名单的可疑进程，单击下方的“批量取消白名单”，在弹出的对话框中确定即可。

3.5.3 封禁处置

3.5.3.1 概述

通过接入 UTS 探针设备，对入云流量做分析，如果达到致命级别，就会关联路径上的安全设备予以封禁。系统支持手动封禁、封禁黑名单、封禁白名单和封禁时长设置；通过 API 调用方式下发策略到该租户所有虚拟设备中实现封禁联动。

3.5.3.2 配置白名单

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“策略中心 > 封禁处置”，进入封禁处置页面。

(3) 单击“白名单配置”，进入白名单配置页面。

(4) 单击“添加 IP 白名单”，在弹出的对话框中输入 IP 地址或 IP 段、填写备注以及生效时长，完成后单击“保存”，添加成功。

(5) 您可以在此页面修改或删除白名单 IP，单击白名单列表右侧的“修改”或“删除”即可。

3.5.3.3 配置黑名单

系统对黑名单中的 IP 为阻断操作。如果系统产生告警且等级为严重，系统会提取此告警的源 IP，与白名单 IP/黑名单 IP 进行比对，如果命中了黑名单，会将此 IP 添加到封禁列表里。

建议将护网过程中获得的威胁 IP 威胁添加为黑名单，起预防作用。

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“策略中心 > 封禁处置”，进入封禁处置页面。

(3) 单击“黑名单配置”，进入黑名单配置页面。

(4) 单击“添加 IP 黑名单”，在弹出的对话框中输入 IP 地址或 IP 段、填写备注以及生效时长，完成后单击“保存”，添加成功。

(5) 您可以在此页面修改或删除黑名单 IP，单击黑名单列表右侧的“修改”或“删除”即可。

3.5.3.4 手动封禁

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“策略中心 > 封禁处置”，进入封禁处置页面。

(3) 单击封禁 IP 对应操作列的“封禁”（针对已解封的 IP），在弹出的对话框中输入封禁设备、封禁原因、封禁时长，单击“保存”即可封禁此 IP。

3.5.3.5 解封

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“策略中心 > 封禁处置”，进入封禁处置页面。

(3) 单击封禁 IP 对应操作列的“解封”，在弹出的对话框中输入解封原因、是否加白，单击“保存”即可解封此 IP。

3.5.3.6 查看告警详情

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“策略中心 > 封禁处置”，进入封禁处置页面。

(3) 单击封禁 IP 对应操作列的“告警详情”可查看此条封禁 IP 对应的告警。

3.5.3.7 封禁生效时长说明

3.5.4 策略白名单

3.5.4.1 概述

通过创建策略白名单对 DGA 告警进行加白；系统对接入的报文进行匹配，满足白名单规则的报文将不产生相应的告警。

SOC 暂时支持对 DGA 告警进行加白。

3.5.4.2 新建策略白名单

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 进入“策略中心 > 策略白名单”页面。

(3) 单击“新建”，弹出“新建策略白名单”对话框。

(4) 设置参数，单击“保存”，策略白名单新建成功。

3.5.4.3 策略白名单管理

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 进入“策略中心 > 策略白名单”页面。

(3) 您可以对策略白名单进行过滤展示、删除、编辑、开启/关闭等操作。

策略白名单为开启状态时，不允许删除。

3.5.5 漏洞扫描

3.5.5.1 概述

为了您的资产安全，建议您定期对资产进行漏洞扫描。云安全中心支持通过创建扫描任务对资产执行手动扫描，扫描模块包括：

• 扫描各类资产暴露的重要端口

• 扫描 Web 常规漏洞

• 扫描各类资产的弱密码漏洞

3.5.5.2 业务/配置流程

(1) 开通 VPC。

具体操作参见《专有网络 VPC 用户指南》。

(2) 购买 ECS。

具体操作参见《云服务器 ECS 用户指南》。

(3) 开通 SOC。

需购买漏洞扫描增值服务。

(4) 为要扫描的目标资产授权“漏洞扫描”规格。

开通 SOC 后，请至“资产中心 > 资产详情”页面，选择需要扫描的资产，单击“换规格”，在弹出的“切换规格”将“漏洞扫描授权”改为“授权”。

(5) 创建探针。

在“策略中心 > 漏洞扫描 > 探针管理”页面创建探针，绑定 VPC。

(6) 配置扫描任务。

在“策略中心 > 漏洞扫描 > 任务管理”页面配置扫描任务。

(7) 下发扫描任务。

在“策略中心 > 漏洞扫描 > 任务管理”页面，启动任务，将任务下发到探针。

(8) 查看扫描结果。

任务下发到探针后，探针扫描 VPC 内的资产，将扫描结果存储在 ES 或 MySQL 内，并生成Word 版的报告文件，前端可以下载查看。

3.5.5.3 前提条件

在正常使用漏洞扫描功能前，您需确保：

(1) 已购买 VPC。

(2) 已购买 ECS。

(3) 已开通 SOC，且开通时已购买漏洞扫描增值服务。

(4) 已为要扫描的目标资产授权“漏洞扫描”。

3.5.5.4 创建探针

限制与指导

同一 VPC 只可创建一个漏扫探针。

前提条件

• 已开通 SOC 实例，且购买了漏洞扫描增值服务，否则在创建探针时提示您“请开通漏洞扫描服务”。

• 存在可用的 VPC。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 进入“策略中心 > 漏洞扫描> 探针管理”页面。

(3) 单击“创建探针”，弹出“新建探针”对话框。

(4) 配置参数后，单击“保存”，新建探针成功。

(5) 保存信息后，请等待一会（约 40s），探针状态从“创建中”变为“可用”时即可。您可以单击刷新图标刷新探针的状态。

3.5.5.5 创建扫描任务

前提条件

• 已为要扫描的目标资产授权“漏洞扫描”，操作如下：

进入“资产中心 > 资产详情”页面，选择需要扫描的资产，单击“换规格”，在弹出的“切换规格”将“漏洞扫描授权”改为“授权”。

• 已存在探针。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“策略中心 > 漏洞扫描 > 任务管理”，进入漏洞扫描的任务管理页面。

(3) 单击“创建扫描任务”，进入“创建扫描任务”页面。

(4) 配置基础参数。

(5) 配置扫描参数。

系统默认的扫描协议为 TCP。

(6) 配置扫描资产。

选择要扫描的资产。

注意：您在此处只能选择开通漏洞扫描增值服务并成功开启探针的资产。

(7) 单击“创建并启动”，扫描任务创建成功并下发任务到探针，探针开始扫描 VPC 内的资产。

单击“创建”，扫描任务创建成功。您需要到“任务管理”页面，单击“启动”下发任务。

3.5.5.6 下发扫描任务

您可以在创建任务时，单击“创建并启动”，将创建的任务下发到探针；也可以在“任务管理”页面，单击“启动”来下发任务。

任务下发后，扫描状态显示为“扫描中”，待扫描结束后，您可以查看扫描结果。

扫描中的任务不可执行启动、删除、编辑、下载报告等操作。

3.5.5.7 查看扫描结果

任务扫描结束后，扫描状态显示为“已完成”。

单击“下载报告”，您可以将扫描结果下载到本地并查看，报告为 Word 格式。

如果扫描失败，结果为一个空数据的报告，只文件内只包含基础扫描配置信息。

3.5.5.8 管理扫描任务

过滤查询扫描任务

您可以通过输入关键字或使用过滤漏斗过滤查找扫描任务。

编辑/删除扫描任务

在“任务管理”页面，单击“编辑”或“删除”即可编辑任务或删除任务。

扫描中的任务不可执行删除、编辑。

待执行或已完成的任务可编辑、删除。

3.5.5.9 管理扫描探针

在“探针管理”页面，单击“编辑”或“删除”即可编辑探针或删除探针。

删除探针后，SOC 将无法扫描该探针绑定的 VPC 范围内的资产漏洞，请谨慎操作。

3.6 安全防范

3.6.1 漏洞管理

3.6.1.1 概述

云安全中心产品支持通过云工作负载安全 CWP 服务对服务器中存在的高危系统漏洞、应用漏洞进行检测、识别、修复等。

3.6.1.2 限制与指导

• 您必须开通云工作负载安全 CWP 服务，如若未开通，在进入“漏洞管理”界面时弹出“开通云工作负载安全 CWP 服务”对话框，引导您开通 CWP 服务。

• 云安全中心的“漏洞管理”界面只支持查看漏洞信息，暂不支持漏洞扫描、加白、验证、修复等操作，您可在云工作负载安全 CWP 的“安全防范 > 漏洞管理”中执行相应的操作，具体可参见《云工作负载安全 CWP 用户指南》手册。

• 请确保已为登录账户添加了 CWP 的 IAM 读权限，否则在进入“安全防范 > 漏洞管理”页面时，系统提示“iam 用户权限不足”，无法使用 SOC 的漏洞管理功能。

添加 IAM 权限操作简单说明如下，具体操作可参见授权单个 IAM 用户使用 SOC 或授权 IAM用户组使用 SOC。

a. 在“身份认证与访问管理”模块，进入“用户管理”或“用户组”界面。

b. 选择目标用户/用户组，单击右侧的“添加权限”，在弹出的“添加权限”对话框中，为

该用户/用户组添加“CecloudCWPReadOnlyAccess”（只读访问云工作负载安全(CWP)的权限）权限。

3.6.1.3 Linux 系统漏洞

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 进入“安全防范 > 漏洞管理> 服务器漏洞 > Linux 系统漏洞”页面。

(3) 查看当前服务器漏洞统计信息、Linux 系统漏洞等。

从漏洞维度查看漏洞详情

单击漏洞公告名称，可以查看漏洞公告详情。

查看漏洞公告白名单

单击“漏洞公告白名单”，在弹出的对话框中查看漏洞公告白名单列表，已加入白名单的漏洞将不在页面上展示。

注意：您必须在 CWP 的“安全防范 > 漏洞管理”中添加漏洞公告白名单，云安全中心的此页面上才有数据。

从服务器角度查看漏洞风险分布和受影响资产

进入“Linux 系统漏洞 > 服务器维度”页面，可查看所有资产的漏洞扫描结果。

查看服务器白名单

单击“服务器白名单”，在弹出的对话框中查看服务器白名单列表，已加入白名单的服务器将不在页面上展示。

注意：您必须在 CWP 的“安全防范 > 漏洞管理”中添加服务器白名单，云安全中心的此页面上才有数据。

导出漏洞信息

单击右侧的，可将当前页面的信息导出到本地。

3.6.1.4 应用漏洞

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 进入“安全防范 > 漏洞管理 > 服务器漏洞 > 应用漏洞”页面。

(3) 查看当前服务器漏洞统计信息、应用漏洞等。

查看漏洞详情

单击漏洞公告名称，可以查看漏洞公告详情。

导出漏洞信息

单击右侧的，可将当前页面的信息导出到本地。

3.6.2 合规基线

任务简介

云安全中心产品支持通过云工作负载安全 CWP 服务查看基线扫描完成后的合规情况，包括检查结果、检查项列表、检查项详情等。

限制与指导

• 您必须开通云工作负载安全 CWP 服务，如若未开通，在进入“合规基线”界面时弹出“开通云工作负载安全 CWP 服务”对话框，引导您开通 CWP 服务。

• 请确保已为登录账户添加了 CWP 的 IAM 读权限，否则在进入“安全防范 > 合规基线”页面时，系统提示“iam 用户权限不足”，无法使用 SOC 的合规基线功能。

添加 IAM 权限操作简单说明如下，具体操作可参见授权单个 IAM 用户使用 SOC 或授权 IAM用户组使用 SOC。

a. 在“身份认证与访问管理”模块，进入“用户管理”或“用户组”界面。

b. 选择目标用户/用户组，单击右侧的“添加权限”，在弹出的“添加权限”对话框中，为该用户/用户组添加“CecloudCWPReadOnlyAccess”（只读访问云工作负载安全(CWP)的权限）权限。

• 请确保已在 CWP 服务的“策略中心 > 检测规则 ”的“合规基线 > 基线扫描”中创建了基线扫描策略。

• 云安全中心的“合规基线”界面只支持查看合规基线信息，暂不支持基线扫描、忽略检查项、验证检查项等操作，您可在云工作负载安全 CWP 的“安全防范 > 合规基线”中执行相应的操作，具体可参见《云工作负载安全 CWP 用户指南》手册。

• 您必须在云工作负载安全 CWP 服务中至少完成一次基线扫描。

• 支持 3 种基线类型：CECloud Linux 操作系统最佳实践、Linux 操作系统等保三级、Linux 操作系统等保二级。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 进入“安全防范 > 合规基线”页面。

(3) 单击“查看详情”进入详情页面。

筛选：您可以单击下拉列表根据分类、检查项、重要程度、检查结果进行筛选。

导出：您可以单击将筛选后的检查项进行导出。

详情：您可以单击“详情”，查看此检查项的描述信息、执行方法、修复建议等信息。

基线检测详情

查看检测项详情

3.6.3 云产品基线

3.6.3.1 概述

云产品基线功能支持对云服务器、专有网络、云数据库、对象存储、云负载均衡、云工作负载安全、访问控制等的配置进行安全检测，并提供检测结果说明和加固建议。基线检查功能可以帮您进行系统安全加固，降低入侵风险并满足安全合规要求。

3.6.3.2 基线检查项

云安全中心提供默认的基线检查项目。通过对服务器进行基线检测，可以获取服务器在基线配置和应用上存在的风险和缺陷，同时云安全中心还会为您提供风险告警和修复建议。以下为云安全中心支持的所有基线检查项。

3.6.3.3 系统自动检查

系统内置基线检查规则，每天 00:10 自动对云产品基线的所有项进行检查，检查结果显示在“安全规范 > 云产品基线”页面和“安全可视 > 仪表盘”的“安全状态-基线（今日待处理）”区域。

3.6.3.4 执行手动检查

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“安全规范 > 云产品基线”，进入云产品基线页面。

(3) 手动检查云产品基线。

单击“立即检查”，对云产品基线的所有项进行检查。

展开目标云产品基线，单击检查项右侧的“检查”，对单个子项进行检查。

3.6.3.5 查看检查结果

完成基线检查后，您可以在“云产品基线”基线页面查看检查结果、处理检查结果，并可根据检查项中的“设置向导”处理风险问题。

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“安全规范 > 云产品基线”，进入云产品基线页面。

(3) 查看检查结果。

3.6.3.6 处理检查结果

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“安全规范 > 云产品基线”，进入云产品基线页面。

(3) 处理检查结果。

修复

展开云产品基线，单击具体的检查项，根据设置导向说明进行修复。

不同类型的风险项修复方式不同，根据实际场景中的设置向导说明操作即可。

验证修复

修复完成后，您可以在“云产品基线”页面执行“检查”或“立即检查”操作，查看是否仍存在风险项；也可以进入到对应的检查项说明中，单击“验证”，根据检查结果（是否依旧存在风险项）查看是否修复成功。

忽略统计

当您确认某项检查结果不是风险项，可单击右侧的“忽略”，系统便不将此项计入风险项统计结果中，即“云产品基线”左上方的风险项统计数据根据操作刷新显示。

取消忽略统计

“取消忽略”指再次将检查项纳入统计中。单击“取消忽略”后，左上角的风险项数据刷新展示。

3.7 威胁检测

3.7.1 概述

为解决告警事件数量庞大，分析和处置方法复杂，告警事件无法统一管理等问题，中国电子云云安全中心-威胁检测模块，提供安全告警事件统一处置与响应功能，帮助用户集中处理全网安全事件，提升安全运营效率。

• 支持多种告警类型，如：进程异常行为、反弹 shell、可信环境异常、横向移动、网页木马、网络威胁、异常登录、网络侦察、恶意软件查杀、拒绝服务攻击、Web 攻击、APT、网络异常行为、DDoS 防护告警、DGA 域名检测等。

• 精准安全告警识别：通过集成商业威胁情报能力对原始告警二次分析，富化关键信息，实现告警动态定级，降低信息过载。

• 一站式告警处置：客户可通过云安全中心，针对各类告警执行不同处置方案，包括忽略、加白、转工单、防御、线下处理操作等，后续会联动 XDR 设备实现一键封禁功能，针对无法快速处置告警，可参考处置建议，灵活应变。

• 支持 DDoS 防御设置，可设置清洗阈值。

3.7.2 过滤筛选操作

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(3) 在下拉菜单选择查询类型，输入相关值；选择时间范围后，便可查询目标告警。

筛选时间范围

筛选告警类型

3.7.3 查看告警详情和处理建议

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(3) 在“告警详情”模块，单击目标告警操作列的“详情与建议”可查看告警详细信息和处理建议；

单击“告警处理”可对告警信息进行处理（告警处理说明见告警处理方式说明）。

3.7.4 告警处理

1. 进入告警处理对话框

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(3) 在“告警详情”模块，您有 2 种方式进入告警处理对话框：

单击目标告警操作列的“告警处理”。

单击目标告警操作列的“详情与建议”，在“详情与建议”对话框中单击“告警处理”。

(4) 选择告警处理方式。

告警处理方式说明见本节下文。

2. 告警处理方式说明

加白

将告警添加到策略白名单中，当再次发生相同告警时不再告警，请谨慎操作。加入白名单后，告警状态显示为“已处理（已加白）”。

如果告警为误报，您可以将本次告警加入白名单；部分加白处理需设置加入白名单的规则和应用范围。

忽略

忽略本次告警，再次发生相同告警时，云安全中心将再次告警。忽略后，告警状态显示为“已处理（已忽略）”。

防御

在“告警处理”中设置封禁设备、生效时长等封禁策略，云安全中心服务器在接受到告警信息后进行研判，生成封禁 IP，云安全中心服务器调用 API 下发封禁策略到关联设备。封禁防御处理完成后，告警状态将变为“已处理（已防御）”。

• 如果已在“策略中心 > 封禁处置”中设置了白名单、黑名单，云安全中心服务器在接收到告警数据时会识别告警中的封禁 IP，通过调用 API 方式触发封禁策略下发到关联设备中，该账户下的所有未处理的告警状态自动更新为“已处理（已防御）”。

• 在执行“手动封禁”后，该账户下的所有未处理的告警状态将自动更新为“已处理（已防御）”。

转工单

通过创建工单，设置处置人员，将告警处理任务下发到工单系统中进行处理。工单下发后，告警状态变为“已处理（工单处置中）”，处理完成后告警状态将变为“已处理（工单关闭）”。

误报

加入误报后，当相同告警再次发生时将再次告警；选择误报后，告警状态将变为“已处理（疑似误报）”。

线下处理

安全运营人员在线下处理完成，后续云安全中心会继续对该事件进行告警。处理后，告警状态将变为“已处理（已线下处理）”。

3.7.5 导出告警

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(3) （可选）参见过滤筛选操作，筛选出您需要的信息。

(4) 在“告警详情”模块，单击右上方的“导出”图标，可将告警信息导出到本地。

3.7.6 告警类型说明

云安全中心支持实时检测资产中的安全告警事件，覆盖网页木马、进程异常、持久化后门、异常登录、恶意进程等安全告警类型。通过多种威胁检测模型，提供全面的安全告警类型检测，帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。

您可以在“威胁检测”页面查看检测出的安全告警事件。

1. 进程异常行为

进程异常行为是指实时监控容器或主机内所有异常进程执行的行为，告警包括访问恶意下载源、代理软件调用、清理痕迹、信息收集、后门进程、可疑命令、操作敏感文件、agent 威胁操作、修改关键文件、渗透常用工具、远程文件执行、进程异常写文件。

在“威胁检测”页面的下拉菜单中，告警类型选择进程异常行为，单击“确认”即可筛选此类告警数据。

2. 反弹 shell

云安全中心产品实时监控容器、主机内所有利用 shell 进行反向连接的行为，当有反向连接行为发生时，云安全中心产品将及时告警。反弹 shell 告警类型包括 Linux 工具反弹 shell、编程语言反弹shell、BASH 反弹 shell。

在“威胁检测”页面的下拉菜单中，告警类型选择反弹 shell，单击“确认”即可筛选此类告警数据。

3. 可信环境异常

检测服务器的系统进程是否存在修改、启动过程是否出现异常等问题。

在“威胁检测”页面的下拉菜单中，告警类型选择可信环境异常，单击“确认”即可筛选此类告警数据。

4. 网页木马

云安全中心产品可以对 Web 目录下的文件内容进行检测，发现是否存在有 web 后门文件。若发现存在后门文件，则会在威胁检测中告警，包括 JSP 木马、PHP 木马等。

在“威胁检测”页面的下拉菜单中，告警类型选择网页木马，单击“确认”即可筛选此类告警数据。

5. 异常登录

云安全中心产品支持暴力破解告警、异地登录告警、异常时间登录告警、异常账号登录告警以及异常 IP 登录告警。

在“威胁检测”页面的下拉菜单中，告警类型选择异常登录，单击“确认”即可筛选此类告警数据。

6. 网络侦察

扫描端口、网络，检测 Web 弱口令是否合规等。

在“威胁检测”页面的下拉菜单中，告警类型选择网络侦察，单击“确认”即可筛选此类告警数据。

7. 网络威胁

检测系统服务器中的远控木马、后门程序、恶意域名访问、DGA 域名、DNA 隐藏隧道、可疑 VPN等。

在“威胁检测”页面的下拉菜单中，告警类型选择网络威胁，单击“确认”即可筛选此类告警数据。

8. 恶意软件查杀

检测系统是否遭受恶意软件攻击，对可能的恶意软件进行查杀。

在“威胁检测”页面的下拉菜单中，告警类型选择恶意软件查杀，单击“确认”即可筛选此类告警数据。

9. 拒绝服务攻击

检测 DDoS 流量攻击等行为。

在“威胁检测”页面的下拉菜单中，告警类型选择拒绝服务攻击，单击“确认”即可筛选此类告警数据。

10. Web 攻击

检测 Web 攻击行为，包括跨站脚本攻击、跨站请求伪造、Webshell 等。

在“威胁检测”页面的下拉菜单中，告警类型选择 Web 攻击，单击“确认”即可筛选此类告警数据。

11. APT

在“威胁检测”页面的下拉菜单中，告警类型选择 APT，单击“确认”即可筛选此类告警数据。

12. 网络异常行为

云安全中心产品通过实时采集客户端 DGA、DNS、socket 对外连接数据，与商业威胁情报匹配完成网络异常行为发现功能，其中包括但不限于矿池通讯行为、访问恶意域名、APT 活动事件等异常网络行为。

在“威胁检测”页面的下拉菜单中，告警类型选择网络异常行为，单击“确认”即可筛选此类告警数据。

13. 病毒木马

云安全中心的病毒木马功能支持对服务器、容器内所有进程文件实时检测、发现病毒文件告警时提供关闭进程、隔离文件、隔离后恢复等处置能力，形成安全闭环。

在“威胁检测”页面的下拉菜单中，告警类型选择病毒木马，单击“确认”即可筛选此类告警数据。

14. 持久化后门

云安全中心产品支持检测服务器中存在的持久化后门，如果发现持久化后门将触发告警，包括恶意启动项、SSH 免登录 key 后门、后门账户等。

在“威胁检测”页面的下拉菜单中，告警类型选择持久化后门，单击“确认”即可筛选此类告警数据。

3.8 调查响应

3.8.1 概述

围绕企业用户日志集中管理和搜索分析核心需求，云安全中心推出了全量日志分析功能，对现有的基础日志和告警日志进行管理，同时支持用户自定义报表分析功能。

3.8.2 全量日志分析

“全量日志分析”页面可查询接入的安全日志、基础日志等日志的原始日志信息，也可以查看日志聚合后的统计结果。

3.8.2.1 全量日志存储说明

• SOC 中，“统一管理平台+所有租户”共用的全量日志存储容量最大为 512GB，当达到容量阈值时，系统进行删除，删除比例为 25%。

您可以在“全量日志分析”页面的右上方查看当前存储情况。

• 全量日志的日志存储时间最长为 180 天，系统自动清理超过 180 天的数据。

3.8.2.2 查看全量日志分析字段说明

您可以在“全量日志分析”页面单击右上方的“字段说明”，将“全量日志分析字段说明”文件下载到本地，查看全量日志分析接入的日志类型、字段说明、告警说明等。

您可以借助“全量日志分析字段说明”文件中的字段说明和“支持统计聚合查询、关联统计聚合查询”输入框处的语法提示信息，自行输入日志查询的 SQL 语句。

3.8.2.3 设置过滤条件

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“调查响应 > 全量日志分析”，进入全量日志分析页面。

(3) 设置过滤筛选条件，查找日志。

选择需要查询的日志类型、时间或输入 SQL 语句单击“检索”，页面根据筛选条件刷新展示。

在输入 SQL 语句时，单击，弹出语法提示，您可根据提示的语法说明填写字段筛选条件；或参照附录中的日志检索语法说明检索。

• 查询原始日志时，支持索引字段检索和原始日志检索；索引字段检索匹配的是“快速分析”中的字段，原始日志检索匹配的是“日志详情”中的字符串。

• 查询统计报表时，仅支持聚合统计检索。

3.8.2.4 查看/下载原始日志

前提条件

已在平台侧（即 CECSTACK 统一管理平台）完成多源日志接入配置。

操作步骤

设置过滤条件后，在“原始日志”页面可查看日志发展趋势、日志详情，或下载日志到本地。

• 日志发展趋势

“日志发展趋势”以柱状图统计指定时间范围内的日志数量。

• 快速分析

在“快速分析”区域可查看字段占比等信息；可对已选字段和可选字段进行增加或减少。

注意：已选字段和可选字段的增加或减少会影响日志信息导出时日志字段数。

• 日志详情

在“日志详情”页面可查看具体日期内的原始日志详情。

• 下载日志

在日志详情模块单击下载日志信息。

3.8.2.5 查看/下载统计报表

云产品中心支持丰富的报表展现形式，如：表格、柱状图、饼图、折线图等，可直观的展示日志统计信息。

前提条件

已在平台侧（即 CECSTACK 统一管理平台）完成多源日志接入配置。

操作步骤

设置过滤条件后，在“全量日志分析”页面，单击“统计报表”页签，选择报表形式后，配置报表属性，即可展示统计报表；单击可将报表下载到本地。

3.9 日志审计

3.9.1 概述

云安全中心 SOC 可对接入的平台日志（云服务器、云数据库、云堡垒机、云防火墙等）进行审计规则匹配，命中规则后产生审计事件。

“日志审计”页面提供日志审计结果概览、日志查询、审计策略管理。您可在此页面执行与日志审计相关的操作。

3.9.2 审计日志存储说明

• 每个租户的日志存储容量最大为 100GB，当达到容量阈值时，系统进行删除，删除比例为 25%。

您可以在“日志审计”页面的右上方查看当前存储情况。

• 每个租户的日志存储时间最长为 180 天，系统自动清理超过 180 天的数据。

3.9.3 审计概览

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“日志审计”，进入日志审计页面。

(3) 设定时间范围。

您可以单击“近 1 天”、“近 7 天”、“近 14 天”或自定义时间，从页面查看原始日志发展趋势、审计事件发展趋势、审计类型日志量、审计类型日志量备份。

(4) 下载趋势图。

单击可下载趋势图。

(5) 下载日志审计字段说明 pdf 文件。

可单击“字段说明”，下载日志审计字段说明 pdf 文件。

3.9.4 审计查询

您可以在“审计查询”页面查询接入平台（云服务器、云数据库、云堡垒机、云防火墙等）的原始日志详情、报文匹配自定义审计策略产生的审计事件详情；也可以查看日志聚合后的统计结果。

3.9.4.1 查看日志审计字段说明

您可以在“日志审计”页面单击右上方的“字段说明”，将“日志审计字段说明”文件下载到本地，查看审计日志接入的日志类型和字段说明、审计告警接入的字段说明。

您可以借助“日志审计字段说明”文件中的字段说明和“支持统计聚合查询、关联统计聚合查询”输入框处的语法提示信息，自行输入日志查询的 SQL 语句。

3.9.4.2 设置过滤条件

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“日志审计”，进入日志审计页面。

(3) 单击“审计查询”页签，进入审计查询页面。

(4) 设置过滤筛选条件，查找日志。

选择需要查询的日志类型、时间或输入 SQL 语句单击“检索”，页面根据筛选条件刷新展示。

在输入 SQL 语句时，单击，弹出语法提示，您可根据提示的语法说明填写字段筛选条件；或参照附录中的日志检索语法说明检索。

• 查询统计报表时，支持聚合统计检索。

3.9.4.3 查看/下载原始日志

设置过滤条件后，在“原始日志”页面可查看日志发展趋势、日志详情，或下载日志到本地。

日志发展趋势

“日志发展趋势”以柱状图统计指定时间范围内的日志数量。

快速分析

在“快速分析”区域可查看字段占比等信息；可对已选字段和可选字段进行增加或减少。

注意：已选字段和可选字段的增加或减少会影响日志信息导出时日志字段数。

日志详情

在“日志详情”页面可查看具体日期内的原始日志详情

下载日志

在日志详情模块单击下载日志信息。

3.9.4.4 查看/下载统计报表

云产品中心支持丰富的报表展现形式，如：表格、柱状图、饼图、折线图等，可直观的展示日志统计信息。

设置过滤条件后，在“日志审计 > 审计查询 > 统计报表”页面，选择报表形式后，配置报表属性，即可展示统计报表；单击可将报表下载到本地。

3.9.5 审计策略

3.9.5.1 新建审计策略

(1)在CECSTACK专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2)单击左侧导航栏的“日志审计”，进入日志审计页面。

(3)单击“审计策略”页签，进入审计策略页面。

(4)单击“新建”，弹出新建页面。

(5) 根据下表中的参数说明配置参数信息。

(6) 单击“保存”，完成新建日志审计策略。

3.9.5.2 审计策略管理

• 单击策略操作列的“编辑”可修改此策略。

• 单击策略操作列的“删除”可删除此策略。

• 单击策略操作列的可开启或关闭此策略。

3.10 系统设置

3.10.1 通知

3.10.1.1 概述

云安全中心支持通过短信、邮件、站内信的方式向您发送通知。您可根据业务需要进程异常、网页木马、网络威胁等告警通知。

3.10.1.2 设置告警通知

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“系统设置 > 通知”，进入通知页面。

(3) 单击“设置”，弹出设置-威胁告警窗口。

(4) 根据需要选择告警类别、风险等级、通知方式和通知时间后，完成后单击“保存”。

(5) 在“系统设置 > 通知”页面，设置消息通知开关为开启。

(6) 若触发告警，则可以查看通知信息，以邮件举例。

3.10.1.3 新增接收人

限制与指导

已登录的租户为默认的消息接收者。

操作步骤

(1) 单击“接收人管理”进入消息接收人管理页面。

(2) 单击“接收人管理”进行通知接收人设置。

(3) 可根据需要填写姓名、邮箱、手机等信息，完成后单击“保存”。

3.10.1.4 管理接收人

不允许编辑或删除当前登录的账户。

• 单击目标接收人操作列的“编辑”，编辑该接收人信息。

• 单击目标接收人操作列的“删除”，删除该接收人。

3.10.2 多源日志接入

3.10.2.1 概述

您可以在“多源日志接入”模块创建日志采集探针、管理被采集的设备、配置日志采集方式，并可对接入的设备进行管理，包括增删改查厂商、设备等。

3.10.2.2 前提条件

如果您想正常使用多源日志接入功能，需确保：

• 已开通企业版 SOC 实例且实例正常（即实例不存在欠费、到期等状态）。

如果不满足以上要求，您在进入“多源日志接入”页面时，系统将提示您开通企业版 SOC 实例。

• 至少为 1 项资产分配了日志审计授权，具体操作可参见切换服务规格。

• 已创建或已存在可用 VPC。

创建日志采集探针时，需绑定 VPC，所以您需要确保存在可用的 VPC，否则请到“专有网络VPC”开通，开通操作参见《专有网络 VPC 用户指南》。

3.10.2.3 配置流程说明

(1) 创建探针。

在“系统设置 > 多源日志接入 > 接入探针”页面创建日志采集探针，绑定 VPC。

(2) 新增设备。

在“系统设置 > 多源日志接入 > 接入设备”页面创建日志接入的设备信息，在接入设备中绑定日志采集探针、配置日志接入方式等。

(3) 创建接入模板。

在“系统设置 > 多源日志接入 > 接入模板”页面为设备创建日志接入模板。

(4) 启动设备。

设备启动成功后，SOC 便可正常采集到设备发送到探针的日志信息了。

(5) 查看日志审计信息。

在启动设备后，探针开始采集设备上的日志信息，并根据接入模板中的解析规则解析日志。您可以在“日志审计”的“审计概览”页面查看该设备的日志审计信息，在“审计查询”页面查询改设备的原始日志解析结果，在“审计策略”页面配置针对此设备的规则策略。

3.10.2.4 接入探针

1. 创建探针

任务简介

您需要通过“创建探针”创建日志采集探针，该探针在与设备绑定后，将用于采集该设备上的日志信息。

前提条件

已创建专属网络 VPC 或存在可用的 VPC。

限制与指导

同一 VPC 只可创建一个探针。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 进入“系统设置 > 多源日志接入 > 接入探针”页面。

(3) 单击“创建探针”，弹出“新建探针”对话框。

(4) 配置参数后，单击“保存”，新建探针成功。

(5) 保存信息后，请等待一会，探针状态从“创建中”变为“可用”时表示探针创建成功。您可以单击刷新图标刷新探针的状态。

2. 编辑探针

您可以编辑探针的名称和描述信息，但不可更改绑定的 VPC 和子网信息。

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 进入“系统设置 > 多源日志接入 > 接入探针”页面。

(3) 找到要修改的探针，单击操作列的“编辑”，弹出“编辑探针”对话框。

(4) 修改探针名称和描述信息。

探针名称唯一，不允许重复。

(5) 单击“保存”，弹出“探针编辑成功”的提示信息，修改成功。

3. 删除探针

已绑定设备的探针不允许删除，请您先删除该设备，删除操作可参见管理设备。

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 进入“系统设置 > 多源日志接入 > 接入探针”页面。

(3) 找到要删除的探针，单击操作列的“删除”，弹出“删除探针”对话框。

(4) 单击“确定”，删除成功。

探针删除成功后，绑定的 VPC 被释放，您可创建新的探针绑定 VPC。

3.10.2.5 接入设备

1. 新增设备类型

您可以通过创建日志接入设备的类型，将某些属性或用途相同的设备归类管理。

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“系统设置 > 多源日志接入”，默认进入“接入设备”页面。

(3) 单击“新建设备类型”，弹出新建设备类型窗口。

(4) 根据下表中的参数说明配置参数信息后，单击“确定”，完成新增设备类型操作。

2. 管理设备类型

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“系统设置 > 多源日志接入”，默认进入“接入设备”页面。

(3) 编辑或删除设备类型。

单击目标设备类型后的“ > 编辑设备类型”，编辑该设备类型信息。

单击目标设备类型后的“> 删除设备类型”，删除该设备类型。

• 当设备类型下存在厂商且厂商中存在设备时，不允许删除；先移除厂商内的设备再删除厂商后方可删除设备类型。

• 当设备类型下存在厂商但厂商中不存在设备时，不允许删除；删除厂商后方可删除设备类型。

3. 添加厂商

您可以为设备添加厂商信息。

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“系统设置 > 多源日志接入”，默认进入“接入设备”页面。

(3) 单击对应设备类型后的，并单击“添加厂商”，弹出添加厂商窗口。

(4) 根据下表中的参数说明配置参数信息后，单击“确定”完成添加厂商操作。

4. 管理厂商

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“系统设置 > 多源日志接入”，默认进入“接入设备”页面。

(3) 编辑或删除厂商。

单击目标厂商后的“ > 编辑厂商”，编辑该厂商信息。

单击目标厂商后的“ > 删除厂商”，删除该厂商。

5. 新增设备

您可以通过“新增设备”添加被采集日志的设备信息并绑定日志采集探针，绑定后系统使用该探针采集此设备的日志信息。

请确保日志采集探针已创建成功，具体操作见创建探针。

（可选）新建设备前，您可以先为此设备新增设备类型、添加厂商。

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“系统设置 > 多源日志接入”，默认进入“接入设备”页面。

(3) 单击“新建设备”，弹出新建设备对话框。

(4) 根据下表中的参数说明配置参数信息后，单击“确定”完成新建设备操作。

设备创建成功后，需为该设备创建日志接入模板，具体操作见创建接入模板。

6. 管理设备

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“系统设置 > 多源日志接入”，默认进入“接入设备”页面。

(3) 编辑或删除设备。

编辑设备信息：单击目标设备操作列的“编辑”，编辑该设备信息。

删除设备：单击目标设备操作列的“删除”，删除该设备。

7. 启动设备

通过启动设备，探针开始采集设备上的日志信息，SOC 方可正常采集到该租户 VPC 内的设备发送到探针的日志信息了。

请确保该设备已配置日志接入模板（参见创建接入模板），否则提示启动失败。

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“系统设置 > 多源日志接入”，默认进入“接入设备”页面。

(3) 在已创建日志接入模板的目标设备的“操作列”，单击“启动”，设备开始启动。

设备启动成功后，探针开始采集设备上的日志信息，并根据接入模板中的解析规则解析日志。您可以在“日志审计”的“审计概览”页面查看该设备的日志审计信息，在“审计查询”页面查询改设备的原始日志解析结果，在“审计策略”页面配置针对此设备的规则策略。

8. 停止设备

您可以通过“停止”操作停止设备的日志采集和接入。

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“系统设置 > 多源日志接入”，默认进入“接入设备”页面。

(3) 在已启动的目标设备的“操作列”，单击“停止”即可。

3.10.2.6 接入模板

1. 创建接入模板

您可以通过“创建接入模板”为设备配置日志接入、解析的模板。系统支持两种配置方式：基础模式和专家模式。

基础模式

“基础模式”支持少量的解析方式，建议对 logstash 了解较少的用户使用此模式，或针对简单的日志格式接入时使用此模式。

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“系统设置 > 多源日志接入”，默认进入“接入设备”页面。

(3) 单击“接入模板”页签。

(4) 单击“新建模板”，弹出选择模板类型对话框。

(5) 选择基础模式，进入新建模板页面。

(6) 配置解析参数。

在解析页面，可根据需要自定义模板名称、在下拉列表中选择设备名称、设置日志解析方式、日志样例和解析规则，完成后单击“下一步”。

(7) 设置日志字段转换策略。

在转换页面，设置日志转换策略，配置完成后单击“下一步”。

(8) 配置日志转发策略。

日志转发方式选择 kafka（存为审计），配置完成后，单击“保存”。

专家模式

“专家模式”支持较多的解析方式，用户可自定义 logstash 语句和 filter。

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“系统设置 > 多源日志接入”，进入多源日志接入页面。

(3) 单击“接入模板”页签。

(4) 单击“新建模板”，弹出选择模板类型对话框。

(5) 选择专家模式，进入新建模板页面。

(6) 配置解析参数。

根据需要自定义模板名称、在下拉列表中选择设备名称、填写日志解析配置，完成后单击“下一步”。

(7) 配置日志转发策略，配置完成后，单击“保存”。

日志接入模板创建成功后，你可以启动设备。

2. 管理接入模板

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云安全中心 SOC”，进入云安全中心控制台页面。

(2) 单击左侧导航栏的“系统设置 > 多源日志接入”，默认进入“接入设备”页面。

(3) 单击“接入模板”页签，进入“接入模板”页面。

(4) 编辑或删除模板。

单击目标接入模板操作列的“编辑”，编辑该接入模板信息。

单击目标接入模板操作列的“删除”，删除该接入模板。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服