聚合检索模块集成平台所有的数据源和字段,支持通过简单的条件语句检索数据。模块强化了风险分析能力,通过事件调查和规则配置等功能配合,实现告警事件自动化处置。
背景信息
聚合检索包括检索主体和检索条件两部分。
- 检索主体:在资产、日志、风险和告警四个类型中选择检索范围。
- 检索条件:在选定的检索范围中根据已有字段,设置逻辑匹配条件,支持设置多个检索条件组和条件。
说明
- 每个主体下支持多个检索条件组聚合,每个条件组下也支持添加多个条件。
- 资产主体可与风险、告警聚合查询,暂不支持其他主体聚合查询。
- 多个检索条件或条件组之间可为”且“或者”或“的关系。
- 且:所有条件需同时满足。
- 或:仅满足其中任意一条即可。
使用模板检索
多云安全平台预置 4 个检索模板,您可以直接选择对应的模板检索数据,或者在模板基础上修改、增加检索条件,并将其另存为新的检索模板。
在页面左侧,选择聚合检索。
单击模板检索。
选择目标模板。
对应的检索条件会自动显示在检索页面。
下表介绍每个模板对应的检索主体和检索条件信息。模板名称
检索主体
检索条件组
检索条件
一级主体
条件组主体
条件组间逻辑关系
条件间逻辑关系
参数
匹配方式
取值
查询阿里云环境中所有存在风险的资产
全部资产
风险
不涉及(仅一个条件组)
不涉及(仅一个条件)
云账号厂商
等于
阿里云
查询最近 7 天内最新检测到的风险
风险
风险
不涉及(仅一个条件组)
不涉及(仅一个条件)
最近检测时间
--
近 7 天
查询最近 3 天内发生的所有暴力破解告警
告警
告警
不涉及(仅一个条件组)
且
最近检测时间
--
近 7 天
分类
等于
暴力破解
查询多云环境中所有未修复的高危严重风险
风险
风险
不涉及(仅一个条件组)
且
严重性
属于
严重、高危
状态
等于
未修复
单击查询后,列表中会展示查询结果。
自定义检索
自定义检索即手动输入检索主体和检索条件,当一级检索主体为资产时,条件组的主体可选择资产、风险或告警。当一级检索主体为其他类型时,条件组的主体与一级检索主体保持一致。
在页面左侧,选择聚合检索。
设置检索条件。以检索火山引擎账号下所有虚拟机资产相关的严重性为高危、严重的风险数据为例介绍如何设置自定义检索条件。
检索主体
检索条件组
检索条件
一级主体
条件组主体
条件组间逻辑关系
条件间逻辑关系
参数
匹配方式
取值
资产>虚拟机
虚拟机
且
不涉及(仅一个条件)
云账号厂商
等于
火山引擎
风险
不涉及(仅一个条件)
严重性
属于
严重、高危
界面配置如下图所示。
单击查询,列表展示符合条件的查询结果。
相关操作
- ①:添加条件组,适用于不同检索主体的聚合。
- ②:在当前条件组中添加条件。
- ③:如果您在模板基础上修改或新增了条件,并希望保存检索条件,可直接另存为新模板。可在模板检索 > 我的模板中查看。
- ④:在非系统推荐模板编辑状态下,可保存变更。
注意
如果需要将配置变更保存至推荐模板,请先另存为新模板。
- ⑤:重置所有检索条件,即清空当前视图下的所有已配置条件。
- ⑥:设置检索结果显示的配置项。例如,取消勾选”资产 ID“,则该参数不会显示在查询结果列表中。
- ⑦:导出检索结果,以便集中查看资产风险或告警状态。支持查看导出任务历史。