安全运营智能体支持接入阿里云相关安全产品的告警数据，可实现跨平台告警数据的统一管理。若你有此需求，需先前往阿里云创建相关授权角色并授予相应权限，之后通过事件函数以代码形式同步告警数据。本文以同步云工作负载保护平台的数据为例，将详细介绍如何把阿里云安全产品数据接入安全运营智能体。实际同步数据时，你需要为不同云产品创建并配置不同的事件函数。

前提条件

你已获取阿里云主账号或获取具有管理员权限的 RAM 账号。

流程图示

步骤一 创建跨服务授权角色

1. 登录阿里云 RAM 访问控制控制台。
2. 在左侧导航栏，选择身份管理 > 角色。
3. 单击创建角色，并设置角色参数。
   • 信任主体类型：云服务
   • 信任主体名称：函数计算/FC
     
4. 单击确定，填写角色名称，例如FunctionOpsForVolcSecAgent。
   
5. 单击确定完成创建。
   成功创建后，系统会自动进入角色详情页面。

步骤二 授予角色权限

创建成功的 RAM 角色默认没有任何权限，你需要为该 RAM 角色授权。

1. 在权限管理页面，单击新增授权。
   

2. 授予该角色以下权限策略：

   云产品（告警数据来源）	访问接口所需的权限策略
   云工作负载保护平台	AliyunYundunSASReadOnlyAccess
   云防火墙	AliyunYundunCloudFirewallReadOnlyAccess
   Web 应用防火墙	AliyunYundunSASReadOnlyAccess AliyunYundunWAFReadOnlyAccess

   

3. 单击确认新增授权，确认执行状态为“已完成”。
   

步骤三 创建事件函数

你需要为每个待接入的云产品创建一个事件函数，此处以云工作负载保护平台为例进行说明。

1. 登录阿里云函数计算控制台。
2. 在左侧导航栏，选择函数。
3. 单击创建函数。
4. 选择函数类型为事件函数，并单击创建事件函数。
   
5. 配置事件函数相关信息。
   注意以下参数配置，其他参数保持默认即可。
   • 基本信息：
     • 函数名称：sync_sas_alarm_to_volc_sec_agent（以云工作负载保护平台为例）

       说明

       不同安全产品创建不同的函数名称，以便区分，例如：

       • 云防火墙事件函数命名：sync_cf_alarm_to_volc_sec_agent
       • Web 应用防火墙事件函数命名：sync_waf_alarm_to_volc_sec_agent
     • 运行环境：内置运行时 / Python / Python 3.12
     • 代码上传方式：使用示例代码
       
   • 高级配置：
     • 权限-函数角色：选择步骤一创建的角色。
     • 网络：允许默认网卡访问公网。
       
6. 单击创建。
   成功创建后，系统会自动进入函数详情页面。

步骤四 配置函数代码和触发器

1. 进入函数详情 > 代码页面。
2. 将index.py中的内容替换为安全运营智能体提供的对应代码。
   1. 登录火山引擎安全运营智能体控制台。
   2. 在页面左侧导航栏，选择设置中心 > 数据接入 > 外云接入。
   3. 单击需要接入的云产品，然后单击复制脚本。

      说明

      此处以云工作负载保护平台为例。

      
   4. 将复制的脚本内容粘贴到index.py中。
      
3. 单击部署代码。
4. 部署成功后，单击触发器。
   
5. 单击创建触发器，设置触发器类型、名称和时间间隔。
   • 触发器类型：定时触发器
   • 名称：例如 sync_sas_alarm_cron
   • 时间间隔：建议设置为 1~5 分钟
     
6. 单击确定。
   配置完成后，函数拓扑图中会展示以下效果：
   

步骤五 检查日志数据

1. 在函数详情页面，选择日志 > 调用请求。
   
2. 单击请求日志。
   
3. 查看日志详情。
   如果详情中出现Successfully forwarded alerts，则表示安全运营智能体已经成功采集到阿里云相关云产品的告警数据。