值班监控

操作场景

安全云脑提供了4+1个大屏，一个是综合态势感知大屏，其他四个大屏是值班响应大屏、资产大屏、威胁态势大屏和脆弱性大屏。

护网及重保期间，安全值班人员需要重点关注值班响应大屏的数据信息，需要将值班响应大屏上的告警全部清零。

操作步骤

1. 登录管理控制台。
2. 在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图1 进入目标工作空间管理页面
   

4. 在左侧导航栏选择“安全态势 > 安全大屏”，进入安全大屏页面。
   图2 进入安全大屏页面
   

5. 单击“值班响应大屏”图片，进入值班响应大屏信息页面后，在“未处理告警”模块中，单击告警名称，页面跳转到“告警管理”页面。
   图3 值班响应大屏
   

6. 处理告警。

   不同的告警结合不同的信息进行分析，可以通过告警关联信息，告警payload，告警详情分析。也可以结合云脑的其他日志进行安全分析，比如WAF的告警可以结合WAF的日志进一步判断有没有入侵成功。

   例如，某个单个源IP对域名进行多次攻击，虽然已经被WAF阻断，但是由于攻击次数较多，存在绕过WAF的风险，将多次攻击的行为冒泡出来，安全研判人员可以到waf_access日志，也就是Web的访问请求日志中，查询该IP有没有成功的访问请求(响应码为200)，来分析是否已经绕过了安全设备。通过分析如果看到该攻击ip请求成功的都是非敏感url，不存在攻击成功或绕过WAF检测的风险，直接关闭告警。如果是有风险url访问成功，则需要进行危险IP封堵。

   封堵操作如下：

   1. 在左侧导航栏选择“风险预防 > 策略管理”，进入策略管理页面后，选择“应急策略”页签，进入应急策略管理页面。
   2. 在应急策略管理页面中，单击“新增”，右侧弹出新增应急策略页面。
   3. 在新增策略页面中，配置策略信息。

      表1 新增应急策略

      参数名称	参数说明
      阻断对象	输入需要阻断的单个（或多个）IP地址或IP地址段，如有多个IP地址或地址段，请使用英文逗号隔开。 填写示例： 单个IP地址：192.168.0.0 IP地址段：192.168.0.0/12
      标签	自定义应急策略的标签。
      操作连接	选择该策略的操作连接。
      阻断老化	确认是否老化该条阻断。建议设置老化时间为护网/重保周期时间，护网/重保结束之后封堵失效。 如果选择是，请设置策略老化时间，如设置为180天，即该策略在设置后的180天内有效，180天后将不再继续阻断设置的IP地址或IP地址段。 如果选择否，则该策略将一直有效，阻断设置的IP地址或IP地址段。
      原因描述	自定义该策略的描述信息。

   4. 单击“确定”