值班监控
操作场景
安全云脑提供了4+1个大屏,一个是综合态势感知大屏,其他四个大屏是值班响应大屏、资产大屏、威胁态势大屏和脆弱性大屏。
护网及重保期间,安全值班人员需要重点关注值班响应大屏的数据信息,需要将值班响应大屏上的告警全部清零。
操作步骤
- 登录管理控制台。
- 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
- 在左侧导航栏选择
,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。图1 进入目标工作空间管理页面
- 在左侧导航栏选择
,进入安全大屏页面。图2 进入安全大屏页面
- 单击“值班响应大屏”图片,进入值班响应大屏信息页面后,在“未处理告警”模块中,单击告警名称,页面跳转到“告警管理”页面。
图3 值班响应大屏
- 处理告警。
不同的告警结合不同的信息进行分析,可以通过告警关联信息,告警payload,告警详情分析。也可以结合云脑的其他日志进行安全分析,比如WAF的告警可以结合WAF的日志进一步判断有没有入侵成功。
例如,某个单个源IP对域名进行多次攻击,虽然已经被WAF阻断,但是由于攻击次数较多,存在绕过WAF的风险,将多次攻击的行为冒泡出来,安全研判人员可以到waf_access日志,也就是Web的访问请求日志中,查询该IP有没有成功的访问请求(响应码为200),来分析是否已经绕过了安全设备。通过分析如果看到该攻击ip请求成功的都是非敏感url,不存在攻击成功或绕过WAF检测的风险,直接关闭告警。如果是有风险url访问成功,则需要进行危险IP封堵。
封堵操作如下:
- 在左侧导航栏选择“应急策略”页签,进入应急策略管理页面。 ,进入策略管理页面后,选择
- 在应急策略管理页面中,单击“新增”,右侧弹出新增应急策略页面。
- 在新增策略页面中,配置策略信息。
表1 新增应急策略 参数名称
参数说明
阻断对象
输入需要阻断的单个(或多个)IP地址或IP地址段,如有多个IP地址或地址段,请使用英文逗号隔开。
填写示例:
- 单个IP地址:192.168.0.0
- IP地址段:192.168.0.0/12
标签
自定义应急策略的标签。
操作连接
选择该策略的操作连接。
阻断老化
确认是否老化该条阻断。建议设置老化时间为护网/重保周期时间,护网/重保结束之后封堵失效。
- 如果选择是,请设置策略老化时间,如设置为180天,即该策略在设置后的180天内有效,180天后将不再继续阻断设置的IP地址或IP地址段。
- 如果选择否,则该策略将一直有效,阻断设置的IP地址或IP地址段。
原因描述
自定义该策略的描述信息。
- 单击“确定”