更新时间:2025-01-20 GMT+08:00
新增应急策略
操作场景
应急策略作为告警一键阻断的止血手段,可根据告警来源选择相应的类型对攻击者进行阻断。
本章节介绍如何新增应急策略。
约束与限制
- 单用户单工作空间内容最多新增300条支持阻断老化的应急策略,全量最多新增1300条应急策略。同时,单次下发策略阻断对象数量限制如下:
- 当需要下发策略至VPC时,单用户单次1分钟内最多可新增20个IP作为阻断对象。
- 当需要下发策略至IAM时,单用户单次最多可新增50个IAM用户作为阻断对象。
- 将IP或IP地址段或IAM用户配置为黑名单后,来自该IP或IP地址段或用户的访问,VPC/IAM将不会做任何检测,直接拦截。
- 应急策略新增成功后,不支持修改阻断对象类型和阻断对象(即新增时设置的IP地址或IP地址段或IAM用户名)。
新增应急策略
- (可选)添加委托授权。
如果阻断对象为IAM用户,在新增应急策略前,需要执行委托授权操作。
- 登录管理控制台。
- 在页面左上角单击
,选择,进入统一身份认证服务管理控制台。 - 添加自定义策略。
- 在左侧导航栏选择,并在权限页面右上角单击“创建自定义策略”。
- 配置策略。
- 策略名称:自定义。
- 策略配置方式:选择“JSON视图”。
- 策略内容:请直接复制粘贴以下内容。
1 2 3 4 5 6 7 8 9 10 11
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "iam:users:updateUser" ] } ] }
- 单击“确定”。
- 委托授权。
- 在左侧导航栏选择“委托”,进入委托页面后,单击“SecMaster_Agency”,默认进入SecMaster_Agency的基本信息页面。
- 选择“授权记录”页签,并单击“授权”。
- 在选择策略页面,搜索并选中1.c添加的策略后,单击“下一步”。
- 设置授权范围,请选择“所有资源”,设置完成后,单击“确定”。
- 单击页面左上方的
,选择“安全 > 安全云脑 SecMaster”,进入安全云脑管理页面。 - 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图1 进入目标工作空间管理页面
- 在左侧导航栏选择,进入策略管理页面后,进入应急策略管理页面。
- 在应急策略管理页面中,单击“新增”,右侧弹出新增应急策略页面。
- 在新增策略页面中,配置策略信息。
表1 新增应急策略 参数名称
参数说明
阻断对象类型
选择阻断对象的类型,可选择IP或IAM。
阻断对象
- 当阻断对象类型选择IP时,输入需要阻断的单个(或多个)IP地址或IP地址段,如有多个IP地址或地址段,请使用英文逗号隔开。
- 当阻断对象类型为IAM时,请填写IAM用户名称。
- 单次下发应急策略阻断对象说明如下:
- 当需要下发策略至VPC时,单用户单次1分钟内最多可新增20个IP作为阻断对象。
- 当需要下发策略至IAM时,单用户单次最多可新增50个IAM用户作为阻断对象。
标签
自定义应急策略的标签。
操作连接
操作七层防线中安全服务的阻断流程所绑定的资产连接。
选择该策略的操作连接。
阻断老化
确认是否老化该条阻断。
- 如果选择是,请设置策略老化时间,如设置为180天,即该策略在设置后的180天内有效,180天后将不再继续阻断设置的IP地址或IP地址段或IAM用户。
- 如果选择否,则该策略将一直有效,阻断设置的IP地址或IP地址段或IAM用户。
策略描述
自定义该策略的描述信息。
- 配置完成后,单击“确定”,并在弹出的确认框中确认无误后,单击“确定”。
父主题: 策略管理
