更新时间:2024-07-17 GMT+08:00

内置剧本和流程

安全编排根据需求内置了剧本、流程,可以根据需要直接进行使用。

内置剧本

表1 内置剧本

安全防线

剧本名

描述

数据类

主机安全

主机告警状态同步

自动同步主机告警状态

Alert

高危漏洞自动通知

对威胁等级为High的漏洞进行邮件或者短信通知

Vulnerability

攻击链路分析告警通知

针对攻击链路进行分析,如果主机产生告警,就会查看关联主机所属的网站,如果有对应网站信息且有告警,就进行告警通知

Alert

主机资产风险统计通知

查询资产管理中绑定EIP的主机资产,将其漏洞信息统计通知给客户

CommonContext

HSS文件隔离查杀

自动隔离查杀恶意软件

Alert

挖矿主机隔离

当主机告警类型是挖矿程序/挖矿软件,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断

Alert

勒索主机隔离

当主机告警类型是勒索软件,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断

Alert

主机防线告警关联历史处置信息

针对主机类告警,关联HSS告警历史处置信息,并添加至该告警评论中

Alert

应用安全

云脑WAF地址组关联策略

将安全云脑指定WAF地址组(黑IP地址组)绑定WAF所有企业项目全部策略的黑白名单

CommonContext

WAF删除空防护策略

每周一9点查询WAF防护策略,对空防护策略进行删除

CommonContext

应用防线告警关联历史处置信息

针对WAF告警,关联WAF告警历史处置信息,并添加至该告警评论中

Alert

运维安全

关键运维操作实时通知

针对模型产生的运维告警,进行实时通知。目前支持挂载网卡、peering对等连接、资源绑定EIP三种关键运维操作进行smn通知

Alert

身份安全

身份防线告警关联历史处置信息

针对IAM告警,关联IAM告警历史处置信息,并添加至该告警评论中

Alert

网络安全

网络防线告警关联历史处置信息

针对CFW告警,关联CFW告警历史处置信息,并添加至该告警评论中

Alert

其他/通用

高危告警自动通知

对威胁级别为High或者Fatal的告警进行邮件或者短信通知

Alert

告警指标提取

将告警中IP信息抽取,通过情报系统进行验证,如果为恶意IP,可以将IP信息设置成指标,并与源告警相互关联

Alert

重复告警自动关闭

将近7日内第二次及第二次以上出现的告警状态置为关闭,并关联7日内同名告警

Alert

自动更新告警名称

根据客户需要,筛选关键字段信息,拼接告警名称

Alert

告警ip指标打标

告警添加告警关联攻击源IP及目标IP的标签信息

Alert

资产防护状态统计通知

每周统计客户资产防护状态,同时发送邮件/短信通知给客户

CommonContext

未关闭告警自动统计通知

每天晚上7点,统计未关闭的告警,并发送邮件/短信通知给客户

Alert

高危告警自动化安全封堵

针对高危和致命告警,源IP地址攻击次数达到阈值(次数>3)且命中微步在线的恶意标签,根据告警来源将该ip对应策略阻断(WAF、VPC、CFW、IAM)

Alert

内置流程

表2 内置流程

安全防线

流程名称

描述

数据类

主机安全

主机告警状态同步

自动同步主机告警状态

Alert

高危漏洞自动通知

对威胁等级为High的漏洞进行邮件或者短信通知

Vulnerability

漏洞处理

调用主机安全接口修复主机漏洞

Vulnerability

策略管理-安全组阻断

将目标IP添加到所有安全组中

Policy

策略管理-安全组取消阻断

将目标IP从所有安全组中取消

Policy

主机一键隔离

将目标主机进行全端口的隔离

Alert

主机一键解封

将目标主机从隔离安全组中移除

Alert

攻击链路分析告警通知

针对攻击链路分析,主机告警影响资产关联网站资产有对应攻击告警进行告警通知

Alert

主机资产风险统计通知

查询资产管理中绑定EIP的主机资产,将其漏洞信息统计通知给客户

CommonContext

HSS文件隔离查杀

自动隔离查杀恶意软件

Alert

主机防线告警关联历史处置信息

父流程,根据主机告警判断调用哪类子流程(主机防线告警关联历史处置信息-威胁建模-进程类、主机防线告警关联历史处置信息-威胁建模-登录类、主机防线告警关联历史处置信息-自动转告警)去关联历史处置信息,将其添加至告警评论

Alert

主机防线告警关联历史处置信息-威胁建模-进程类

子流程,针对威胁建模构建的进程类告警,关联历史处置信息,将其添加到该告警的评论中

Alert

主机防线告警关联历史处置信息-威胁建模-登录类

子流程,针对威胁建模构建的登录类告警,关联历史处置信息,将其添加到该告警的评论中

Alert

主机防线告警关联历史处置信息-自动转告警

子流程,针对HSS自动转告警产生的告警,关联历史处置信息,将其添加到该告警的评论中

Alert

主机隔离-恶意软件

当主机存在恶意软件(勒索、挖矿等),触发人工审核节点,会显示恶意软件的详细内容(类型、受影响的主机、进程命令、文件路径等信息)供运营人员审核,审核通过后,会将受影响的主机进行自动化隔离

Alert

应用安全

WAF一键拦截

对目标IP封堵在该账号的WAF服务里的所有中策略

Alert

WAF一键解封

对目标IP从该账号的WAF服务里的目标策略组中解封

Alert

策略管理-WAF阻断

将目标IP添加到WAF的黑名单中

Policy

策略管理-WAF取消阻断

将目标IP从WAF的黑名单中移除

Policy

WAF地址组绑定策略

将安全云脑指定WAF地址组绑定WAF策略黑白名单

CommonContext

应用防线告警关联历史处置信息

针对WAF类告警,关联历史处置信息,将其添加至告警评论

Alert

WAF删除空防护策略

每周一9点查询WAF防护策略,对空防护策略进行删除

CommonContext

网络安全

CFW一键拦截

将目标IP添加到CFW的黑名单中

Alert

CFW一键解封

将目标IP从CFW的黑名单中移除

Alert

策略管理-CFW阻断

将目标IP添加到CFW的黑名单中

Policy

策略管理-CFW取消阻断

将目标IP从CFW的黑名单中移除

Policy

网络防线告警关联历史处置信息

针对CFW类告警,关联历史处置信息,将其添加至告警评论

Alert

身份防线

身份防线告警关联历史处置信息

针对IAM类告警,关联历史处置信息,将其添加至告警评论

Alert

策略管理-IAM阻断

通过策略管理,应急策略触发,将IAM用户名的状态修改为停用状态

Policy

策略管理-IAM取消阻断

通过策略管理,应急策略触发,将IAM用户名的状态修改为启用状态

Policy

其他/通用

高危告警自动通知

对威胁级别为High或者Fatal的告警进行邮件或者短信通知

Alert

告警指标提取

将告警中ip信息抽取,进行微步外部验证,置成指标,并与源告警相互关联

Alert

重复告警自动关闭

7日内第二次及第二次以上出现的告警状态置为关闭,并关联7日内同名告警

Alert

自动更新告警名称

根据客户需要,筛选关键字段信息,拼接告警名称

Alert

告警打ip标签

告警添加告警关联攻击源IP及目标IP的标签信息

Alert

一键解封

根据不同的告警数据源产品选择执行不同的解封子流程

Alert

一键阻断

根据不同的告警数据源产品选择执行不同的阻断子流程

Alert

资产防护状态统计通知

每周统计客户资产防护状态,同时发送邮件/短信通知给客户

CommonContext

未关闭高风险告警统计自动通知

每天晚上7点,统计未关闭的告警,并发送邮件/短信通知给客户

Alert

高危告警自动化安全封堵

针对高危和致命告警,源IP地址攻击次数达到阈值(次数>3)且命中微步在线的恶意标签,根据告警来源将该ip对应策略阻断(WAF、VPC、CFW、IAM)

CommonContext

实时自动关闭告警

对当前告警进行关闭

CommonContext

关键运维操作实时通知

针对模型产生的运维告警,进行实时通知。目前支持挂载网卡、peering对等连接、资源绑定EIP三种关键运维操作进行SMN通知

Alert

查询历史告警

告警关联历史处置信息子流程

查询自定义天数的历史告警的评论信息,返回去重后的评论

CommonContext