一键阻断/解封

操作场景

应急策略作为告警一键阻断的止血手段，可根据告警来源选择相应的类型对攻击者进行阻断。

本章节介绍如何执行一键阻断和一键解封操作。

一键阻断

1. 登录管理控制台。
2. 单击页面左上方的，选择“安全 > 安全云脑 SecMaster”，进入安全云脑管理页面。
3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
4. 在左侧导航栏选择“威胁运营 > 告警管理”，进入告警管理页面。
5. 在告警管理列表中，单击目标告警所在行“操作”列的“更多 > 一键阻断”，右侧弹出一键阻断配置页面。

   同时，还可以在某条告警详情页面，单击页面右上角的“一键阻断”。

6. 在一键阻断配置页面中，配置阻断策略信息。

   表1 一键阻断

   参数名称	参数说明
   阻断对象	当阻断对象类型选择IP时，输入需要阻断的单个（或多个）IP地址或IP地址段，如有多个IP地址或地址段，请使用英文逗号隔开。 单次下发应急策略阻断对象说明如下： 当需要下发策略至WAF时，单用户单次最多可新增50个IP作为阻断对象。 当需要下发策略至VPC时，单用户单次1分钟内最多可新增20个IP作为阻断对象。
   标签	自定义阻断策略的标签。
   操作连接	选择该阻断策略的操作连接。
   阻断老化	确认是否老化该条阻断策略。 如果选择是，请设置策略老化时间，如设置为180天，即该策略在设置后的180天内有效，180天后将不再继续阻断设置的IP地址或IP地址段。 如果选择否，则该策略将一直有效，阻断设置的IP地址或IP地址段。
   策略描述	自定义该阻断策略的描述信息。

7. 确认配置无误后，单击“确定”，并在弹出的提示框中，单击“确认”。

一键解封

1. 登录管理控制台。
2. 单击页面左上方的，选择“安全 > 安全云脑 SecMaster”，进入安全云脑管理页面。
3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
4. 在左侧导航栏选择“威胁运营 > 告警管理”，进入告警管理页面。
5. 在告警管理列表中，单击目标告警所在行“操作”列的“更多 > 一键解封”。

   同时，还可以在某条告警详情页面，单击页面右上角的“一键解封”。

6. 在弹出的一键解封确认框中，输入解封原因，并单击“确定”。