内置剧本
安全编排根据需求内置了剧本,可以根据需要直接进行使用。
内置剧本
默认已启用以下剧本:
主机告警状态同步、高危漏洞自动通知、主机防线告警关联历史处置信息、云脑WAF地址组关联策略、应用防线告警关联历史处置信息、网络防线告警关联历史处置信息、重复告警自动关闭、告警ip指标打标、资产防护状态统计通知、未关闭告警自动统计通知、高危告警自动通知
|
安全防线 |
剧本名 |
描述 |
|---|---|---|
|
主机安全 |
主机告警状态同步 |
自动同步主机告警状态 |
|
高危漏洞自动通知 |
对威胁等级为High的漏洞进行邮件或者短信通知 |
|
|
攻击链路分析告警通知 |
针对攻击链路进行分析,如果主机产生告警,就会查看关联主机所属的网站,如果有对应网站信息且有告警,就进行告警通知 |
|
|
主机资产风险统计通知 |
查询资产管理中绑定EIP的主机资产,将其漏洞信息统计通知给客户 |
|
|
HSS文件隔离查杀 |
自动隔离查杀恶意软件 |
|
|
挖矿主机隔离 |
当主机告警类型是挖矿程序/挖矿软件,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断 |
|
|
勒索主机隔离 |
当主机告警类型是勒索软件,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断 |
|
|
主机防线告警关联历史处置信息 |
针对主机类告警,关联HSS告警历史处置信息,并添加至该告警评论中 |
|
|
新增主机资产防护状态通知 |
新增主机资产为未防护状态,通知客户及时防护 |
|
|
HSS高危告警拦截通知 |
主机高危告警,如果源IP未加入安全组阻断,则通知客户并生成待办,如果人工审核通过则加入安全云脑VPC策略阻断 |
|
|
主机Rootkit事件攻击自动化处置 |
当主机告警类型为Rootkit,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断,同时关闭告警 |
|
|
主机反弹Shell攻击自动化处置 |
当主机告警类型为反弹shell,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断,同时关闭告警 |
|
|
应用安全 |
云脑WAF地址组关联策略 |
将安全云脑指定WAF地址组(黑IP地址组)绑定WAF所有企业项目全部策略的黑白名单 |
|
WAF删除空防护策略 |
每周一9点查询WAF防护策略,对空防护策略进行删除 |
|
|
应用防线告警关联历史处置信息 |
针对WAF告警,关联WAF告警历史处置信息,并添加至该告警评论中 |
|
|
Web登录爆破拦截 |
对登录爆破成功的IP进行情报验证,如果不在白名单,则进行拦截通知,生成拦截待办,待办人工审核通过后会将该IP加入安全云脑WAF阻断策略中 |
|
|
运维安全 |
关键运维操作实时通知 |
针对模型产生的运维告警,进行实时通知。目前支持挂载网卡、peering对等连接、资源绑定EIP三种关键运维操作进行smn通知 |
|
身份安全 |
身份防线告警关联历史处置信息 |
针对IAM告警,关联IAM告警历史处置信息,并添加至该告警评论中 |
|
网络安全 |
网络防线告警关联历史处置信息 |
针对CFW告警,关联CFW告警历史处置信息,并添加至该告警评论中 |
|
其他/通用 |
高危告警自动通知 |
对威胁级别为High或者Fatal的告警进行邮件或者短信通知 |
|
告警指标提取 |
将告警中IP信息抽取,通过情报系统进行验证,如果为恶意IP,可以将IP信息设置成指标,并与源告警相互关联 |
|
|
重复告警自动关闭 |
将近7日内第二次及第二次以上出现的告警状态置为关闭,并关联7日内同名告警 |
|
|
自动更新告警名称 |
根据客户需要,筛选关键字段信息,拼接告警名称 |
|
|
告警ip指标打标 |
告警添加告警关联攻击源IP及目标IP的标签信息 |
|
|
关联内外部IP画像情报 |
告警关联云脑情报、微步情报(优先关联内部情报) |
|
|
资产防护状态统计通知 |
每周统计客户资产防护状态,同时发送邮件/短信通知给客户 |
|
|
未关闭告警自动统计通知 |
每天晚上7点,统计未关闭的告警,并发送邮件/短信通知给客户 |
|
|
高危告警自动化安全封堵 |
针对高危和致命告警,源IP地址攻击次数达到阈值(次数>3)且命中微步在线的恶意标签,根据告警来源将该ip对应策略阻断(WAF、VPC、CFW、IAM) |
|
|
低危告警自动关闭 |
对于低危和提示的告警,进行自动化关闭 |
|
|
同步CFW黑IP到情报 |
将CFW的黑IP同步到云脑的情报管理中 |
|
|
同步WAF黑IP到情报 |
将WAF的黑IP同步到云脑的情报管理中 |
