更新时间:2024-11-21 GMT+08:00

新增/编辑应急策略

操作场景

应急策略作为告警一键阻断的止血手段,可根据告警来源选择相应的类型对攻击者进行阻断。表1中为推荐设置,除此之外,您也可以结合对多条告警的综合调查结果,对单个攻击源采用多种类型进行阻断。

表1 推荐阻断策略

告警类型

对应防线

推荐阻断策略

HSS告警

主机防线

建议优先采用VPC策略阻断

WAF告警

应用防线

建议优先采用WAF策略阻断

CFW告警

网络防线

建议优先采用CFW策略阻断

IAM告警

身份防线

建议优先采用IAM策略阻断

OBS/DBSS告警

数据防线

当前可根据实际攻击场景和调查结果考虑使用VPC策略阻断/CFW策略阻断,隔绝防护资产和攻击源的网络通信等

本章节介绍如何新增/编辑应急策略。

约束与限制

  • 单用户单工作空间内容最多新增300条支持阻断老化的应急策略,全量最多新增1300条应急策略。同时,单次下发策略阻断对象数量限制如下:
    • 当需要下发策略至CFW时,单用户单次最多可新增50个IP作为阻断对象。
    • 当需要下发策略至WAF时,单用户单次最多可新增50个IP作为阻断对象。
    • 当需要下发策略至VPC时,单用户单次1分钟内最多可新增20个IP作为阻断对象。
    • 当需要下发策略至IAM时,单用户单次最多可新增50个IAM用户作为阻断对象。
  • 将IP或IP地址段或IAM用户配置为黑名单后,来自该IP或IP地址段或用户的访问,CFW/WAF/VPC/IAM将不会做任何检测,直接拦截。
  • 应急策略新增成功后,不支持修改阻断对象类型和阻断对象(即新增时设置的IP地址或IP地址段或IAM用户名)。

前提条件

如果阻断对象为IAM用户,在新增应急策略前,需要先执行委托授权操作。具体操作步骤请参见添加委托授权

新增应急策略

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  5. 在左侧导航栏选择风险预防 > 策略管理,进入策略管理页面后,选择“应急策略”页签,进入应急策略管理页面。

    图2 进入应急策略管理页面

  6. 在应急策略管理页面中,单击“新增”,右侧弹出新增应急策略页面。
  7. 在新增策略页面中,配置策略信息。

    表2 新增应急策略

    参数名称

    参数说明

    阻断对象类型

    选择阻断对象的类型,可选择IP或IAM。

    阻断对象

    • 当阻断对象类型选择IP时,输入需要阻断的单个(或多个)IP地址或IP地址段,如有多个IP地址或地址段,请使用英文逗号隔开。
    • 当阻断对象类型为IAM时,请填写IAM用户名称。
    • 单次下发应急策略阻断对象说明如下:
      • 当需要下发策略至CFW时,单用户单次最多可新增50个IP作为阻断对象。
      • 当需要下发策略至WAF时,单用户单次最多可新增50个IP作为阻断对象。
      • 当需要下发策略至VPC时,单用户单次1分钟内最多可新增20个IP作为阻断对象。
      • 当需要下发策略至IAM时,单用户单次最多可新增50个IAM用户作为阻断对象。

    标签

    自定义应急策略的标签。

    操作连接

    操作七层防线中安全服务的阻断流程所绑定的资产连接。

    选择该策略的操作连接。

    阻断老化

    确认是否老化该条阻断。

    • 如果选择是,请设置策略老化时间,如设置为180天,即该策略在设置后的180天内有效,180天后将不再继续阻断设置的IP地址或IP地址段或IAM用户。
    • 如果选择否,则该策略将一直有效,阻断设置的IP地址或IP地址段或IAM用户。

    策略描述

    自定义该策略的描述信息。

  8. 配置完成后,单击“确定”,并在弹出的确认框中确认无误后,单击“确定”

编辑应急策略

应急策略新增成功后,不支持修改阻断对象类型和阻断对象(即新增时设置的IP地址或IP地址段或IAM用户名)。

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图3 进入目标工作空间管理页面

  5. 在左侧导航栏选择风险预防 > 策略管理,进入策略管理页面后,选择“应急策略”页签,进入应急策略管理页面。

    图4 进入应急策略管理页面

  6. 在应急策略管理页面中,单击待修改策略所在行“操作”列的“编辑”,右侧弹出编辑应急策略页面。
  7. 在编辑策略页面中,修改策略信息。

    表3 编辑应急策略

    参数名称

    参数说明

    阻断对象类型

    应急策略新增成功后,不支持修改

    阻断对象

    应急策略新增成功后,不支持修改

    标签

    自定义应急策略的标签。

    操作连接

    选择该策略的操作连接。

    阻断老化

    确认是否老化该条阻断。

    • 如果选择是,请设置策略老化时间,如设置为180天,即该策略在设置后的180天内有效,180天后将不再继续阻断设置的IP地址或IP地址段或IAM用户。
    • 如果选择否,则该策略将一直有效,阻断设置的IP地址或IP地址段或IAM用户。

    策略描述

    自定义该策略的描述信息。

  8. 单击“确定”

添加委托授权

如果阻断对象为IAM用户,在新增应急策略前,需要执行委托授权操作。具体操作步骤如下:

  1. 登录管理控制台。
  2. 在页面左上角单击,选择管理与监管 > 统一身份认证服务 IAM,进入统一身份认证服务管理控制台。
  3. 添加自定义策略。

    1. 在左侧导航栏选择权限管理 > 权限,并在权限页面右上角单击“创建自定义策略”
    2. 配置策略。
      • 策略名称:自定义。
      • 策略配置方式:选择“JSON视图”。
      • 策略内容:请直接复制粘贴以下内容。
        {
            "Version": "1.1",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": [
                        "iam:users:updateUser"
                    ]
                }
            ]
        }
    3. 单击“确定”

  4. 委托授权。

    1. 在左侧导航栏选择“委托”,进入委托页面后,单击“SecMaster_Agency”,默认进入SecMaster_Agency的基本信息页面。
    2. 选择“授权记录”页签,并单击“授权”
    3. 在选择策略页面,搜索并选中3添加的策略后,单击“下一步”
    4. 设置授权范围,请选择“所有资源”,设置完成后,单击“确定”