更新时间:2024-11-21 GMT+08:00

一键阻断/解封

操作场景

应急策略作为告警一键阻断的止血手段,可根据告警来源选择相应的类型对攻击者进行阻断。表1中为推荐设置,除此之外,您也可以结合对多条告警的综合调查结果,对单个攻击源采用多种类型进行阻断。

表1 推荐阻断策略

告警类型

对应防线

推荐阻断策略

HSS告警

主机防线

建议优先采用VPC策略阻断

WAF告警

应用防线

建议优先采用WAF策略阻断

CFW告警

网络防线

建议优先采用CFW策略阻断

IAM告警

身份防线

建议优先采用IAM策略阻断

OBS/DBSS告警

数据防线

当前可根据实际攻击场景和调查结果考虑使用VPC策略阻断/CFW策略阻断,隔绝防护资产和攻击源的网络通信等

本章节介绍如何执行一键阻断和一键解封操作。

一键阻断

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  5. 在左侧导航栏选择威胁运营 > 告警管理,进入告警管理页面。

    图2 告警管理页面

  6. 在告警管理列表中,单击目标告警所在行“操作”列的更多 > 一键阻断,右侧弹出一键阻断配置页面。

    同时,还可以在某条告警详情页面,单击页面右上角的“一键阻断”

  7. 在一键阻断配置页面中,配置阻断策略信息。

    表2 一键阻断

    参数名称

    参数说明

    阻断对象

    • 当阻断对象类型选择IP时,输入需要阻断的单个(或多个)IP地址或IP地址段,如有多个IP地址或地址段,请使用英文逗号隔开。
    • 当阻断对象类型为IAM时,请填写IAM用户名称。
    • 单次下发应急策略阻断对象说明如下:
      • 当需要下发策略至CFW时,单用户单次最多可新增50个IP作为阻断对象。
      • 当需要下发策略至WAF时,单用户单次最多可新增50个IP作为阻断对象。
      • 当需要下发策略至VPC时,单用户单次1分钟内最多可新增20个IP作为阻断对象。
      • 当需要下发策略至IAM时,单用户单次最多可新增50个IAM用户作为阻断对象。

    标签

    自定义阻断策略的标签。

    操作连接

    选择该阻断策略的操作连接。

    阻断老化

    确认是否老化该条阻断策略。

    • 如果选择是,请设置策略老化时间,如设置为180天,即该策略在设置后的180天内有效,180天后将不再继续阻断设置的IP地址或IP地址段。
    • 如果选择否,则该策略将一直有效,阻断设置的IP地址或IP地址段。

    策略描述

    自定义该阻断策略的描述信息。

  8. 配置完成后,单击“确定”,并在弹出的确认框中确认无误后,单击“确定”

一键解封

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图3 进入目标工作空间管理页面

  5. 在左侧导航栏选择威胁运营 > 告警管理,进入告警管理页面。

    图4 告警管理页面

  6. 在告警管理列表中,单击目标告警所在行“操作”列的更多 > 一键解封

    同时,还可以在某条告警详情页面,单击页面右上角的“一键解封”

  7. 在弹出的一键解封确认框中,输入解封原因,并单击“确定”