更新时间:2024-10-24 GMT+08:00
一键阻断/解封
操作场景
应急策略作为告警一键阻断的止血手段,可根据告警来源选择相应的类型对攻击者进行阻断。表1中为推荐设置,除此之外,您也可以结合对多条告警的综合调查结果,对单个攻击源采用多种类型进行阻断。
|
告警类型 |
对应防线 |
推荐阻断策略 |
|---|---|---|
|
HSS告警 |
主机防线 |
建议优先采用VPC策略阻断 |
|
WAF告警 |
应用防线 |
建议优先采用WAF策略阻断 |
|
CFW告警 |
网络防线 |
建议优先采用CFW策略阻断 |
|
IAM告警 |
身份防线 |
建议优先采用IAM策略阻断 |
|
OBS/DBSS告警 |
数据防线 |
当前可根据实际攻击场景和调查结果考虑使用VPC策略阻断/CFW策略阻断,隔绝防护资产和攻击源的网络通信等 |
本章节介绍如何执行一键阻断和一键解封操作。
一键阻断
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域和项目。 - 在页面左上角单击
,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 - 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图1 进入目标工作空间管理页面
- 在左侧导航栏选择,进入告警管理页面。
图2 告警管理页面
- 在告警管理列表中,单击目标告警所在行“操作”列的,右侧弹出一键阻断配置页面。
同时,还可以在某条告警详情页面,单击页面右上角的“一键阻断”。
- 在一键阻断配置页面中,配置阻断策略信息。
表2 一键阻断 参数名称
参数说明
阻断对象
- 当阻断对象类型选择IP时,输入需要阻断的单个(或多个)IP地址或IP地址段,如有多个IP地址或地址段,请使用英文逗号隔开。
- 当阻断对象类型为IAM时,请填写IAM用户名称。
- 单次下发应急策略阻断对象说明如下:
- 当需要下发策略至CFW时,单用户单次最多可新增50个IP作为阻断对象。
- 当需要下发策略至WAF时,单用户单次最多可新增50个IP作为阻断对象。
- 当需要下发策略至VPC时,单用户单次1分钟内最多可新增20个IP作为阻断对象。
- 当需要下发策略至IAM时,单用户单次最多可新增50个IAM用户作为阻断对象。
标签
自定义阻断策略的标签。
操作连接
选择该阻断策略的操作连接。
阻断老化
确认是否老化该条阻断策略。
- 如果选择是,请设置策略老化时间,如设置为180天,即该策略在设置后的180天内有效,180天后将不再继续阻断设置的IP地址或IP地址段。
- 如果选择否,则该策略将一直有效,阻断设置的IP地址或IP地址段。
策略描述
自定义该阻断策略的描述信息。
- 配置完成后,单击“确定”,并在弹出的确认框中确认无误后,单击“确定”。
一键解封
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域和项目。
- 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
- 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图3 进入目标工作空间管理页面
- 在左侧导航栏选择,进入告警管理页面。
图4 告警管理页面
- 在告警管理列表中,单击目标告警所在行“操作”列的。
同时,还可以在某条告警详情页面,单击页面右上角的“一键解封”。
- 在弹出的一键解封确认框中,输入解封原因,并单击“确定”。
父主题: 告警管理
