高危漏洞自动通知

剧本说明

安全云脑提供的高危漏洞自动通知剧本，当新增主机漏洞，且等级为高危时，自动通知运营人员。

“高危漏洞自动通知”剧本已匹配“高危漏洞自动通知”流程，该流程需要使用消息通知服务（Simple Message Notification，SMN）来创建安全云脑告警通知主题，并完成订阅即可接收到告警通知。

当新增HSS的高危漏洞时，会通过SMN服务对运营人员发送漏洞通知。

图1 高危漏洞自动通知流程

前提条件

已在安全云脑工作空间的“设置 > 数据集成”页面中接入主机安全服务（Host Security Service，HSS）服务漏洞日志数据，详细操作请参见数据集成。

图2 接入HSS告警

接入数据后，可以在“风险预防 > 漏洞管理”页面进行查看。

图3 查看告警

步骤一：创建并订阅主题

“高危漏洞自动通知”流程需要使用消息通知服务（Simple Message Notification，SMN）来创建安全云脑告警通知主题，并完成订阅即可接收到告警通知。

登录管理控制台。
在页面左上角单击，选择“管理与监管 > 消息通知服务”，进入消息通知服务管理页面。
创建主题。
1. 在左侧导航栏，选择“主题管理 > 主题”，进入主题管理页面后，单击右上角“创建主题”。
  图4 创建主题
2. 在弹出的创建主题页面中，配置主题信息后，单击“确定”。
  - 主题名称：建议设置为“SecMaster-Notification”。
  - 显示名：建议设置为“安全云脑通知主题”。
  - 其他参数保持缺省值即可。
  图5 配置主题
添加订阅。
1. 在主题页面中，单击“SecMaster-Notification”主题所在行“操作”列的“添加订阅”。
2. 在弹出的添加订阅页面中，配置订阅信息后，单击“确定”。
  - 协议：请选择“邮件”。
  - 订阅终端：输入订阅终端邮箱地址，如username@example.com
  图6 添加订阅

步骤二：配置资产连接

使用“高危漏洞自动通知”流程前，需要将流程中使用到的凭证（“通知SMN运营人员凭证”资产连接）进行参数配置。

在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
图7 进入目标工作空间管理页面
在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“资产连接”页签，进入资产连接管理页面。
图8 资产连接管理页面
在资产连接管理页面中，单击“通知SMN运营人员凭证”所在行的“操作”列的“编辑”。
在右侧弹出的编辑资产连接页面中，配置endpoint信息。
图9 编辑资产连接

endPoint字段填写说明：https://{{SMN_ENDPOINT}}/v2/{{project_id}}/notifications/topics/urn:smn:{{region_id}}:{{project_id}}:SecMaster-Notification
- SMN_ENDPOINT：为SMN服务调用域名，填写方式为“终端节点:443”，其中，终端节点信息请从地区和终端节点中获取。以华北-北京四为例：smn.cn-north-4.myhuaweicloud.com:443
- project_id：为当前工作空间所属的项目ID，查看方式如下：
  1. 已登录管理控制台，并将鼠标移动至右上方的用户名，在下拉列表中选择“我的凭证”，默认进入API凭证页面。
  2. 在API凭证页面的“项目列表”中，查看项目ID。
    图10 项目ID
- urn:smn:{{region_id}}:{{project_id}}:SecMaster-Notification：为发送邮件通知的SMN主题URN，查看方式如下：
  1. 在页面左上角单击，选择“管理与监管 > 消息通知服务”，进入消息通知服务管理页面。
  2. 在左侧导航栏，选择“主题管理 > 主题”，进入主题管理页面。
  3. 在主题列表中，查看步骤一：创建并订阅主题创建的主题的主题URN信息。
    图11 主题URN
配置完成后，单击“确认”。