文档首页/ 安全云脑 SecMaster/ 用户指南/ 剧本说明/ 自动更改告警名称
更新时间:2024-09-27 GMT+08:00
查看PDF
分享

自动更改告警名称

剧本说明

安全云脑提供的自动更改告警名称剧本,支持用户按照不同维度自定义告警名称。

“自动更改告警名称”剧本已匹配“自动更改告警名称”流程,配置该剧本,需要对流程及流程中的插件进行适配。

“自动更改告警名称”流程共四个插件节点:获取告警类型id、获取告警详情、SecMasterBiz、告警名称更新。本流程只需配置SecMasterBiz插件节点,该节点用来定制告警名称的。

图1 自动更改告警名称流程

约束与限制

目前,仅支持对webshell攻击类型告警名称进行自定义修改。

配置并启用剧本

本部分将介绍配置“SecMasterBiz”插件节点、启用“自动更改告警名称”流程、启用“自动更改告警名称”剧本。

  1. 登录管理控制台。
  2. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图2 进入目标工作空间管理页面

  4. 配置并启用流程。

    1. 复制流程版本。
      1. 在左侧导航栏选择安全编排 > 剧本编排,进入剧本管理页面后,选择“流程”页签,进入流程管理页面。
        图3 流程管理页面
      2. “自动更改告警名称”流程所在行的“操作”列,单击“版本管理”,弹出流程版本管理页面。
        图4 进入流程版本管理页面
      3. “自动更改告警名称”的流程版本管理页面中,单击“版本信息”栏中初始版本(v1)所在行的“操作”列的“复制”,弹出确认框。
      4. 在弹出的确认框中,单击“确定”
    2. 编辑并提交流程版本。
      1. “自动更改告警名称”的流程版本管理页面中,单击“版本信息”栏中已复制版本所在行的“操作”列的“编辑”,进入流程图绘制界面。
      2. 在绘制页面中,单击SecMasterBiz插件,并在左侧展示的该插件信息中配置插件的“入参”信息。

        SecMasterBiz插件参数说明请如下:

        图5 SecMasterBiz插件

        SecMasterBiz插件是自动更改告警名称流程中的一个插件,用于分析处理webshell类型告警的名称数据,可以按照用户自定义维度拼接告警名称,返回更新后的告警名称。

        SecMasterBiz插件包含多个Action,其中,“changeWebshellAlertName” Action提供了几个入参供用户自定义选取,每个入参代表一个分析维度。

        用户根据需要选择不同的维度参数对进行告警名称进行拼接,没有选中的参数,默认不返回该维度数据。填入y表示yes,即选择该参数;填入n表示no,或者保持为空,都表示不选择该参数。

        表1 参数配置说明

        参数名称

        参数含义

        取值范围

        severity

        告警严重程度

        y/n

        createTime

        告警创建时间

        y/n

        srcIp

        告警攻击源IP

        y/n

        sourceCountryCity

        告警攻击源国家和城市

        y/n

        destinationIp

        告警攻击目标IP

        y/n

        destinationCountryCity

        告警攻击目标国家和城市

        y/n
      3. 配置完成后,单击右上角“保存并提交”,并在弹出的流程自动校验框中,单击“确定”,页面返回流程管理页面。
    3. 审核流程版本。
      1. 在流程管理页面中,单击“自动更改告警名称”流程所在行的“操作”“版本管理”
      2. 在流程版本管理页面中,单击已编辑的流程版本所在行的“操作”列的“审核”
      3. 在审核确认框中,选择“审核意见”“通过”,并单击“确定”
    4. 激活流程版本。
      1. “自动更改告警名称”的流程版本管理页面中,单击已审核的流程版本所在行的“操作”列的“激活”
      2. 在弹出确认框中,单击“确认”

        流程版本激活后,默认流程处于启用状态。

  5. 配置并启用剧本。

    1. 在左侧导航栏选择安全编排 > 剧本编排,默认进入剧本管理页面。
      图6 进入剧本管理页面
    2. 在剧本管理页面中,单击“自动更改告警名称”剧本所在行的“操作”列的“启用”
    3. 在弹出的确认框中,选择初始剧本版本v1后,单击“确定”

验证剧本

“自动更改告警名称”剧本启用成功后,可以对剧本运行情况进行验证。

本部分将介绍如何对已配置剧本进行验证。

  1. 在左侧导航栏选择威胁运营 > 告警管理,进入告警管理页面。

    图7 告警管理页面

  2. 在告警管理页面单击“新增”,并在右侧弹出的新增告警管理页面中配置参数。

    • 告警名称:自定义告警名称。
    • 告警类型:请选择“Web攻击/Webshell”
    • 首次发生时间:设置告警首次发生的时间点。
    • 调试模式:请勾选“是”
    • 描述:自定义告警描述信息。
    • 其他参数保持缺省值即可。

  3. 告警参数配置完成后,单击“确认”
  4. 刷新页面,查看告警名称是否更新。

    在剧本已经启用情况下,剧本会自动对新增告警进行处理,处理后会显示更新后的告警名称。

    图8 默认不选择任何参数输出结果
    图9 只选择severity参数输出结果

实现效果

告警名称个性化处理前:

图10 处理前

对原有webshell告警名称进行个性化处理后,效果如下所示:

图11 处理后
父主题: 剧本说明