文档首页/ 安全云脑 SecMaster/ 用户指南/ 剧本说明/ 高危告警自动化安全封堵
更新时间:2024-12-30 GMT+08:00

高危告警自动化安全封堵

剧本说明

安全云脑提供的高危告警自动化安全封堵剧本,可以自动将高危告警里的源IP封堵在WAF、CFW、VPC安全组、IAM中。

“高危告警自动化安全封堵”剧本已匹配“高危告警自动化安全封堵”流程,配置该剧本,需要对流程及流程中的插件进行适配。

图1 高危告警自动化安全封堵

前提条件

  • 已在安全云脑工作空间的设置 > 数据集成页面中接入WAF访问日志或WAF攻击日志,详细操作请参见数据集成
    图2 接入WAF日志数据
  • 有可用的微步次数。

步骤一:配置资产连接

使用“高危告警自动化安全封堵”流程前,需要将流程中使用到的微步插件的APIkey(“微步认证凭据”资产连接)进行配置。
  1. 登录管理控制台。
  2. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
    图3 进入目标工作空间管理页面
  4. 在左侧导航栏选择安全编排 > 剧本编排,进入剧本管理页面后,选择“资产连接”页签,进入资产连接管理页面。
    图4 资产连接管理页面
  5. 在资产连接管理页面中,单击“微步认证凭据”所在行的“操作”列的“编辑”
  6. 在右侧弹出的编辑资产连接页面中,配置凭证信息。
    • freeApiKey,payApiKey:选择一填写即可,购买微步次数后可获得。
    • redisHost:客户redis资源ip地址,如果没有,可不填。
    • redisPort:客户redis资源端口号,如果没有,可不填。
    • redisPassword:客户redis资源密码,如果没有,可不填。
  7. 配置完成后,单击“确认”

步骤二:配置并启用剧本

在安全云脑中,默认“高危告警自动化安全封堵”流程的初始版本(V1)也已启用,无需手动启用。默认“高危告警自动化安全封堵”剧本的初始版本(V1)也已激活,只需要启用就可以进行使用。

  1. 剧本管理页面中,单击“高危告警自动化安全封堵”剧本所在行的“操作”列的“启用”
  2. 在弹出的确认框中,选择初始剧本版本v1后,单击“确定”

实现效果

此处以封堵在WAF中为例进行展示。

封堵成功会在WAF黑名单里看到此IP已被封堵。查看方法如下:

  1. 登录WAF控制台,进入“防护策略”页面后,单击目标防护策略名称。
  2. 在防护策略详情页面,单击“防护配置”栏中的“黑白名单设置”,可以看到IP已被成功封堵在WAF黑名单中的地址组里。
    图5 黑白名单