文档首页/ 安全云脑 SecMaster/ 用户指南/ 剧本说明/ 关联内外部IP画像情报
更新时间:2025-09-30 GMT+08:00

关联内外部IP画像情报

剧本说明

“关联内外部IP画像情报”剧本,自动获取安全云脑告警中的外网源IP信息:

  • 若情报指标中存在相同的IP,则自动将告警与情报关联。
  • 若告警中的外网源IP信息在情报指标中不存在,安全云脑则自动调用微步在线情报社区IP信誉接口,并将查询到的情报信息保存到情报管理中自动生成情报指标,最后将情报与告警进行关联。

该剧本需用户手动启用。

触发条件:安全云脑新增告警且告警中存在外网源IP信息。

前提条件

  • 已购买安全云脑专业版且在有效使用期内。
  • 有可用的微步在线查看情报的次数,需要客户确认资源可用。

  • 云服务如WAF、HSS、CFW等日志已接入安全云脑,且已打开“自动转告警”按钮。日志接入安全云脑请参见接入日志数据

步骤一:配置操作连接

使用“关联内外部IP画像情报”流程前,需要将流程中使用到的微步插件的APIkey(“微步认证凭据”操作连接)进行配置。
  1. 登录安全云脑 SecMaster控制台
  2. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
    图1 进入目标工作空间管理页面
  4. 在左侧导航栏选择安全编排 > 剧本编排,进入剧本管理页面后,选择“操作连接”页签,进入操作连接管理页面。
    图2 操作连接管理页面
  5. 操作连接管理页面中,单击“微步认证凭据”所在行的“操作”列的“编辑”
  6. 在右侧弹出的编辑操作连接页面中,配置凭证信息。
    • freeApiKey,payApiKey:选择一填写即可,购买微步次数后可获得。
    • redisHost:客户redis资源ip地址,如果没有,可不填。
    • redisPort:客户redis资源端口号,如果没有,可不填。
    • redisPassword:客户redis资源密码,如果没有,可不填。
  7. 配置完成后,单击“确认”

骤步骤二:启用“关联内外部IP画像情报”剧本

在安全云脑中,默认“关联内外部IP画像情报”流程的初始版本(V1)也已启用,无需手动启用。默认“关联内外部IP画像情报”剧本的初始版本(V1)也已激活,只需要启用剧本即可
  1. 登录安全云脑 SecMaster控制台
  2. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
    图3 进入目标工作空间管理页面
  4. 在左侧导航栏选择安全编排 > 剧本编排,默认进入剧本管理页面。
    图4 进入剧本管理页面
  5. 剧本管理页面中,搜索“关联内外部IP画像情报”剧本并单击“关联内外部IP画像情报”剧本所在行的“操作”列的“启用”
  6. 在弹出的启用确认框中,选择初始剧本版本v1后,单击“确认”。“关联内外部IP画像情报”剧本的“剧本状态”变为“已启用”表示启用剧本成功。

实现效果

满足剧本场景,剧本生效后,单击安全云脑目标工作空间的威胁管理 > 情报管理,进入情报管理页面。在情报管理页面可查看新增的情报指标。