内置剧本

主机安全

主机告警状态同步

自动同步主机告警状态

高危漏洞自动通知

对威胁等级为High的漏洞进行邮件或者短信通知

攻击链路分析告警通知

针对攻击链路进行分析，如果主机产生告警，就会查看关联主机所属的网站，如果有对应网站信息且有告警，就进行告警通知

主机资产风险统计通知

查询资产管理中绑定EIP的主机资产，将其漏洞信息统计通知给客户

HSS文件隔离查杀

自动隔离查杀恶意软件

挖矿主机隔离

当主机告警类型是挖矿程序/挖矿软件，对当前主机进行隔离，添加安全组，对入方向和出方向全部阻断

勒索主机隔离

当主机告警类型是勒索软件，对当前主机进行隔离，添加安全组，对入方向和出方向全部阻断

主机防线告警关联历史处置信息

针对主机类告警，关联HSS告警历史处置信息，并添加至该告警评论中

新增主机资产防护状态通知

新增主机资产为未防护状态，通知客户及时防护

HSS高危告警拦截通知

主机高危告警，如果源IP未加入安全组阻断，则通知客户并生成待办，如果人工审核通过则加入安全云脑VPC策略阻断

主机Rootkit事件攻击自动化处置

当主机告警类型为Rootkit，对当前主机进行隔离，添加安全组，对入方向和出方向全部阻断，同时关闭告警

主机反弹Shell攻击自动化处置

当主机告警类型为反弹shell，对当前主机进行隔离，添加安全组，对入方向和出方向全部阻断，同时关闭告警

应用安全

云脑WAF地址组关联策略

将安全云脑指定WAF地址组(黑IP地址组)绑定WAF所有企业项目全部策略的黑白名单

WAF删除空防护策略

每周一9点查询WAF防护策略，对空防护策略进行删除

应用防线告警关联历史处置信息

针对WAF告警，关联WAF告警历史处置信息，并添加至该告警评论中

Web登录爆破拦截

对登录爆破成功的IP进行情报验证，如果不在白名单，则进行拦截通知，生成拦截待办，待办人工审核通过后会将该IP加入安全云脑WAF阻断策略中

运维安全

关键运维操作实时通知

针对模型产生的运维告警，进行实时通知。目前支持挂载网卡、peering对等连接、资源绑定EIP三种关键运维操作进行smn通知

身份安全

身份防线告警关联历史处置信息

针对IAM告警，关联IAM告警历史处置信息，并添加至该告警评论中

网络安全

网络防线告警关联历史处置信息

针对CFW告警，关联CFW告警历史处置信息，并添加至该告警评论中

其他/通用

高危告警自动通知

对威胁级别为High或者Fatal的告警进行邮件或者短信通知

告警指标提取

将告警中IP信息抽取，通过情报系统进行验证，如果为恶意IP，可以将IP信息设置成指标，并与源告警相互关联

重复告警自动关闭

将近7日内第二次及第二次以上出现的告警状态置为关闭，并关联7日内同名告警

自动更新告警名称

根据客户需要，筛选关键字段信息，拼接告警名称

告警ip指标打标

告警添加告警关联攻击源IP及目标IP的标签信息

关联内外部IP画像情报

告警关联云脑情报、微步情报（优先关联内部情报）

资产防护状态统计通知

每周统计客户资产防护状态，同时发送邮件/短信通知给客户

未关闭告警自动统计通知

每天晚上7点，统计未关闭的告警，并发送邮件/短信通知给客户

高危告警自动化安全封堵

针对高危和致命告警，源IP地址攻击次数达到阈值(次数>3)且命中微步在线的恶意标签，根据告警来源将该ip对应策略阻断(WAF、VPC、CFW、IAM)

低危告警自动关闭

对于低危和提示的告警，进行自动化关闭

同步CFW黑IP到情报

将CFW的黑IP同步到云脑的情报管理中

同步WAF黑IP到情报

将WAF的黑IP同步到云脑的情报管理中

其他/通用

凭据泄露响应

针对用户凭据（如账号密码、AK&SK、委托账号）泄露的场景，进行自动化停用AK&SK、停用IAM用户、修改Agency被委托账号为当前账号。

其他/通用

高危告警WAF自动处置

安全云脑提供的“高危告警WAF自动处置”剧本，剧本已匹配“高危告警WAF自动处置”流程。该剧本会自动获取CloudTIC（华为云平台侧情报中心）中WAF的IP情报，针对“威胁度”为“黑”且“置信度”大于70的IP情报（判定为有风险的IP情报）进行自动封堵IP并新增IP情报指标。针对“威胁度”为“白”或“置信度”小于30的IP情报（判定为低风险的IP情报）自动关闭告警并自动新增IP情报指标。

其他/通用

“异常AccessKey泄漏风险扫描”

“异常AccessKey泄漏风险扫描”剧本已关联“异常AccessKey泄漏风险扫描”流程，剧本实现每天0点定时扫描GitHub是否存在泄露的AKSK，若存在泄露的AKSK则在安全云脑自动新增一条“AKSK风险类型”的攻击。