更新时间:2024-12-28 GMT+08:00
分享

内置剧本

安全编排根据需求内置了剧本,可以根据需要直接进行使用。

内置剧本

默认已启用以下剧本:

主机告警状态同步、高危漏洞自动通知、主机防线告警关联历史处置信息、云脑WAF地址组关联策略、应用防线告警关联历史处置信息、网络防线告警关联历史处置信息、重复告警自动关闭、告警ip指标打标、资产防护状态统计通知、未关闭告警自动统计通知、高危告警自动通知

表1 内置剧本

安全防线

剧本名

描述

数据类

主机安全

主机告警状态同步

自动同步主机告警状态

Alert

高危漏洞自动通知

对威胁等级为High的漏洞进行邮件或者短信通知

Vulnerability

攻击链路分析告警通知

针对攻击链路进行分析,如果主机产生告警,就会查看关联主机所属的网站,如果有对应网站信息且有告警,就进行告警通知

Alert

主机资产风险统计通知

查询资产管理中绑定EIP的主机资产,将其漏洞信息统计通知给客户

CommonContext

HSS文件隔离查杀

自动隔离查杀恶意软件

Alert

挖矿主机隔离

当主机告警类型是挖矿程序/挖矿软件,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断

Alert

勒索主机隔离

当主机告警类型是勒索软件,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断

Alert

主机防线告警关联历史处置信息

针对主机类告警,关联HSS告警历史处置信息,并添加至该告警评论中

Alert

新增主机资产防护状态通知

新增主机资产为未防护状态,通知客户及时防护

Resource

HSS高危告警拦截通知

主机高危告警,如果源IP未加入安全组阻断,则通知客户并生成代办,如果人工审核通过则加入安全云脑VPC策略阻断

Alert

主机Rootkit事件攻击自动化处置

当主机告警类型为Rootkit,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断,同时关闭告警

Alert

主机反弹Shell攻击自动化处置

当主机告警类型为反弹shell,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断,同时关闭告警

Alert

应用安全

云脑WAF地址组关联策略

将安全云脑指定WAF地址组(黑IP地址组)绑定WAF所有企业项目全部策略的黑白名单

CommonContext

WAF删除空防护策略

每周一9点查询WAF防护策略,对空防护策略进行删除

CommonContext

应用防线告警关联历史处置信息

针对WAF告警,关联WAF告警历史处置信息,并添加至该告警评论中

Alert

Web登录爆破拦截

对登录爆破成功的IP进行情报验证,如果不在白名单,则进行拦截通知,生成拦截代办,代办人工审核通过后会将该IP加入安全云脑WAF阻断策略中

Alert

运维安全

关键运维操作实时通知

针对模型产生的运维告警,进行实时通知。目前支持挂载网卡、peering对等连接、资源绑定EIP三种关键运维操作进行smn通知

Alert

身份安全

身份防线告警关联历史处置信息

针对IAM告警,关联IAM告警历史处置信息,并添加至该告警评论中

Alert

网络安全

网络防线告警关联历史处置信息

针对CFW告警,关联CFW告警历史处置信息,并添加至该告警评论中

Alert

其他/通用

高危告警自动通知

对威胁级别为High或者Fatal的告警进行邮件或者短信通知

Alert

告警指标提取

将告警中IP信息抽取,通过情报系统进行验证,如果为恶意IP,可以将IP信息设置成指标,并与源告警相互关联

Alert

重复告警自动关闭

将近7日内第二次及第二次以上出现的告警状态置为关闭,并关联7日内同名告警

Alert

自动更新告警名称

根据客户需要,筛选关键字段信息,拼接告警名称

Alert

告警ip指标打标

告警添加告警关联攻击源IP及目标IP的标签信息

Alert

关联内外部IP画像情报

告警关联云脑情报、微步情报(优先关联内部情报)

Alert

资产防护状态统计通知

每周统计客户资产防护状态,同时发送邮件/短信通知给客户

CommonContext

未关闭告警自动统计通知

每天晚上7点,统计未关闭的告警,并发送邮件/短信通知给客户

Alert

高危告警自动化安全封堵

针对高危和致命告警,源IP地址攻击次数达到阈值(次数>3)且命中微步在线的恶意标签,根据告警来源将该ip对应策略阻断(WAF、VPC、CFW、IAM)

Alert

低危告警自动关闭

对于低危和提示的告警,进行自动化关闭

Alert

相关文档