文档首页 > > 用户指南> 威胁告警> 安全编排> 实施编排策略

实施编排策略

分享
更新时间:2020/08/27 GMT+08:00

安全编排服务针对两类攻击事件提供了两种处理方式:

  • 暂不处理
  • 执行安全编排

非第一次处理时,可取消已执行的安全编排。

前提条件

  • 已获取管理控制台的登录账号与密码。
  • 已购买态势感知专业版,且在有效使用期内。
  • 已开启安全编排服务。

操作步骤

  1. 登录管理控制台。
  2. 图1示例,进入“安全编排”页面。

    图1 查看安全编排信息

  1. 单击目标安全事件下的“查看详情,实施策略”,如图2

    图2 安全事件响应编排

  1. 在目标攻击事件的“事件类型”列,单击事件类型名称,进入事件“设置策略”窗口。

    图3 事件详情

  2. 在事件“设置策略”中,选择“执行安全编排(内容如下表)”的处理方式,单击“确认”,如图4

    图4 设置策略

  3. (可选)暴力破解僵尸主机攻击类型的事件,选择消息通知主机。

    确认处理方式后,将弹出“选择多因子认证订阅主题”对话框中,选择消息主题,并单击“确认”,如图5
    图5 双因子认证主题
    • 暴力破解僵尸主机攻击类型的事件,涉及企业主机安全双因子认证检查项,故在执行安全编排检测前,这两类事件需选择双因子认证订阅主题。
    • 用户可以单击“查看消息通知服务主题”,创建新的主题。每个主题可以添加多个订阅,在选择主题前,请确保您在该主题中添加的订阅的状态为“已确认”,否则将不能收到告警通知。更多关于主题和订阅的信息,请参见《消息通知服务用户指南》

  4. 返回事件详情页面,当事件状态显示“执行完成”后,即策略执行完成。
  5. 单击事件名称,返回事件“设置策略”窗口,可查看“安全编排内容(执行完成)”的结果,各执行阶段详细说明请参见执行阶段说明

    • 如果想重新执行安全编排内容,可在“事件处理”区域,勾选“重新执行安全编排”,单击“确定”
    • 如果想取消安全编排下发的阻断防御策略或安全加固策略,可以勾选相应的取消按钮。如取消网络ACL阻断攻击源检测,可单击“[VPC]取消网络ACL阻断攻击源”,再单击“确定”,取消该安全编排检查项。
    • 根据界面提示,在目标攻击事件的“推荐服务”模块,单击服务名称,可跳转到对应服务的购买界面,配置推荐的安全服务,加强资产的安全防护。

执行阶段说明

  • 暴力破解
    以SSH暴力破解为例,安全编排执行完成后如图6示例,各执行阶段说明请参见表1
    图6 安全编排执行结果
    表1 执行阶段定义

    阶段

    涉及服务

    排查内容

    检查分析

    企业主机安全(HSS)

    是否开启HSS防护

    阻断防御

    虚拟私有云(VPC)

    网络ACL阻断攻击源

    虚拟私有云(VPC)

    禁止远程登录

    虚拟私有云(VPC)

    隔离出方向流量

    深度排查

    企业主机安全(HSS)

    排查弱口令

    企业主机安全(HSS)

    排查口令复杂度策略

    企业主机安全(HSS)

    排查应用配置

    虚拟私有云(VPC)

    排查网络ACL规则

    虚拟私有云(VPC)

    排查安全组规则

    安全加固

    企业主机安全(HSS)

    设置双因子认证

  • Web攻击
    以命令注入攻击为例,安全编排执行完成后如图7示例,各执行阶段说明请参见表2
    图7 安全编排执行结果
    表2 执行阶段定义

    阶段

    涉及服务

    排查内容

    检查分析

    企业主机安全(HSS)

    是否开启HSS防护

    Web应用防火墙(WAF)

    是否开启WAF防护

    阻断防御

    Web应用防火墙(WAF)

    开启Web基础防护

    深度排查

    漏洞扫描服务(VSS)

    漏洞扫描服务版本规格检测

    漏洞扫描服务(VSS)

    创建Web漏洞扫描任务

    虚拟私有云(VPC)

    排查网络ACL规则

    虚拟私有云(VPC)

    排查安全组规则

    安全加固

    Web应用防火墙(WAF)

    开启WAF网页防篡改

  • 后门木马
    以WannaCry勒索病毒为例,安全编排执行完成如图8示例,各执行阶段说明请参见表3
    图8 安全编排执行结果
    表3 执行阶段定义

    阶段

    涉及服务

    排查内容

    检查分析

    企业主机安全(HSS)

    是否开启HSS防护

    阻断防御

    虚拟私有云(VPC)

    禁止访问445端口

    虚拟私有云(VPC)

    禁止访问139端口

    深度排查

    虚拟私有云(VPC)

    排查网络ACL规则

    虚拟私有云(VPC)

    排查安全组规则

    安全加固

    弹性云服务器(ECS)

    建议修改主机登录密码

  • 僵尸主机
    以对外挖矿为例,安全编排执行完成如图9示例,各执行阶段说明请参见表4
    图9 安全编排执行结果
    表4 执行阶段定义

    阶段

    涉及服务

    排查内容

    检查分析

    企业主机安全(HSS)

    是否开启HSS防护

    阻断防御

    虚拟私有云(VPC)

    隔离出方向流量

    深度排查

    企业主机安全(HSS)

    排查弱口令

    企业主机安全(HSS)

    排查口令复杂度策略

    企业主机安全(HSS)

    排查应用配置

    虚拟私有云(VPC)

    排查网络ACL规则

    虚拟私有云(VPC)

    排查安全组规则

    安全加固

    企业主机安全(HSS)

    设置双因子认证

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问