sa
设置策略
更新时间:
2020/04/02 GMT+08:00
安全编排服务针对两类攻击事件提供了两种处理方式:
- 暂不处理
- 执行安全编排
非第一次处理时,可取消已执行的安全编排。
前提条件
- 已获取管理控制台的登录账号与密码。IAM用户已配置Tenant Administrator权限,拥有SA操作权限。配置IAM用户权限,请参见IAM创建用户并授权。
- 默认情况下,管理员创建的IAM用户没有任何权限,需要授权Tenant Administrator或Tenant Guest后,IAM用户才能基于被授予的权限操作或查看SA信息。更多权限说明请参见系统权限。
- 获取权限的IAM用户,可使用同账号下已购买的专业版SA。
- 已购买态势感知专业版,且在有效使用期内。
- 已开启安全编排服务。
操作步骤
- 登录管理控制台。
- 如图1示例,进入“安全编排”页面。
- 单击目标安全事件下的“查看详情,实施策略”,如图2。
- 在目标攻击事件的“事件类型”列,单击事件类型名称,进入事件“设置策略”窗口。
图3 事件详情
- 在事件“设置策略”中,选择“执行安全编排(内容如下表)”的处理方式,单击“确认”,如图4。
- (可选)暴力破解和僵尸主机攻击类型的事件确认处理方式后,将弹出“选择多因子认证订阅主题”对话框,选择“消息通知服务主题”,单击“确认”,如图5。
- 因暴力破解和僵尸主机攻击类型的事件涉及企业主机安全双因子认证检查项,故在执行安全编排检测前,这两类事件需选择双因子认证订阅主题。
- Web攻击和后门木马攻击类型的事件无需选择订阅主题,确认处理方式后可立即执行安全编排。
- 用户可以单击“查看消息通知服务主题”,创建新的主题。每个主题可以添加多个订阅,在选择主题前,请确保您在该主题中添加的订阅的状态为“已确认”,否则将不能收到告警通知。更多关于主题和订阅的信息,请参见《消息通知服务用户指南》。
- 当事件状态显示“执行完成”后,返回事件“设置策略”窗口,查看“安全编排内容(执行完成)”的结果,各执行阶段详细说明请参见执行阶段说明。
- 如果想重新执行安全编排内容,可在“事件处理”区域,勾选“重新执行安全编排”,单击“确定”。
- 如果想取消安全编排下发的阻断防御策略或安全加固策略,可以勾选相应的取消按钮。如取消网络ACL阻断攻击源检测,可单击“[VPC]取消网络ACL阻断攻击源”,再单击“确定”,取消该安全编排检查项。
- 根据界面提示,在目标攻击事件的“推荐服务”模块,单击服务名称,可跳转到对应服务的购买界面,配置推荐的安全服务,加强资产的安全防护。
父主题:
安全编排
相关文档
相关产品
