sa
实施编排策略
更新时间:2021/01/21 GMT+08:00
安全编排服务针对四类事件提供预置的安全编排策略,快速处理安全事件。非第一次处理时,并可取消已执行的安全编排。
本小节主要介绍在资产遭遇攻击时,如何实施安全编排响应策略。
前提条件
- 已购买态势感知专业版,且在有效使用期内。
- 已开启安全编排服务。
操作步骤
- 登录管理控制台。
- 如图1示例,进入“安全编排”页面。
- 单击目标安全事件下的“查看详情,实施策略”,如图2。
- 在目标攻击事件的“事件类型”列,单击事件类型名称,进入事件“设置策略”窗口。图3 事件详情
- 在事件“设置策略”中,选择“执行安全编排(内容如下表)”的处理方式,单击“确认”,如图4。
- (可选)暴力破解和僵尸主机攻击类型的事件,选择消息通知主题。确认处理方式后,将弹出“选择多因子认证订阅主题”对话框中,选择消息主题,并单击“确认”,如图5。
- 因暴力破解和僵尸主机攻击类型的事件,涉及企业主机安全双因子认证检查项,故在执行安全编排检测前,这两类事件需选择双因子认证订阅主题。
- 用户可以单击“查看消息通知服务主题”,创建新的主题。每个主题可以添加多个订阅,在选择主题前,请确保您在该主题中添加的订阅的状态为“已确认”,否则将不能收到告警通知。更多关于主题和订阅的信息,请参见《消息通知服务用户指南》。
- 返回事件详情页面,当事件状态显示“执行完成”后,即策略执行完成。
- 单击事件名称,返回事件“设置策略”窗口,可查看“安全编排内容(执行完成)”的结果,各执行阶段详细说明请参见执行阶段说明。
- 如果需重新执行安全编排内容,可在“事件处理”区域,勾选“重新执行安全编排”,单击“确定”。
- 如果需取消安全编排下发的阻断防御策略或安全加固策略,可以勾选相应的取消按钮。如取消网络ACL阻断攻击源检测,可单击“[VPC]取消网络ACL阻断攻击源”,再单击“确定”,取消该安全编排检查项。
- 根据界面提示,在目标攻击事件的“推荐服务”模块,单击服务名称,可跳转到对应服务的购买界面,配置推荐的安全服务,加强资产的安全防护。
父主题: 安全编排
