文档首页/ 安全云脑 SecMaster/ 用户指南/ 风险预防/ 策略管理/ 新增应急策略
更新时间:2026-02-05 GMT+08:00
查看PDF
分享

新增应急策略

操作场景

应急策略作为告警一键阻断的止血手段,可根据告警来源选择相应的类型对攻击者进行阻断。表1中为推荐设置,除此之外,您也可以结合对多条告警的综合调查结果,对单个攻击源采用多种类型进行阻断。

表1 推荐阻断策略

告警类型

对应防线

推荐阻断策略

HSS告警

主机防线

建议优先采用VPC策略阻断

WAF告警

应用防线

建议优先采用WAF策略阻断

CFW告警

网络防线

建议优先采用CFW策略阻断

IAM告警

身份防线

建议优先采用IAM策略阻断

OBS/DBSS告警

数据防线

当前可根据实际攻击场景和调查结果考虑使用VPC策略阻断/CFW策略阻断,隔绝防护资产和攻击源的网络通信等

本章节介绍如何新增应急策略。

约束与限制

  • 单用户单工作空间内容最多新增300条支持阻断老化的应急策略,全量最多新增2500条应急策略。同时,单次下发策略阻断对象数量限制如下:
    • 当需要下发策略至CFW时,单用户单次最多可新增500个IP或域名作为阻断对象。
    • 当需要下发策略至WAF时,单用户单次最多可新增500个IP作为阻断对象。
    • 当需要下发策略至VPC时,单用户单次1分钟内最多可新增500个IP作为阻断对象。
    • 当需要下发策略至IAM时,单用户单次最多可新增500个IAM用户作为阻断对象。
  • 将IP或IP地址段或IAM用户配置为黑名单后,来自该IP或IP地址段或用户的访问,CFW/WAF/VPC/IAM将不会做任何检测,直接拦截。
  • 为确保系统稳定性,同时执行的应急策略任务数量必须小于等于5个,若检测到已有5个任务正在执行,系统将禁止继续新增、重试或编辑应急策略操作。
  • 应急策略新增成功后,不支持修改阻断对象类型和阻断对象(即新增时设置的IP地址或IP地址段或IAM用户名)。
  • 应急策略新增成功后,不支持修改策略对象、策略类型、对象类型、和已经勾选的操作连接。

新增应急策略

  1. (可选)添加委托授权。

    如果阻断对象为IAM用户,在新增应急策略前,需要执行委托授权操作。

    1. 登录安全云脑 SecMaster控制台
    2. 在页面左上角单击,选择管理与监管 > 统一身份认证服务 IAM,进入统一身份认证服务管理控制台。
    3. 添加自定义策略。
      1. 在左侧导航栏选择权限管理 > 权限,并在权限页面右上角单击“创建自定义策略”
      2. 配置策略。
        • 策略名称:自定义。
        • 策略配置方式:选择“JSON视图”。
        • 策略内容:请直接复制粘贴以下内容。 
           1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
          		 
          {
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:users:updateUser",
                "iam:users:listUsers"
            ]
        }
    ]
}
      3. 单击“确定”
    4. 委托授权。
      1. 在左侧导航栏选择“委托”,进入委托页面后,单击“SecMaster_Agency”,默认进入SecMaster_Agency的基本信息页面。
      2. 选择“授权记录”页签,并单击“授权”
      3. 在选择策略页面,搜索并选中1.c添加的策略后,单击“下一步”
      4. 设置授权范围,请选择“所有资源”,设置完成后,单击“确定”

  2. 登录安全云脑 SecMaster控制台
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  4. 在左侧导航栏选择风险预防 > 策略管理,进入策略管理页面后选择“应急策略”页签,进入应急策略管理页面。

    图2 进入应急策略管理页面

  5. 应急策略管理默认进入“策略视图”页面,在策略视图页面中,单击“新增策略”右侧弹出新增策略页面。
  6. 在新增策略页面中,配置策略信息。

    表2 新增策略

    参数名称

    参数说明

    策略类型

    根据需要选择策略类型:“阻断”“加白名单”

    • 当选择“阻断”:阻断的策略对象将被禁止访问。
    • 当选择“加白名单”:加入白名单的策略对象访问请求将被放行。

    对象类型

    “策略类型”选择“阻断”时,对象类型可选范围有“IP”“账号”“域名”

    “策略类型”选择“加白名单”时,对象类型可选范围有“IP”“域名”

    请根据需要选择对象类型。

    • 当选择“IP”:策略的操作对象是IP地址或IP地址段。
    • 当选择“域名”:策略的操作对象是域名。
    • 当选择“账号”:策略的操作对象是云服务账号(IAM用户名)。

    策略对象

    请输入策略对象。

    • “对象类型”选择“IP”时:策略对象请输入IP地址或IP地址段。请输入单个或多个IP地址或IP地址段,如有多个IP地址或IP地址段,请用英文逗号隔开。

      填写示例:IPV4:192.168.0.0或192.168.0.0/12,IPV6:0:0:0:0:0:0:0:0或0:0:0:0:0:0:0:0/128。

    • “对象类型”选择“域名”时:策略对象请输入域名。请输入单个或多个域名,如有多个域名,请用英文逗号隔开。域名只能由字母、数字、-、_和.组成,单段不能超过63个字符长度。
    • “策略类型”选择“阻断”“对象类型”选择“账号”时:策略对象请输入云服务账号(IAM用户名)。请输入单个或多个云服务账号(IAM用户名),如有多个云服务账号(IAM用户名),请用英文逗号隔开。

    执行工具

    勾选执行工具,即选择该策略的操作连接。

    • “策略类型”选择“阻断”“对象类型”选择“IP”时:可选择防线类型为CFW、VPC、WAF对应的操作连接。
    • “策略类型”选择“阻断”“对象类型”选择“账号”时:可选择防线类型为统一身份认证对应的操作连接。
    • “策略类型”选择“阻断”“对象类型”选择“域名”时:可选择防线类型为CFW对应的操作连接。
    • “策略类型”选择“加白名单”“对象类型”选择“IP”时:可选择防线类型为WAF对应的操作连接。
    • “策略类型”选择“加白名单”“对象类型”选择“域名”时:可选择防线类型为CFW对应的操作连接。

    方向

    仅当对象类型为IP时,可设置防线方向。

    • “对象类型”选择“IP”“执行工具”选择CFW、VPC对应的操作连接时,可以设置防线方向:内-外 外-内
      • 外-内:互联网访问云上资产(EIP)。
      • 内-外:云上资产(EIP)访问互联网。
    • “对象类型”选择“IP”“执行工具”选择WAF对应的操作连接时,可以设置防线方向:外-内

    账号

    选择新增策略所生效的账号范围。仅主工作空间的运营账号支持设置账号范围

    • “所有账号”:如果选择“所有账号”即该策略适用“运营账号”以及其所管理的所有“业务账号”
    • “指定账号”:如果选择“指定账号”并勾选对应账号,即表示该策略适用“运营账号”所管理的特定或部分“业务账号”

      其中运营账号和业务账号的含义如下:

    • 运营账号:用来管理其他成员账号的主账号,也称为运营账号。一个运营账号可以管理多个业务账号。
    • 业务账号:被运营账号(主账号)管理的成员账号,也称子账号。一个业务账号(子账号)仅能被一个运营账号管理。
    • 主工作空间:系统默认安全云脑创建的第一个工作空间为主工作空间,且在工作空间 > 空间管理页面置顶。也支持用户变更主工作空间。在工作空间 > 空间管理页面,单击对应的目标工作空间右侧的设置按钮,在弹出的工作空间详情页面打开“主工作空间”按钮即可完成主工作空间变更设置。

    区域

    选择新增策略所生效的区域范围。

    • 当前区域
    • 全部区域
    • 指定区域项目

    企业项目

    选择新增策略所生效的企业项目范围。

    • 全部企业项目
    • 指定企业项目

    自动过期

    确认新增的应急策略是否自动过期。

    • 如果选择是,请设置策略过期时间。
    • 如果选择否,则该策略将一直有效。

    标签(可选)

    自定义应急策略的标签。

    策略描述(可选)

    自定义该策略的描述信息。

  7. 配置完成后,单击“确定”
  8. 新增应急策略配置完成后,返回应急策略管理页面,可查看新增的策略信息。
父主题: 策略管理

相关文档