内置剧本和流程
安全编排根据需求内置了剧本、流程,可以根据需要直接进行使用。
内置剧本
默认已启用以下剧本:
主机告警状态同步、高危漏洞自动通知、主机防线告警关联历史处置信息、云脑WAF地址组关联策略、应用防线告警关联历史处置信息、网络防线告警关联历史处置信息、重复告警自动关闭、告警ip指标打标、资产防护状态统计通知、未关闭告警自动统计通知、高危告警自动通知
安全防线 |
剧本名 |
描述 |
数据类 |
|---|---|---|---|
主机安全 |
主机告警状态同步 |
自动同步主机告警状态 |
Alert |
高危漏洞自动通知 |
对威胁等级为High的漏洞进行邮件或者短信通知 |
Vulnerability |
|
攻击链路分析告警通知 |
针对攻击链路进行分析,如果主机产生告警,就会查看关联主机所属的网站,如果有对应网站信息且有告警,就进行告警通知 |
Alert |
|
主机资产风险统计通知 |
查询资产管理中绑定EIP的主机资产,将其漏洞信息统计通知给客户 |
CommonContext |
|
HSS文件隔离查杀 |
自动隔离查杀恶意软件 |
Alert |
|
挖矿主机隔离 |
当主机告警类型是挖矿程序/挖矿软件,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断 |
Alert |
|
勒索主机隔离 |
当主机告警类型是勒索软件,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断 |
Alert |
|
主机防线告警关联历史处置信息 |
针对主机类告警,关联HSS告警历史处置信息,并添加至该告警评论中 |
Alert |
|
新增主机资产防护状态通知 |
新增主机资产为未防护状态,通知客户及时防护 |
Resource |
|
HSS高危告警拦截通知 |
主机高危告警,如果源IP未加入安全组阻断,则通知客户并生成代办,如果人工审核通过则加入安全云脑VPC策略阻断 |
Alert |
|
主机Rootkit事件攻击自动化处置 |
当主机告警类型为Rootkit,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断,同时关闭告警 |
Alert |
|
主机反弹Shell攻击自动化处置 |
当主机告警类型为反弹shell,对当前主机进行隔离,添加安全组,对入方向和出方向全部阻断,同时关闭告警 |
Alert |
|
应用安全 |
云脑WAF地址组关联策略 |
将安全云脑指定WAF地址组(黑IP地址组)绑定WAF所有企业项目全部策略的黑白名单 |
CommonContext |
WAF删除空防护策略 |
每周一9点查询WAF防护策略,对空防护策略进行删除 |
CommonContext |
|
应用防线告警关联历史处置信息 |
针对WAF告警,关联WAF告警历史处置信息,并添加至该告警评论中 |
Alert |
|
Web登录爆破拦截 |
对登录爆破成功的IP进行情报验证,如果不在白名单,则进行拦截通知,生成拦截代办,代办人工审核通过后会将该IP加入安全云脑WAF阻断策略中 |
Alert |
|
运维安全 |
关键运维操作实时通知 |
针对模型产生的运维告警,进行实时通知。目前支持挂载网卡、peering对等连接、资源绑定EIP三种关键运维操作进行smn通知 |
Alert |
身份安全 |
身份防线告警关联历史处置信息 |
针对IAM告警,关联IAM告警历史处置信息,并添加至该告警评论中 |
Alert |
网络安全 |
网络防线告警关联历史处置信息 |
针对CFW告警,关联CFW告警历史处置信息,并添加至该告警评论中 |
Alert |
其他/通用 |
高危告警自动通知 |
对威胁级别为High或者Fatal的告警进行邮件或者短信通知 |
Alert |
告警指标提取 |
将告警中IP信息抽取,通过情报系统进行验证,如果为恶意IP,可以将IP信息设置成指标,并与源告警相互关联 |
Alert |
|
重复告警自动关闭 |
将近7日内第二次及第二次以上出现的告警状态置为关闭,并关联7日内同名告警 |
Alert |
|
自动更新告警名称 |
根据客户需要,筛选关键字段信息,拼接告警名称 |
Alert |
|
告警ip指标打标 |
告警添加告警关联攻击源IP及目标IP的标签信息 |
Alert |
|
关联内外部IP画像情报 |
告警关联云脑情报、微步情报(优先关联内部情报) |
Alert |
|
资产防护状态统计通知 |
每周统计客户资产防护状态,同时发送邮件/短信通知给客户 |
CommonContext |
|
未关闭告警自动统计通知 |
每天晚上7点,统计未关闭的告警,并发送邮件/短信通知给客户 |
Alert |
|
高危告警自动化安全封堵 |
针对高危和致命告警,源IP地址攻击次数达到阈值(次数>3)且命中微步在线的恶意标签,根据告警来源将该ip对应策略阻断(WAF、VPC、CFW、IAM) |
Alert |
|
低危告警自动关闭 |
对于低危和提示的告警,进行自动化关闭 |
Alert |
内置流程
安全防线 |
流程名称 |
描述 |
数据类 |
|---|---|---|---|
主机安全 |
主机告警状态同步 |
自动同步主机告警状态 |
Alert |
高危漏洞自动通知 |
对威胁等级为High的漏洞进行邮件或者短信通知 |
Vulnerability |
|
漏洞处理 |
调用主机安全接口修复主机漏洞 |
Vulnerability |
|
策略管理-安全组阻断 |
将目标IP添加到所有安全组中 |
Policy |
|
策略管理-安全组取消阻断 |
将目标IP从所有安全组中取消 |
Policy |
|
主机一键隔离 |
将目标主机进行全端口的隔离 |
Alert |
|
主机一键解封 |
将目标主机从隔离安全组中移除 |
Alert |
|
攻击链路分析告警通知 |
针对攻击链路分析,主机告警影响资产关联网站资产有对应攻击告警进行告警通知 |
Alert |
|
主机资产风险统计通知 |
查询资产管理中绑定EIP的主机资产,将其漏洞信息统计通知给客户 |
CommonContext |
|
HSS文件隔离查杀 |
自动隔离查杀恶意软件 |
Alert |
|
主机防线告警关联历史处置信息 |
父流程,根据主机告警判断调用哪类子流程(主机防线告警关联历史处置信息-威胁建模-进程类、主机防线告警关联历史处置信息-威胁建模-登录类、主机防线告警关联历史处置信息-自动转告警)去关联历史处置信息,将其添加至告警评论 |
Alert |
|
主机防线告警关联历史处置信息-威胁建模-进程类 |
子流程,针对威胁建模构建的进程类告警,关联历史处置信息,将其添加到该告警的评论中 |
Alert |
|
主机防线告警关联历史处置信息-威胁建模-登录类 |
子流程,针对威胁建模构建的登录类告警,关联历史处置信息,将其添加到该告警的评论中 |
Alert |
|
主机防线告警关联历史处置信息-自动转告警 |
子流程,针对HSS自动转告警产生的告警,关联历史处置信息,将其添加到该告警的评论中 |
Alert |
|
主机隔离-恶意软件 |
当主机存在恶意软件(勒索、挖矿等),触发人工审核节点,会显示恶意软件的详细内容(类型、受影响的主机、进程命令、文件路径等信息)供运营人员审核,审核通过后,会将受影响的主机进行自动化隔离 |
Alert |
|
资产防护信息通知 |
新增主机资产为未防护状态,通知客户及时防护 |
Resource |
|
HSS高危告警拦截通知 |
主机高危告警,如果源ip未加入安全组阻断,则通知客户并生成代办,如果人工审核通过则加入安全云脑VPC策略阻断 |
Alert |
|
应用安全 |
WAF一键拦截 |
对目标IP封堵在该账号的WAF服务里的所有中策略 |
Alert |
WAF一键解封 |
对目标IP从该账号的WAF服务里的目标策略组中解封 |
Alert |
|
策略管理-WAF阻断 |
将目标IP添加到WAF的黑名单中 |
Policy |
|
策略管理-WAF取消阻断 |
将目标IP从WAF的黑名单中移除 |
Policy |
|
WAF地址组绑定策略 |
将安全云脑指定WAF地址组绑定WAF策略黑白名单 |
CommonContext |
|
应用防线告警关联历史处置信息 |
针对WAF类告警,关联历史处置信息,将其添加至告警评论 |
Alert |
|
WAF删除空防护策略 |
每周一9点查询WAF防护策略,对空防护策略进行删除 |
CommonContext |
|
Web登录爆破拦截 |
对登录爆破成功的IP进行情报验证,如果不在白名单,则进行拦截通知,生成拦截代办,代办人工审核通过后会将该IP加入安全云脑WAF阻断策略中 |
Alert |
|
网络安全 |
CFW一键拦截 |
将目标IP添加到CFW的黑名单中 |
Alert |
CFW一键解封 |
将目标IP从CFW的黑名单中移除 |
Alert |
|
策略管理-CFW阻断 |
将目标IP添加到CFW的黑名单中 |
Policy |
|
策略管理-CFW取消阻断 |
将目标IP从CFW的黑名单中移除 |
Policy |
|
网络防线告警关联历史处置信息 |
针对CFW类告警,关联历史处置信息,将其添加至告警评论 |
Alert |
|
身份防线 |
身份防线告警关联历史处置信息 |
针对IAM类告警,关联历史处置信息,将其添加至告警评论 |
Alert |
策略管理-IAM阻断 |
通过策略管理,应急策略触发,将IAM用户名的状态修改为停用状态 |
Policy |
|
策略管理-IAM取消阻断 |
通过策略管理,应急策略触发,将IAM用户名的状态修改为启用状态 |
Policy |
|
其他/通用 |
高危告警自动通知 |
对威胁级别为High或者Fatal的告警进行邮件或者短信通知 |
Alert |
告警指标提取 |
将告警中ip信息抽取,进行微步外部验证,置成指标,并与源告警相互关联 |
Alert |
|
重复告警自动关闭 |
7日内第二次及第二次以上出现的告警状态置为关闭,并关联7日内同名告警 |
Alert |
|
自动更新告警名称 |
根据客户需要,筛选关键字段信息,拼接告警名称 |
Alert |
|
告警打ip标签 |
告警添加告警关联攻击源IP及目标IP的标签信息 |
Alert |
|
一键解封 |
根据不同的告警数据源产品选择执行不同的解封子流程 |
Alert |
|
一键阻断 |
根据不同的告警数据源产品选择执行不同的阻断子流程 |
Alert |
|
关联内外部IP画像情报 |
告警关联云脑情报、微步情报(优先关联内部情报) |
Alert |
|
资产防护状态统计通知 |
每周统计客户资产防护状态,同时发送邮件/短信通知给客户 |
CommonContext |
|
未关闭高风险告警统计自动通知 |
每天晚上7点,统计未关闭的告警,并发送邮件/短信通知给客户 |
Alert |
|
高危告警自动化安全封堵 |
针对高危和致命告警,源IP地址攻击次数达到阈值(次数>3)且命中微步在线的恶意标签,根据告警来源将该ip对应策略阻断(WAF、VPC、CFW、IAM) |
CommonContext |
|
实时自动关闭告警 |
对当前告警进行关闭 |
CommonContext |
|
关键运维操作实时通知 |
针对模型产生的运维告警,进行实时通知。目前支持挂载网卡、peering对等连接、资源绑定EIP三种关键运维操作进行SMN通知 |
Alert |
|
查询历史告警 |
告警关联历史处置信息子流程 查询自定义天数的历史告警的评论信息,返回去重后的评论 |
CommonContext |
