更新时间:2025-06-24 GMT+08:00
一键阻断或解封
操作场景
应急策略作为告警一键阻断的止血手段,可根据告警来源选择相应的类型对攻击者进行阻断,拦截该恶意IP的访问。表1中为推荐设置,除此之外,您也可以结合对多条告警的综合调查结果,对单个攻击源采用多种类型进行阻断。
|
告警类型 |
对应防线 |
推荐阻断策略 |
|---|---|---|
|
HSS告警 |
主机防线 |
建议优先采用VPC策略阻断 |
|
WAF告警 |
应用防线 |
建议优先采用WAF策略阻断 |
|
CFW告警 |
网络防线 |
建议优先采用CFW策略阻断 |
|
IAM告警 |
身份防线 |
建议优先采用IAM策略阻断 |
|
OBS/DBSS告警 |
数据防线 |
当前可根据实际攻击场景和调查结果考虑使用VPC策略阻断/CFW策略阻断,隔绝防护资产和攻击源的网络通信等 |
本章节介绍如何执行一键阻断和一键解封操作。
约束与限制
- 单用户单工作空间内容最多新增300条支持阻断老化的应急策略,全量最多新增2500条应急策略。同时,单次下发策略阻断对象数量限制如下:
- 当需要下发策略至CFW时,单用户单次最多可新增500个IP或域名作为阻断对象。
- 当需要下发策略至WAF时,单用户单次最多可新增500个IP作为阻断对象。
- 当需要下发策略至VPC时,单用户单次1分钟内最多可新增500个IP作为阻断对象。
- 当需要下发策略至IAM时,单用户单次最多可新增500个IAM用户作为阻断对象。
- 将IP或IP地址段或IAM用户配置为黑名单后,来自该IP或IP地址段或用户的访问,CFW/WAF/VPC/IAM将不会做任何检测,直接拦截。
- 为确保系统稳定性,同时执行的应急策略任务数量必须小于等于5个,若检测到已有5个任务正在执行,系统将禁止继续新增、重试或编辑应急策略操作。
- 应急策略新增成功后,不支持修改阻断对象类型和阻断对象(即新增时设置的IP地址或IP地址段或IAM用户名)。
- 应急策略新增成功后,不支持修改策略对象、策略类型、对象类型、和已经勾选的操作连接。
- 当同一个IP被同一个云服务同时配置在黑名单和白名单中,实际生效以黑名单为准。
一键阻断
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域和项目。 - 在页面左上角单击
,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 - 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图1 进入目标工作空间管理页面
- 在左侧导航栏选择,进入告警管理页面。
图2 告警管理页面
- 在告警管理列表中,单击目标告警所在行“操作”列的,右侧弹出一键阻断配置页面。
同时,还可以在某条告警详情页面,单击页面上方的“一键阻断”。
- 在一键阻断配置页面中,配置阻断策略信息。
表2 一键阻断新增策略 参数名称
参数说明
策略类型
根据需要选择策略类型:“阻断”或“加白名单”。
- 当选择“阻断”:阻断的策略对象将被禁止访问。
- 当选择“加白名单”:加入白名单的策略对象访问请求将被放行。
对象类型
当“策略类型”选择“阻断”时,对象类型可选范围有“IP”、“账号”、“域名”。
当“策略类型”选择“加白名单”时,对象类型可选范围有“IP”、“域名”。
请根据需要选择对象类型。
- 当选择“IP”:策略的操作对象是IP地址或IP地址段。
- 当选择“域名”:策略的操作对象是域名。
- 当选择“账号”:策略的操作对象是云服务账号(IAM用户名)。
策略对象
请输入策略对象。
- 当“对象类型”选择“IP”时:策略对象请输入IP地址或IP地址段。请输入单个或多个IP地址或IP地址段,如有多个IP地址或IP地址段,请用英文逗号隔开。
填写示例:IPV4:192.168.0.0或192.168.0.0/12,IPV6:0:0:0:0:0:0:0:0或0:0:0:0:0:0:0:0/128。
- 当“对象类型”选择“域名”时:策略对象请输入域名。请输入单个或多个域名,如有多个域名,请用英文逗号隔开。域名只能由字母、数字、-、_和.组成,单段不能超过63个字符长度。
- 当“策略类型”选择“阻断”且“对象类型”选择“账号”时:策略对象请输入云服务账号(IAM用户名)。请输入单个或多个云服务账号(IAM用户名),如有多个云服务账号(IAM用户名),请用英文逗号隔开。
策略生效范围
请根据需求选择“当前区域和企业项目”或“所有区域和企业项目”。
操作连接
应急策略的流程所绑定的资产连接。请根据需要选择该策略的操作连接。
- 当“策略类型”选择“阻断”且“对象类型”选择“IP”时:可选择防线类型为CFW、VPC、WAF对应的操作连接。
- 当“策略类型”选择“阻断”且“对象类型”选择“账号”时:可选择防线类型为IAM对应的操作连接。
- 当“策略类型”选择“阻断”且“对象类型”选择“域名”时:可选择防线类型为CFW对应的操作连接。
- 当“策略类型”选择“加白名单”且“对象类型”选择“IP”时:可选择防线类型为WAF对应的操作连接。
- 当“策略类型”选择“加白名单”且“对象类型”选择“域名”时:可选择防线类型为CFW对应的操作连接。
自动过期
确认新增的应急策略是否自动过期。
- 如果选择是,请设置策略过期时间。
- 如果选择否,则该策略将一直有效。
标签(可选)
自定义应急策略的标签。
策略描述(可选)
自定义该策略的描述信息。
- 配置完成后,单击“确定”。
- 新增策略配置完成后,在左侧导航栏选择,选择“应急策略”页签,进入应急策略管理页面。在应急策略管理页面选择“任务视图”页签,可在任务列表中查看任务执行进度。
- 任务执行成功后,在应急策略管理页面选择“策略视图”页签,在策略列表中可查看已新增的策略。
一键解封
仅针对下发过“一键阻断”操作且执行成功的告警才可以执行“一键解封”操作。
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域和项目。
- 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
- 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图3 进入目标工作空间管理页面
- 在左侧导航栏选择,进入告警管理页面。
图4 告警管理页面
- 在告警管理列表中,单击目标告警所在行“操作”列的。
同时,还可以在某条告警详情页面,单击页面右上角的“一键解封”。
- 在弹出的一键解封确认框中,输入解封原因,并单击“确定”。
- 仅针对下发过“一键阻断”操作且执行成功的告警才可以执行“一键解封”操作。执行完成后,在左侧导航栏选择,选择“应急策略”页签,选择“策略视图”页签,一键解封的策略将不在策略列表中呈现,一键解封等效删除应急策略。
父主题: 告警管理
