更新时间:2024-06-18 GMT+08:00
攻击链路分析告警通知
剧本说明
攻击者攻击域名成功之后会对后端服务器进行攻击,因此针对此链路攻击的路径,安全云脑提供了攻击链路分析告警通知剧本。当攻击者通过层层攻击到主机之后,进行告警,通知运营人员进行处置。
“攻击链路分析告警通知”剧本已匹配“攻击链路分析告警通知”流程,该流程需要使用消息通知服务(Simple Message Notification,SMN)来创建安全云脑告警通知主题,并完成订阅即可接收到告警通知。
“攻击链路分析告警通知”流程是通过资产关联,查询对应HSS告警影响资产所关联的网站资产列表,流程预置默认查询最多3条网站资产。
- 如果有关联网站资产,则每条网站资产查询3小时前到现在这个时间段内对应的WAF告警数据(告警类型为XSS、SQL注入、命令注入、本地文件包含、远程文件包含、Webshell、漏洞攻击),同样的,最多查询3条告警数据。
- 如果有对应WAF告警,则将WAF告警数据与本条HSS告警数据进行关联,并通过消息通知服务(Simple Message Notification,SMN)通知到邮箱。
图1 攻击链路分析告警通知流程
实现效果
攻击链路分析告警通知剧本完成之后,对应HSS告警会将与之关联的网站资产影响的WAF来源的告警关联:
图2 关联告警
对应告警评论增加剧本评论:
图3 增加评论
并邮件通知客户进行告警处置:
图4 邮件通知
前提条件
- 已在安全云脑工作空间的页面中接入来源为HSS和WAF的告警数据。
接入HSS和WAF攻击数据,并开启自动转告警开关,详细操作请参见数据集成。图5 接入告警数据
- 已在安全云脑工作空间的“资产管理”页面中,单击资产名称,进入资产详情页面,将网站资产和主机资产进行关联。
图6 关联资产
步骤一:创建并订阅主题
“攻击链路分析告警通知”流程需要使用消息通知服务(Simple Message Notification,SMN)来创建安全云脑告警通知主题,并完成订阅即可接收到告警通知。
- 登录管理控制台。
- 在页面左上角单击
,选择,进入消息通知服务管理页面。 - 创建主题。
- 在左侧导航栏,选择,进入主题管理页面后,单击右上角“创建主题”。
图7 创建主题
- 在弹出的创建主题页面中,配置主题信息后,单击“确定”。
- 主题名称:建议设置为“SecMaster-Notification”。
- 显示名:建议设置为“安全云脑通知主题”。
- 其他参数保持缺省值即可。
图8 配置主题
- 在左侧导航栏,选择,进入主题管理页面后,单击右上角“创建主题”。
- 添加订阅。
- 在主题页面中,单击“SecMaster-Notification”主题所在行“操作”列的“添加订阅”。
- 在弹出的添加订阅页面中,配置订阅信息后,单击“确定”。
- 协议:请选择“邮件”。
- 订阅终端:输入订阅终端邮箱地址,如username@example.com
图9 添加订阅
步骤二:配置并启用剧本
在安全云脑中,默认“攻击链路分析告警通知”流程的初始版本(V1)也已启用,无需手动启用。默认“攻击链路分析告警通知”剧本的初始版本(V1)也已激活,只需要启用就可以进行使用。
- 在页面左上角单击
,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 - 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图10 进入目标工作空间管理页面
- 在左侧导航栏选择,默认进入剧本管理页面。
图11 进入剧本管理页面
- 在剧本管理页面中,单击“攻击链路分析告警通知”剧本所在行的“操作”列的“启用”。
- 在弹出的确认框中,选择初始剧本版本v1后,单击“确定”。
父主题: 剧本库
