概述

使用场景

攻击者攻击域名成功之后会对后端服务器进行攻击，因此针对此链路攻击的路径，安全云脑提供了攻击链路分析告警通知剧本。当攻击者通过层层攻击到主机之后，进行告警，通知运营人员进行处置。

剧本说明

“攻击链路分析告警通知”剧本已匹配“攻击链路分析告警通知”流程，该流程需要使用消息通知服务（Simple Message Notification，SMN）来创建安全云脑告警通知主题，并完成订阅即可接收到告警通知。

“攻击链路分析告警通知”流程是通过资产关联，查询对应HSS告警影响资产所关联的网站资产列表，流程预置默认查询最多3条网站资产。

• 如果有关联网站资产，则每条网站资产查询3小时前到现在这个时间段内对应的WAF告警数据（告警类型为XSS、SQL注入、命令注入、本地文件包含、远程文件包含、Webshell、漏洞攻击），同样的，最多查询3条告警数据。
• 如果有对应WAF告警，则将WAF告警数据与本条HSS告警数据进行关联，并通过消息通知服务（Simple Message Notification，SMN）通知到邮箱。

图1 攻击链路分析告警通知流程

前提条件

• 已在安全云脑工作空间的“设置 > 数据集成”页面中接入来源为HSS和WAF的告警数据。
  接入HSS和WAF攻击数据，并开启自动转告警开关，详细操作请参见数据集成。

  图2 接入告警数据
  
• 已在安全云脑工作空间的“资产管理”页面中，单击资产名称，进入资产详情页面，将网站资产和主机资产进行关联。
  图3 关联资产
  

功能实现效果

攻击链路分析告警通知剧本完成之后，对应HSS告警会将与之关联的网站资产影响的WAF来源的告警关联：

图4 关联告警

对应告警评论增加剧本评论：

图5 增加评论

并邮件通知客户进行告警处置：

图6 邮件通知