高危漏洞自动通知
剧本说明
安全云脑提供的高危漏洞自动通知剧本,当新增主机漏洞,且等级为高危时,自动通知运营人员。
“高危漏洞自动通知”剧本已匹配“高危漏洞自动通知”流程,该流程需要使用消息通知服务(Simple Message Notification,SMN)来创建安全云脑告警通知主题,并完成订阅即可接收到告警通知。
当新增HSS的高危漏洞时,会通过SMN服务对运营人员发送漏洞通知。
前提条件
已在安全云脑工作空间的数据集成。
页面中接入主机安全服务(Host Security Service,HSS)服务漏洞日志数据,详细操作请参见接入数据后,可以在
页面进行查看。步骤一:创建并订阅主题
- 登录管理控制台。
- 在页面左上角单击,选择 ,进入消息通知服务管理页面。
- 创建主题。
- 在左侧导航栏,选择“创建主题”。
图4 创建主题
,进入主题管理页面后,单击右上角 - 在弹出的创建主题页面中,配置主题信息后,单击“确定”。
- 主题名称:建议设置为“SecMaster-Notification”。
- 显示名:建议设置为“安全云脑通知主题”。
- 其他参数保持缺省值即可。
- 在左侧导航栏,选择“创建主题”。
- 添加订阅。
- 在主题页面中,单击“SecMaster-Notification”主题所在行“操作”列的“添加订阅”。
- 在弹出的添加订阅页面中,配置订阅信息后,单击“确定”。
- 协议:请选择“邮件”。
- 订阅终端:输入订阅终端邮箱地址,如username@example.com
步骤二:配置资产连接
使用“高危漏洞自动通知”流程前,需要将流程中使用到的凭证(“SMN云服务凭证”资产连接)进行参数配置。
- 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
- 在左侧导航栏选择图5 进入目标工作空间管理页面
,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
- 在左侧导航栏选择“资产连接”页签,进入资产连接管理页面。
图6 资产连接管理页面
,进入剧本管理页面后,选择 - 在资产连接管理页面中,单击“SMN云服务凭证”所在行的“操作”列的“编辑”。
- 在右侧弹出的编辑资产连接页面中,在“连接类型”中选择“其它”,并配置endpoint信息。
endPoint字段填写说明:https://{{SMN_ENDPOINT}}/v2/{{project_id}}/notifications/topics/urn:smn:{{region_id}}:{{project_id}}:SecMaster-Notification
- SMN_ENDPOINT:为SMN服务调用域名,填写方式为“终端节点:443”,其中,终端节点信息请从地区和终端节点中获取。以华北-北京四为例:smn.cn-north-4.myhuaweicloud.com:443
- project_id:为当前工作空间所属的项目ID,查看方式如下:
- 已登录管理控制台,并将鼠标移动至右上方的用户名,在下拉列表中选择“我的凭证”,默认进入API凭证页面。
- 在API凭证页面的“项目列表”中,查看项目ID。
图7 项目ID
- urn:smn:{{region_id}}:{{project_id}}:SecMaster-Notification:为发送邮件通知的SMN主题URN,查看方式如下:
- 在页面左上角单击,选择 ,进入消息通知服务管理页面。
- 在左侧导航栏,选择 ,进入主题管理页面。
- 在主题列表中,查看步骤一:创建并订阅主题创建的主题的主题URN信息。
- 配置完成后,单击“确认”。
步骤三:配置并启用剧本
在安全云脑中,默认“高危漏洞自动通知”流程的初始版本(V1)也已启用,无需手动启用。默认“高危漏洞自动通知”剧本的初始版本(V1)也已激活,只需要启用就可以进行使用。
- 在剧本页面中,单击“高危漏洞自动通知”剧本所在行的“操作”列的“启用”。
- 在弹出的确认框中,选择初始剧本版本v1后,单击“确定”。