告警指标提取

剧本说明

当安全云脑新增告警，且告警存在攻击源IP或目标IP，剧本“告警指标提取”会自动提取新增告警中的攻击源IP或目标IP，生成IP情报，并将IP情报与来源告警关联。

• 若客户已购买微步，剧本“告警指标提取”提取新增告警中的攻击源IP或目标IP后，会自动在微步验证IP并同步IP情报的威胁度、置信度信息，最终生成IP情报。微步的配置请参见配置微步操作指导。微步的更多信息请参见微步在线云API介绍。
• 若客户未购买微步，剧本“告警指标提取”提取新增告警中的攻击源IP或目标IP后，直接生成IP情报，其中IP情报的威胁度、置信度采用默认值。默认值如下：
  • 威胁度默认值：攻击源IP则威胁度为“黑”，攻击目标IP威胁度为“白”。
  • 置信度默认值：80。

告警和攻击的区别请参见告警概述，仅告警可触发剧本，攻击不能触发剧本。

剧本“告警指标提取”需要用户手动启用剧本，且剧本的触发条件是安全云脑新增告警且新增的告警中存在攻击源IP或者目标IP。

前提条件

已购买安全云脑专业版且在有效使用期内。

配置微步操作指导

若用户已购买微步，则需要在安全云脑配置微步插件的ApiKey，才可在剧本中调用微步插件。

1. 登录安全云脑 SecMaster控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
4. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图1 进入目标工作空间管理页面
   

5. 在左侧导航栏选择“安全编排 > 插件管理”，进入插件管理页面。
   图2 进入插件管理页面
   

6. 在插件管理页面中，输入关键字“微步”搜索微步插件。并单击微步插件名称，进入插件详情页。
7. 在插件详情页，选择“操作连接”页面，单击“微步认证凭据”连接所在行操作列的“编辑”，进入“编辑连接”页面。
   图3 编辑微步认证凭据连接
   

8. 在“编辑连接”页面，输入微步的认证凭据ApiKey。获取微步ApiKey的指导请参见获取API KEY。用户只需要输入freeApiKey或者paidApiKey中的一个即可，其他参数可不填写。
   • freeApiKey：若用户使用的是免费版的微步，需要输入freeApiKey。
   • paidApiKey：若用户使用的是付费版的微步，需要输入paidApiKey。

启用剧本操作指导

1. 登录安全云脑 SecMaster控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
4. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图4 进入目标工作空间管理页面
   

5. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。
   图5 进入剧本管理页面
   

6. 在剧本管理页面，通过剧本名称搜索待启用剧本“告警指标提取”，单击剧本所在行“操作”列的“启用”，弹出启用确认信息框。
7. 选择启用的剧本版本后，单击“确认”。启用完成后，“告警指标提取”剧本的“剧本状态”变更为“已启用”。

实现效果

当安全云脑新增告警，且告警存在攻击源IP或目标IP，剧本“告警指标提取”自动提取新增告警中的攻击源IP或目标IP，生成IP情报，并将IP情报与来源告警关联。

1. 查看情报指标操作请参见查看情报指标。在情报管理页单击情报指标，进入“情报概览”页面。
2. 在“情报概览”页面的关联信息模块，单击“关联告警”可查看情报的关联告警信息。