告警ip指标打标

剧本说明

当安全云脑新增告警且同时满足以下条件时，剧本“告警ip指标打标”会将IP情报中的“标签”同步到新增的告警“标签”中。

• 条件1：新增告警存在攻击源IP或目标IP。
• 条件2：新增告警中的攻击源IP或目标IP与已经存在的IP情报中IP相同。

告警和攻击的区别请参见告警概述，仅告警可触发剧本，攻击不能触发剧本。

该剧本需要用户手动启用。

前提条件

已购买安全云脑专业版且在有效使用期内。

启用剧本

在安全云脑中，默认“告警ip指标打标”流程的初始版本（V1）也已启用，无需手动启用。默认“告警ip指标打标”剧本的初始版本（V1）也已激活，只需要启用就可以进行使用。

1. 登录安全云脑 SecMaster控制台。
2. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图1 进入目标工作空间管理页面
   

3. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。
4. 在剧本管理页面中，单击“告警ip指标打标”剧本所在行的“操作”列的“启用”。
5. 在弹出的确认框中，选择初始剧本版本v1后，单击“确定”。

实现效果

新增告警中的攻击源IP或目标IP与已经存在的IP情报中IP相同场景下，剧本“告警ip指标打标”会将IP情报中的“标签”同步到新增的告警“标签”中。

1. 查看IP情报的标签。
   1. 查看情报指标操作请参见查看情报指标。在安全云脑工作空间管理页面，左侧导航栏选择“威胁管理 > 情报管理”进入情报管理页面。
   2. 在情报管理页面，单击情报指标列表右上角的按钮自定义列表项，勾选“标签”，即可在情报指标列表中查看情报指标的标签信息。
2. 查看新增告警的标签。
   1. 查看告警信息请参见查看告警信息。在安全云脑工作空间管理页面，左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。
   2. 在告警管理页面，单击告警列表右上角的按钮自定义列表项，勾选“标签”，即可在告警列表中查看告警的标签信息。