更新时间:2025-09-30 GMT+08:00
挖矿主机隔离
剧本说明
剧本“挖矿主机隔离”实现针对“告警类型”为“挖矿程序”或“挖矿软件”的主机告警,对告警所属的主机进行自动隔离,自动将主机添加至虚拟私有云 VPC安全组,安全云脑自动阻断出方向(主机访问第三方)和入方向(第三方访问主机)。虚拟私有云 VPC安全组更多信息请参见安全组概述。
触发条件:告警来源是主机,且告警类型是“挖矿程序”或“挖矿软件”。
该剧本需要用户手动启用剧本后方可生效。
前提条件
- 已购买安全云脑专业版且在有效使用期内。
- “主机安全告警”日志已接入安全云脑,且已打开“自动转告警”按钮。日志接入安全云脑请参见接入日志数据。
- 已经通过内置“主机-挖矿行为检测”模板创建模型,且已启用“主机-挖矿行为检测”模型。创建模型请参见使用已有模型模板创建告警模型,启用模型请参见管理模型。
启用“挖矿主机隔离”剧本
在安全云脑中,默认“主机隔离-恶意软件”流程的初始版本(V1)也已启用,无需手动启用。默认“挖矿主机隔离”剧本的初始版本(V1)也已激活,只需要启用剧本即可。
- 登录安全云脑 SecMaster控制台。
- 在页面左上角单击
,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 - 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图1 进入目标工作空间管理页面
- 在左侧导航栏选择,默认进入剧本管理页面。
图2 进入剧本管理页面
- 在剧本管理页面中,搜索“挖矿主机隔离”剧本并单击“挖矿主机隔离”剧本所在行的“操作”列的“启用”。
- 在弹出的启用确认框中,选择初始剧本版本v1后,单击“确认”。“挖矿主机隔离”剧本的“剧本状态”变为“已启用”表示启用剧本成功。
实现效果
剧本“挖矿主机隔离”实现针对“告警类型”为“挖矿程序”或“挖矿软件”的主机告警,对告警所属的主机进行自动隔离,自动将主机添加至虚拟私有云 VPC安全组,安全云脑自动阻断出方向(主机访问第三方)和入方向(第三方访问主机)。
- 当存在“告警类型”为“挖矿程序”或“挖矿软件”的主机告警时,剧本“挖矿主机隔离”会自动生成对告警所属主机进行自动隔离的待办。在安全云脑工作空间的左侧导航栏选择,进入“我的待办”页面,可查看任务名称为“审核是否对当前主机进行隔离”的任务,且“关联对象”是“挖矿主机隔离”。
图3 挖矿主机隔离剧本生成的人工待办
- 在“我的待办”页面,单击任务名称为“审核是否对当前主机进行隔离”待办任务所在行操作列的“审批”,右侧弹出“剧本-节点审核”界面,选择“继续执行”。
- 审批完成后,安全云脑自动将主机添加至虚拟私有云 VPC安全组,安全云脑自动阻断出方向(主机访问第三方)和入方向(第三方访问主机),可在VPC查看到名称为“SecMaster_主机一键隔离”的安全组 。查看安全组详细操作请参见查看安全组。
图4 “SecMaster_主机一键隔离”安全组
父主题: 剧本说明
