主机防线告警关联历史处置信息

剧本说明

当安全云脑在15天内新增了HSS的告警，且存在已被关闭的HSS告警，则“主机防线告警关联历史处置信息”剧本会将已关闭HSS告警的关闭评论添加到新增的相似HSS告警评论区中。HSS的相似告警和相似攻击均可触发剧本生效。

HSS相似告警的判断条件如下，两条告警满足以下一个或多个条件，则判定为相似告警：

• CMD命令相同。
• 告警来自同一个主机。
• 攻击源IP相同。
• “告警类型”相同。

HSS相似攻击的判断条件如下，两条告警满足以下一个或多个条件，则判定为相似攻击：

• 目的IP相同。
• 告警“标签”相同。
• “告警类型”相同。

该剧本默认启用，无需用户手动配置或启用。

触发条件是安全云脑新增了与已关闭HSS告警相似的HSS防线告警或攻击，告警和攻击的说明请参见告警概述。

前提条件

• 已经在安全云脑接入企业主机安全 HSS的“主机安全告警”日志，且打开“自动转告警”按钮，详细操作请参见接入日志数据。

约束与限制

• 已购买安全云脑专业版且在有效使用期内。
• 告警或攻击的数据源是HSS。

实现效果

剧本生效后，安全云脑新增的HSS告警或攻击会自动添加已关闭的相似告警或攻击的关闭评论。告警和攻击的查看方法类似，此处以HSS告警为例进行说明。

1. 登录安全云脑 SecMaster控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
4. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图1 进入目标工作空间管理页面
   

5. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。
   图2 告警管理页面
   

6. 在告警管理页面，通过数据来源过滤HSS告警，并单击新增的HSS告警名称，进入告警详情页面。
7. 若存在已关闭相似告警，则在新增的HSS告警详情页的评论区会自动添加已关闭相似告警的关闭评论。

   HSS相似告警的判断条件如下，两条告警满足以下一个或多个条件，则判定为相似告警：

   • 目的IP相同。
   • 告警“标签”相同。
   • “告警类型”相同。

   当安全云脑在15天内新增了HSS的告警，且存在已被关闭的HSS告警，则“主机防线告警关联历史处置信息”剧本会将已关闭HSS告警的关闭评论添加到新增的相似HSS告警评论区中。

   图3 剧本自动添加关闭评论到新增的相似HSS告警