更新时间:2025-09-30 GMT+08:00
身份防线告警关联历史处置信息
剧本说明
当安全云脑在15天内新增了IAM告警,且存在已被关闭的相似IAM告警,则“身份防线告警关联历史处置信息”剧本会将已关闭IAM防线告警的关闭评论添加到新增的相似IAM告警评论区中。告警和攻击的区别请参见告警概述,仅告警可触发剧本,攻击不能触发剧本。
IAM相似告警的判断条件如下,两条告警满足以下一个或多个条件,则判定为相似告警:
- 攻击源IP相同。
- IAM告警的用户名称相同。
- 告警类型相同。
该剧本默认启用,无需用户手动配置或启用。触发条件是安全云脑新增了与已关闭IAM告警相似的告警。
约束与限制
- 已购买安全云脑专业版且在有效使用期内。
- 告警的数据源是IAM。
实现效果
剧本生效后,安全云脑新增的IAM告警会自动添加已关闭的相似告警的关闭评论。
- 登录安全云脑 SecMaster控制台。
- 单击管理控制台左上角的
,选择区域和项目。 - 在页面左上角单击
,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 - 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图1 进入目标工作空间管理页面
- 在左侧导航栏选择,进入告警管理页面。
图2 告警管理页面
- 在告警管理页面,通过数据来源过滤IAM告警,并单击新增的IAM告警名称,进入告警详情页面。
- 若存在已关闭相似告警,则在新增的IAM告警详情页的评论区会自动添加已关闭相似告警的关闭评论。
IAM相似告警的判断条件如下,两条告警满足以下一个或多个条件,则判定为相似告警:
- 攻击源IP相同。
- IAM告警的用户名称相同。
- 告警类型相同。
“身份防线告警关联历史处置信息”剧本生效后,在新增的IAM告警详情页的评论区会自动添加已关闭相似告警的关闭评论。
图3 IAM告警添加历史相似告警评论
父主题: 剧本说明
