更新时间:2025-09-30 GMT+08:00
高危告警自动化安全封堵
剧本说明
“高危告警自动化安全封堵”剧本已匹配“高危告警自动化安全封堵”流程,实现对高危或致命告警中的攻击源IP地址自动下发对应的应急策略进行阻断,其中高危或致命告警中攻击源IP需要同时满足以下条件:
- 条件1:源IP地址攻击次数达到阈值(次数>3)。
- 条件2:命中微步在线的恶意标签。
该剧本生效后安全云脑自动下发应急策略阻断高危或致命告警中的恶意攻击源IP,应急策略的防护类型如下:
- 若高危或致命告警数据来源是Web应用防火墙 WAF,则安全云脑“高危告警自动化安全封堵”剧本生效后会自动下发WAF应急策略进行恶意IP阻断。
- 若高危或致命告警数据来源是CFW,则安全云脑“高危告警自动化安全封堵”剧本生效后会自动下发CFW应急策略进行恶意IP阻断。
- 若高危或致命告警数据来源是HSS,则安全云脑“高危告警自动化安全封堵”剧本生效后会自动下发VPC应急策略进行恶意IP阻断。
该剧本需用户手动启用。
触发条件:安全云脑新增了高危或致命告警,且告警中的攻击源IP同时满足以下条件:
- 条件1:源IP地址攻击次数达到阈值(次数>3)。
- 条件2:命中微步在线的恶意标签。
前提条件
- 企业主机安全 HSS的“主机安全告警”日志、云防火墙 CFW的“攻击事件日志”、Web 应用防火墙 WAF的“WAF攻击日志”已接入安全云脑,且已打开“自动转告警”按钮。日志接入安全云脑请参见接入日志数据。
- 有可用的微步在线查看情报的次数,需要客户确认资源可用。
约束与限制
- 已购买安全云脑专业版且在有效使用期内。
步骤一:配置资产连接操作连接
使用“高危告警自动化安全封堵”流程前,需要将流程中使用到的微步插件的APIkey(“微步认证凭据”操作连接)进行配置。
- 登录安全云脑 SecMaster控制台。
- 在页面左上角单击
,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 - 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图1 进入目标工作空间管理页面
- 在左侧导航栏选择,进入剧本管理页面后,选择“操作连接”页签,进入操作连接管理页面。
图2 操作连接管理页面
- 在操作连接管理页面中,单击“微步认证凭据”所在行的“操作”列的“编辑”。
- 在右侧弹出的编辑操作连接页面中,配置凭证信息。
- freeApiKey,payApiKey:选择一填写即可,购买微步次数后可获得。
- redisHost:客户redis资源ip地址,如果没有,可不填。
- redisPort:客户redis资源端口号,如果没有,可不填。
- redisPassword:客户redis资源密码,如果没有,可不填。
- 配置完成后,单击“确认”。
步骤二:配置并启用剧本
在安全云脑中,默认“高危告警自动化安全封堵”流程的初始版本(V1)也已启用,无需手动启用。默认“高危告警自动化安全封堵”剧本的初始版本(V1)也已激活,只需要启用就可以进行使用。
- 在剧本管理页面中,单击“高危告警自动化安全封堵”剧本所在行的“操作”列的“启用”。
- 在弹出的确认框中,选择初始剧本版本v1后,单击“确定”。
实现效果
“高危告警自动化安全封堵”剧本实现对高危或致命告警中的攻击源IP地址自动下发对应的应急策略进行阻断。此处以封堵在WAF中为例进行展示。封堵成功会在WAF黑名单里看到此IP已被封堵。查看方法如下:
- 登录Web应用防火墙控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - (可选) 如果您已开通企业项目,在左侧导航栏上方,单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
- 在左侧导航栏,单击“防护策略”,进入“防护策略”页面。
- 进入“防护策略”页面后,单击目标防护策略名称,进入防护策略详情页面。
- 在防护策略详情页面,单击“防护配置”栏中的“黑白名单设置”,可以看到IP已被成功封堵在WAF黑名单中的地址组里。通常“IP/IP段或地址组”名称带SecMaster_Ip_Group的一般为剧本自动生成的地址组。
图3 黑白名单
父主题: 剧本说明
