更新时间:2025-09-30 GMT+08:00
Web登录爆破拦截
剧本说明
“Web登录爆破拦截”剧本已关联“Web登录爆破拦截”流程。“Web登录爆破拦截”实现针对告警类型为“暴力破解”的告警携带的源IP进行情报验证:
- 若告警源IP不在微步的白名单内,则安全云脑自动生成拦截通知和拦截待办,待办人工审核通过后安全云脑会将该IP加入到WAF阻断策略中并下发给WAF。
- 若告警源IP在微步的白名单内,则不做任何处理。
剧本触发条件:
- 条件1:告警名称包含“登录爆破攻击”或“login burst attack”。
- 条件2:告警类型为“暴力破解”。
该剧本生效后,安全云脑会自动下发应急策略到WAF阻断恶意攻击源IP。
该剧本需用户手动启用。
前提条件
- 已购买安全云脑专业版且在有效使用期内。
- Web 应用防火墙 WAF的“WAF攻击日志”已接入安全云脑,且已打开“自动转告警”按钮。日志接入安全云脑请参见接入日志数据。
- 有可用的微步在线查看情报的次数,需要客户确认资源可用。
步骤一:配置操作连接
使用“Web登录爆破拦截”流程前,需要将流程中使用到的微步插件的APIkey(“微步认证凭据”操作连接)进行配置。
- 登录安全云脑 SecMaster控制台。
- 在页面左上角单击
,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 - 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图1 进入目标工作空间管理页面
- 在左侧导航栏选择,进入剧本管理页面后,选择“操作连接”页签,进入操作连接管理页面。
图2 操作连接管理页面
- 在操作连接管理页面中,单击“微步认证凭据”所在行的“操作”列的“编辑”。
- 在右侧弹出的编辑操作连接页面中,配置凭证信息。
- freeApiKey,payApiKey:选择一填写即可,购买微步次数后可获得。
- redisHost:客户redis资源ip地址,如果没有,可不填。
- redisPort:客户redis资源端口号,如果没有,可不填。
- redisPassword:客户redis资源密码,如果没有,可不填。
- 配置完成后,单击“确认”。
步骤二:配置并启用剧本
在安全云脑中,默认“Web登录爆破拦截”流程的初始版本(V1)也已启用,无需手动启用。默认“Web登录爆破拦截”剧本的初始版本(V1)也已激活,只需要启用就可以进行使用。
- 在剧本管理页面中,单击“Web登录爆破拦截”剧本所在行的“操作”列的“启用”。
- 在弹出的确认框中,选择初始剧本版本v1后,单击“确定”。
实现效果
“Web登录爆破拦截”实现针对告警类型为“暴力破解”的告警携带的源IP进行情报验证:
- 若告警源IP不在微步的白名单内,则安全云脑自动生成拦截通知和拦截待办,待办人工审核通过后安全云脑会将该IP加入到WAF阻断策略中并下发给WAF。
- 若告警源IP在微步的白名单内,则不做任何处理。
- 当存在“告警类型”为“暴力破解”的告警时,剧本“Web登录爆破拦截”会对该告警携带的源IP进行情报验证。若验证结果告警源IP不在微步的白名单内,则安全云脑自动生成拦截通知和拦截待办。在安全云脑工作空间的左侧导航栏选择,进入“我的待办”页面,可查看任务名称为“人工审核是否进行WAF封堵”且“关联对象”是“Web登录爆破拦截”。
图3 Web登录爆破拦截剧本生成的通知
图4 Web登录爆破拦截剧本生成的人工待办
- 在“我的待办”页面,单击任务名称为“人工审核是否进行WAF封堵”且“关联对象”是“Web登录爆破拦截”的待办任务所在行操作列的“审批”,右侧弹出“剧本-节点审核”界面,选择“继续执行”。
- 审批完成后,安全云脑会自动将该IP加入到WAF阻断策略中并下发给WAF。在左侧导航栏选择,进入策略管理页面后选择“应急策略”页签,进入应急策略管理页面。
- 在应急策略策略管理页面,查看剧本生成的下发给WAF的策略。
图5 剧本自动生成WAF应急策略
父主题: 剧本说明
