更新时间:2025-09-30 GMT+08:00
HSS高危告警拦截通知
剧本说明
“HSS高危告警拦截通知”剧本已关联“HSS高危告警拦截通知”流程。“HSS高危告警拦截通知”实现针对等级为“高危”或“致命”的主机告警,若告警中的源IP未加入虚拟私有云 VPC安全组,该剧本生效后安全云脑自动生成拦截通知和拦截待办,待办人工审核通过后,安全云脑会将该IP加入到VPC策略进行阻断,同时将该IP加入到VPC安全组。
剧本触发条件:
- 条件1:告警等级为“高危”或“致命”。
- 条件2:告警来源是主机。
该剧本需用户手动启用。
前提条件
- 已购买安全云脑专业版且在有效使用期内。
- “主机安全告警”日志已接入安全云脑,且已打开“自动转告警”按钮。日志接入安全云脑请参见接入日志数据。
启用剧本操作步骤
默认“HSS高危告警拦截通知”剧本的初始版本(V1)也已激活,只需要启用剧本即可。
- 登录安全云脑 SecMaster控制台。
- 在页面左上角单击
,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 - 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图1 进入目标工作空间管理页面
- 在左侧导航栏选择,默认进入剧本管理页面。
图2 进入剧本管理页面
- 在剧本管理页面中,搜索“HSS高危告警拦截通知”剧本并单击“HSS高危告警拦截通知”剧本所在行的“操作”列的“启用”。
- 在弹出的启用确认框中,选择初始剧本版本v1后,单击“确认”。“HSS高危告警拦截通知”剧本的“剧本状态”变为“已启用”表示启用剧本成功。
实现效果
“HSS高危告警拦截通知”实现针对等级为“高危”或“致命”的主机告警,若告警中的源IP未加入虚拟私有云 VPC安全组,该剧本生效后安全云脑自动生成拦截通知和拦截待办,待办人工审核通过后,安全云脑会将该IP加入到VPC策略进行阻断,同时将该IP加入到VPC安全组。
- 当存在等级为“高危”或“致命”的主机告警时,且告警中的源IP未加入虚拟私有云 VPC安全组,该剧本会自动生成拦截待办。在安全云脑工作空间的左侧导航栏选择,进入“我的待办”页面,可查看任务名称为“人工审核是否进行安全组封堵”且“关联对象”是“HSS高危告警拦截通知”。
图3 Web登录爆破拦截剧本生成的人工待办
- 在“我的待办”页面,单击任务名称为“人工审核是否进行安全组封堵”且“关联对象”是“HSS高危告警拦截通知”的待办任务所在行操作列的“审批”,右侧弹出“剧本-节点审核”界面,选择“继续执行”。
- 审批完成后,安全云脑会自动将该IP加入到VPC阻断策略中并下发给VPC。在左侧导航栏选择,进入策略管理页面后选择“应急策略”页签,进入应急策略管理页面。
- 在应急策略策略管理页面,查看剧本生成的下发给VPC的策略。
图4 剧本自动生成VPC应急策略
- VPC阻断成功后,安全云脑会发送通知给用户。
图5 HSS高危告警拦截VPC阻断成功邮件通知
父主题: 剧本说明
