文档首页/ 安全云脑 SecMaster/ 用户指南/ 剧本说明/ HSS高危告警拦截通知
更新时间:2026-03-05 GMT+08:00
查看PDF
分享

HSS高危告警拦截通知

剧本说明

“HSS高危告警拦截通知”剧本已关联“HSS高危告警拦截通知”流程。“HSS高危告警拦截通知”实现针对等级为“高危”“致命”的主机告警,若告警中的源IP未加入虚拟私有云 VPC安全组,该剧本生效后安全云脑自动生成拦截通知和拦截待办,待办人工审核通过后,安全云脑会将该IP加入到VPC策略进行阻断,同时将该IP加入到VPC安全组。

剧本触发条件:

  • 条件1:告警等级为“高危”“致命”
  • 条件2:告警来源是主机。

该剧本需用户手动启用。

前提条件

  • 已购买安全云脑专业版且在有效使用期内。
  • “主机安全告警”日志已接入安全云脑,且已打开“自动转告警”按钮。日志接入安全云脑请参见接入日志数据
  • 用户已步骤一:创建并订阅主题,方可接收到安全云脑的通知。
  • 安全云脑已获得“SMN FullAccess”权限,即拥有消息通知服务的所有权限。
    表1 权限说明

    权限

    权限描述

    授权主体

    权限用途

    SMN FullAccess

    拥有消息通知服务的所有权限

    SecMaster_Agency

    用于通知类剧本的执行

    可参考以下步骤查看安全云脑是否已获得“SMN FullAccess”权限。若未授权,请参考服务委托授权进行授权。

    1. 使用管理员账号登录安全云脑 SecMaster控制台
    2. 在页面左上角单击,选择管理与监管 > 统一身份认证服务,进入统一身份认证服务管理控制台。
    3. 在左侧导航栏选择“委托”,在委托界面,单击委托名称“SecMaster_Agency”,然后选择“授权记录”页面,可查看所有授权主体为SecMaster_Agency的授权记录。
    图1 查看委托授权记录

步骤一:创建并订阅主题

“资产防护状态统计通知”需要使用消息通知服务(Simple Message Notification,SMN)来创建安全云脑通知主题,并完成订阅即可接收到通知。
  1. 登录安全云脑 SecMaster控制台
  2. 在页面左上角单击,选择管理与监管 > 消息通知服务,进入消息通知服务管理页面。
  3. 创建主题。
    1. 在左侧导航栏,选择主题管理 > 主题,进入主题管理页面后,单击右上角“创建主题”
      图2 创建主题
    2. 在弹出的创建主题页面中,配置主题信息后,单击“确定”
      • 主题名称:设置为“SecMaster-Notification”
      • 显示名:建议设置为“安全云脑通知主题”
      • 其他参数保持缺省值即可。

      “主题名称”必须配置为“SecMaster-Notification”,否则会导致剧本执行不生效。

  4. 添加订阅。
    1. 在主题页面中,单击“SecMaster-Notification”主题所在行“操作”列的“添加订阅”
    2. 在弹出的添加订阅页面中,配置订阅信息后,单击“确定”
      • 协议:自定义选择通知方式,此处以选择“邮件”为例示例说明。
      • 订阅终端:输入订阅终端邮箱地址,如username@example.com
  5. 确认订阅。

    添加订阅后,会在4中设置的邮箱地址中收到系统自动发送的确认订阅的邮件通知,单击邮件正文的“订阅确认”链接,会弹出订阅成功页面。

步骤二:启用剧本

默认“HSS高危告警拦截通知”剧本的初始版本(V1)也已激活,只需要启用剧本即可
  1. 登录安全云脑 SecMaster控制台
  2. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
    图3 进入目标工作空间管理页面
  3. 在左侧导航栏选择安全编排 > 剧本编排,默认进入剧本管理页面。
    图4 进入剧本管理页面
  4. 剧本管理页面中,搜索“HSS高危告警拦截通知”剧本并单击“HSS高危告警拦截通知”剧本所在行的“操作”列的“启用”
  5. 在弹出的启用确认框中,选择初始剧本版本v1后,单击“确认”“HSS高危告警拦截通知”剧本的“剧本状态”变为“已启用”表示启用剧本成功。

实现效果

“HSS高危告警拦截通知”实现针对等级为“高危”“致命”的主机告警,若告警中的源IP未加入虚拟私有云 VPC安全组,该剧本生效后安全云脑自动生成拦截通知和拦截待办,待办人工审核通过后,安全云脑会将该IP加入到VPC策略进行阻断,同时将该IP加入到VPC安全组。

  1. 当存在等级为“高危”“致命”的主机告警时,且告警中的源IP未加入虚拟私有云 VPC安全组,该剧本会自动生成拦截待办。在安全云脑工作空间的左侧导航栏选择态势感知 > 任务中心,进入“我的待办”页面,可查看任务名称为“人工审核是否进行安全组封堵”“关联对象”“HSS高危告警拦截通知”
    图5 HSS高危告警拦截通知剧本生成的人工待办

  1. “我的待办”页面,单击任务名称为“人工审核是否进行安全组封堵”“关联对象”“HSS高危告警拦截通知”的待办任务所在行操作列的“审批”,右侧弹出“剧本-节点审核”界面,选择“继续执行”
  2. 审批完成后,安全云脑会自动将该IP加入到VPC阻断策略中并下发给VPC。在左侧导航栏选择风险预防 > 策略管理,进入策略管理页面后选择“应急策略”页签,进入应急策略管理页面。

  3. 在应急策略管理页面,查看剧本生成的下发给VPC的策略。
    图6 剧本自动生成VPC应急策略

  1. VPC阻断成功后,安全云脑会发送通知给用户。
    图7 HSS高危告警拦截VPC阻断成功邮件通知

父主题: 剧本说明

相关文档