高危告警WAF自动处置
剧本说明
安全云脑提供的“高危告警WAF自动处置”剧本,剧本已匹配“高危告警WAF自动处置”流程。该剧本会自动获取CloudTIC(华为云内置情报中心)中WAF的IP情报,针对“威胁度”为“黑”且“严重性”大于70的IP情报(判定为有风险的IP情报)执行如下操作:
- 动作1:在WAF自动封堵IP情报中的源IP。
- 动作2:判断安全云脑中是否存在该IP对应的情报指标,若不存在则剧本会自动新增1条IP情报指标,情报信息来源于CloudTIC(华为云内置情报中心)。
- 动作3:将触发“高危告警WAF自动处置”剧本生效的告警,自动关联IP情报指标,并将情报信息自动添加在告警评论中。
针对“威胁度”为“白”或“严重性”小于30的IP情报(判定为低风险的IP情报)执行如下操作:
- 动作1:自动关闭安全云脑侧触发了“高危告警WAF自动处置”剧本生效的WAF告警。
- 动作2:判断安全云脑中是否存在该IP对应的情报指标,若不存在则剧本会自动新增1条IP情报指标,情报信息来源于CloudTIC(华为云内置情报中心)。
- 动作3:将触发“高危告警WAF自动处置”剧本生效的告警,自动关联IP情报指标,并将情报信息自动添加在告警评论中。
剧本触发条件:
- 条件1:告警等级为“高危”或“致命”。
- 条件2:“告警名称”包含“【应用】”,表明该告警是由系统内置模型生成的WAF告警。
该剧本需用户手动启用。
前提条件
- 已在安全云脑工作空间中接入WAF攻击日志,详细操作请参见接入日志数据。
- 已购买安全云脑专业版且在有效使用期内。
- 已使用系统内置的模型模板“应用-WAF关键攻击告警”、“应用-疑似存在 F5 BIG-IP 命令执行漏洞”、“应用-存在Spring Actuator信息泄露”创建模型,并已启用模型。详细操作指导请参见使用系统内置模型模板创建告警模型。
使用系统内置模型模板创建告警模型
- 登录安全云脑 SecMaster控制台。
- 单击管理控制台左上角的
,选择区域和项目。 - 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图1 进入目标工作空间管理页面
- 在左侧导航栏选择,进入智能建模页面后,选择“模型模板”页签,进入模型模板页面。
图2 模型模板页面
- 在模型模板列表中,单击目标模型模板所在行“操作”列的“详情”,右侧弹出模板详情页面。此处以“应用-WAF关键攻击告警”模板为例。
- 在模型模板详情页面,单击右下角“创建模型”,进入“新建告警模型”页面。
- 在“新建告警模型”页面中,配置告警模型基础信息。当使用系统内置的模型模板创建模型时,参数取值建议保持默认值。
表1 告警模型基础配置 参数名称
参数说明
管道名称
即模型的数据来源的数据表名称。
当使用系统内置的模型模板创建模型时,建议保持默认值。
模型名称
自定义告警模型的名称。
当使用系统内置的模型模板创建模型时,建议保持默认值。
严重程度
设置该告警模型的严重程度。当使用系统内置的模型模板创建模型时,建议保持默认值。
- 致命:致命级别的告警表示系统已经受到严重的攻击,可能导致数据丢失、系统崩溃或者长时间的服务中断。例如,发现勒索加密行为或恶意程序感染。建议您立即处理,避免对系统造成更严重的损害。
- 高危:高危级别的告警表示系统可能正在受到攻击,但尚未造成严重的损害。例如,检测到未授权的登录尝试或执行了危险命令(如删除关键系统文件或修改系统设置的命令)。建议您及时调查并采取措施,以防止攻击蔓延。
- 中危:中危级别的告警表示系统存在潜在的安全威胁,但目前没有明显遭受攻击的迹象。例如,检测到文件或目录的异常修改,表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施,以确保系统的安全。
- 低危:低危级别的告警表示系统存在轻微的安全威胁,不会对系统的正常运行产生显著影响。例如,检测到一些端口扫描行为,这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理,不需要立即采取紧急措施。如果您的资产安全等级要求较高,可以关注该等级的安全告警。
- 提示:对应资源存在潜在的错误可能影响到业务。如果您对您的资产的安全等级要求较高,可以关注该等级的安全告警。
告警类型
选择该条告警模型触发后,提示的告警类型。
当使用系统内置的模型模板创建模型时,建议保持默认值。
模型类型
默认为规则模型。不支持编辑或修改。
使用查询规则和触发条件创建的威胁模型是规则模型。查询规则和触发条件参见设置模型逻辑。
描述
该告警模型的描述信息。
当使用系统内置的模型模板创建模型时,建议保持默认值。
启用状态
设置该告警模型的启用状态。此处设置的状态,可在整个告警模型设置成功后进行更改。
- “启用状态”按钮打开:表示启用该告警模型,当满足模型规则时可生成模型告警。
- “启用状态”按钮关闭:表示停用该告警模型。
- 单击页面右下角“下一步”,进入“设置模型逻辑”页面。
- 设置模型逻辑,参数说明如下表所示。当使用系统内置的模型模板创建模型时,参数取值建议保持默认值。
表2 设置模型逻辑 参数名称
参数说明
查询规则
设置告警的查询规则,设置完成后可以单击“运行”,查看当前运行结果。当使用系统内置的模型模板创建模型时,建议保持默认值。
查询分析语句由查询语句和分析语句构成,格式为查询语句|分析语句,查询分析语句语法详细内容请参见查询与分析语法概述。说明:如果筛留字段为text类型时,默认会使用MATCH_QUERY进行分词查询。
查询计划
设置告警查询计划。当使用系统内置的模型模板创建模型时,建议保持默认值。
告警扩充
当使用系统内置的模型模板创建模型时,建议保持默认值。
触发条件
设置告警触发条件。当使用系统内置的模型模板创建模型时,建议保持默认值。
可设置为:大于/等于/不等于/小于xx时,触发告警。
如有多条触发条件,可以单击“添加”按钮进行添加,最多可添加5个触发条件。
当设置了多个触发条件时,在日志数据扫描检测中,系统将按照从上到下的校验逻辑,如果有满足此处设置的触发条件被检测到时,系统都将展示不同类型的告警。
告警分组
配置将规则查询结果分组到告警的方式。当使用系统内置的模型模板创建模型时,建议保持默认值。
可选择以下方式:
- 将所有查询结果分组到一个告警中
- 将每条查询结果独立触发告警
调试模式
设置是否生成调试类告警。当使用系统内置的模型模板创建模型时,建议保持默认值。
若告警模型生成的告警仅仅用于模型调试,建议打开此按钮。
- “生成调试类告警”按钮打开:告警模型生成的告警中“simulation”字段值为“true”,表示该条告警是调试类告警。
- “生成调试类告警”按钮关闭:告警模型生成的告警中“simulation”字段值为“false”。
抑制
设置生产告警后是否停止运行查询。当使用系统内置的模型模板创建模型时,建议保持默认值。
- 如果设置为抑制,即生成告警后停止运行查询。
- 如果设置为不抑制,即生成告警后不停止运行查询。
- 设置完成后,单击页面右下角“下一步”,进入模型详情预览页面。
- 预览确认无误后,单击页面右下角“确定”。
- 配置完成后,返回页面,单击“可用模型”页签,查看新增的告警模型。若新增告警模型的“状态”为“启用”表示新增告警模型成功且已启用模型。
图3 查看“应用-WAF关键攻击告警”模型状态
启用“高危告警WAF自动处置”剧本
默认“高危告警WAF自动处置”剧本的初始版本(V1)也已激活,只需要启用剧本即可。
- 登录安全云脑 SecMaster控制台。
- 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图4 进入目标工作空间管理页面
- 在左侧导航栏选择,默认进入剧本管理页面。
图5 进入剧本管理页面
- 在剧本管理页面中,单击“高危告警WAF自动处置”剧本所在行的“操作”列的“启用”。
- 在弹出的确认框中,选择初始剧本版本v1后,单击“确定”。
- 启用完成后,在剧本管理页面查看剧本状态变为“已启用”表示操作执行成功。
实现效果
此处以“威胁度”为“黑”且“严重性”大于70的IP情报(判定为有风险的IP情报)场景为例说明剧本的实现效果查看方法:
- 动作1:在WAF自动封堵IP情报中的源IP。
- 在Web应用防火墙 WAF侧控制台的可查看,WAF侧自动新建的IP地址组。
图6 WAF侧查看新建的IP地址组
图7 WAF侧查看新建的IP地址组详情
- 动作2:判断安全云脑中是否存在该IP对应的情报指标,若不存在则剧本会自动新增1条IP情报指标,情报信息来源于CloudTIC(华为云平台侧情报中心)。
- 登录安全云脑 SecMaster控制台。
- 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图8 进入目标工作空间管理页面
- 在情报管理页面查看剧本自动新增IP情报。
图9 进入情报管理页面
- 动作3:将触发“高危告警WAF自动处置”剧本生效的告警,自动关联IP情报指标,并将情报信息自动添加在告警评论中。
- 登录安全云脑 SecMaster控制台。
- 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图10 进入目标工作空间管理页面
- 在告警管理页面单击告警名称进入告警详情页面,在告警的评论中可查看系统自动关联的情报指标信息。
图11 进入告警详情页面
