内置剧本
安全防线
| 剧本名 | 描述 | 数据类 |
---|
主机安全 | 主机告警状态同步 | 自动同步主机告警状态 | Alert |
高危漏洞自动通知 | 对威胁等级为High的漏洞进行邮件或者短信通知 | Vulnerability |
攻击链路分析告警通知 | 针对攻击链路进行分析,如果主机产生告警,就会查看关联主机所属的网站,如果有对应网站信息且有告警,就进行告警通知 | Alert |
应用安全 | WAF攻击自动化安全封堵 | 将告警里的源IP研判后封堵在WAF中 | Alert |
其他/通用 | 高危告警自动通知 | 对威胁级别为High或者Fatal的告警进行邮件或者短信通知 | Alert |
告警指标提取 | 将告警中IP信息抽取,通过情报系统进行验证,若为恶意IP,可以将IP信息设置成指标,并与源告警相互关联 | Alert |
重复告警自动关闭 | 将近7日内第二次及第二次以上出现的告警状态置为关闭,并关联7日内同名告警 | Alert |
自动更新告警名称 | 根据客户需要,筛选关键字段信息,拼接告警名称 | Alert |
告警ip指标打标 | 告警添加告警关联攻击源IP及目标IP的标签信息 | Alert |
内置流程
安全防线
| 流程名称 | 描述 | 数据类 |
---|
主机安全 | 主机告警状态同步 | 自动同步主机告警状态 | Alert |
高危漏洞自动通知 | 对威胁等级为High的漏洞进行邮件或者短信通知 | Vulnerability |
漏洞处理 | 调用主机安全接口修复主机漏洞 | Vulnerability |
策略管理-安全组阻断 | 将目标IP添加到所有安全组中 | Policy |
策略管理-安全组取消阻断 | 将目标IP从所有安全组中取消 | Policy |
主机一键隔离 | 将目标主机进行全端口的隔离 | Alert |
主机一键解封 | 将目标主机从隔离安全组中移除 | Alert |
攻击链路分析告警通知 | 针对攻击链路分析,主机告警影响资产关联网站资产有对应攻击告警进行告警通知 | Alert |
应用安全 | WAF一键拦截 | 对目标IP封堵在该账号的WAF服务里的所有中策略 | Alert |
WAF一键解封 | 对目标IP从该账号的WAF服务里的目标策略组中解封 | Alert |
WAF攻击自动化安全封堵 | 将告警里的源IP研判后封堵在WAF中 | Alert |
策略管理-WAF阻断 | 将目标IP添加到WAF的黑名单中 | Policy |
策略管理-WAF取消阻断 | 将目标IP从WAF的黑名单中移除 | Policy |
网络安全 | CFW一键拦截 | 将目标IP添加到CFW的黑名单中 | Alert |
CFW一键解封 | 将目标IP从CFW的黑名单中移除 | Alert |
策略管理-CFW阻断 | 将目标IP添加到CFW的黑名单中 | Policy |
策略管理-CFW取消阻断 | 将目标IP从CFW的黑名单中移除 | Policy |
其他/通用 | 高危告警自动通知 | 对威胁级别为High或者Fatal的告警进行邮件或者短信通知 | Alert |
告警指标提取 | 将告警中ip信息抽取,进行微步外部验证,置成指标,并与源告警相互关联 | Alert |
重复告警自动关闭 | 7日内第二次及第二次以上出现的告警状态置为关闭,并关联7日内同名告警 | Alert |
自动更新告警名称 | 根据客户需要,筛选关键字段信息,拼接告警名称 | Alert |
告警打ip标签 | 告警添加告警关联攻击源IP及目标IP的标签信息 | Alert |
一键解封 | 根据不同的告警数据源产品选择执行不同的解封子流程 | Alert |
一键阻断 | 根据不同的告警数据源产品选择执行不同的阻断子流程 | Alert |
态势感知(专业版)报告通知 | 态势感知(专业版)日报按钮或定时发送订阅人员 | CommonContext |
内置资产连接
连接名称 |
插件 |
连接方式 |
CFW云服务认证凭据 |
HTTP |
云服务委托 |
CFW认证资产 |
CFW |
云服务委托 |
DBSS云服务认证凭据 |
DBSS |
云服务委托 |
ECS云服务认证凭据 |
ECS |
云服务委托 |
EIP云服务认证凭据 |
EIP |
云服务委托 |
EPS云服务认证凭据 |
HTTP |
用户名及密码 |
HSS云服务认证凭据 |
HSS |
云服务委托 |
IAM云服务认证凭据 |
IAM |
云服务委托 |
OBS云服务认证凭据 |
OBS |
AK&SK |
RDS云服务认证凭据 |
RDS |
云服务委托 |
SecMaster云服务认证凭据 |
HTTP |
云服务委托 |
SecMaster布局信息凭据 |
HTTP |
云服务委托 |
SMN云服务认证凭据 |
SMN |
云服务委托 |
VPC云服务认证 |
VPC |
云服务委托 |
WAF云服务认证凭据 |
HTTP |
云服务委托 |
WAF认证资产 |
WAF |
云服务委托 |
告警处理业务方法集 |
SecMasterBiz |
- |
微步认证凭据 |
ThreatBook |
其他 |
通用工具方法集 |
SecMasterUtilities |
- |
通知SMN处理人员凭证 |
HTTP |
云服务委托 |
通知SMN运营人员凭证 |
HTTP |
云服务委托 |