响应中心

最近更新时间:2020-03-06 12:50:28

响应中心为您提供云原生的安全编排与自动化响应处置功能,可针对云上安全事件为您提供安全编排剧本,实现高效的自动化响应处置。

前提条件

响应中心功能目前正在试用中,已 开通安全运营中心高级版 的用户可获得免费试用资格。

操作步骤

查看响应策略及事件列表

  1. 登录 安全运营中心控制台,在左侧导航栏,单击【响应中心】,进入响应中心页面。
  2. 在响应中心页面,您可以查看 SSH 口令爆破类事件、RDP 口令爆破类事件、Linux 主机挖矿木马类事件、Windows 主机挖矿木马类事件的响应进度、选择需要查看的安全事件,单击【立即响应】,打开该类安全事件详情。
  3. 在安全事件详情中,可以查看该安全事件的响应策略。
    • SSH 及 RDP 口令爆破类事件
      • 排查攻击源:包括封禁外网攻击 IP、隔离内网攻击 IP 网络、检查攻击主机是否安装主机安全专业版。
      • 排查被攻击资产:包括修改账户的密码、隔离被攻击 CVM 网络、检查是否安装主机安全专业版。
      • 基线检测:包括攻击机器弱密码检测、被攻击机器弱密码检测。
      • 木马检测:包括对攻击机器进行木马扫描、对被攻击机器进行木马扫描、隔离攻击机器木马、隔离被攻击机器木马。
    • Linux 及 Windows 主机挖矿木马类事件
      • 阻断矿池连接:阻断挖矿连接。
      • 木马检测:包括对失陷机器进行木马扫描、对失陷机器进行木马隔离、检查是否安装主机安全专业版。
      • 排查失陷主机:包括查看 CPU 使用率、定位恶意文件、查看可疑通信、清除可疑启动项。
      • 基线检测:包括进行弱密码检测、进行漏洞检测。
  4. 在响应事件下方,可查看对应响应列表。在响应列表中可查看事件名称、事件等级、事件子类等信息,同时可进行相应操作。
    • 事件等级
      事件等级分为4类,分别是严重、高危、中危及低危。
    • 状态
      响应状态分为4类,分别是未响应、响应中、已响应及存在风险。
    • 搜索
      在安全事件列表右上角单击搜索框,选择“资源属性”(即过滤标签),可选择多个“资源属性”(即过滤标签)用回车键分隔,然后输入关键字,多个关键字用竖线“|”分隔,输入完成后,单击【回车】或搜索图标即可。
    • 筛选
      在安全事件列表中,单击事件等级、事件子类或状态,进行安全事件筛选。
    • 排序
      在安全事件列表中, 单击源 IP、目的 IP、未处理事件数、最近发生时间或最近响应时间,进行倒序或正序排列。
    • 响应
      • 方式1:在安全事件列表中,选择需要检查的安全事件,单击目标安全事件前方的复选框,选择完成后,单击【响应】,即可对响应事件批量检查。
      • 方式2:在安全事件列表中,选择存在风险的安全事件,在右侧操作栏,单击【再次响应】,可以对存在风险的安全事件,进行再次验证。
    • 查看并标记安全事件
      若响应事件存在风险,可在目标安全事件状态栏,单击存在风险数,查看响应详情。

      若已处理完该风险, 可在响应详情中,单击【标记为处理】,则默认该风险已处理完成。

忽略规则管理

忽略规则管理是对响应中心不再响应的源 IP 及目的 IP进行管理。

  1. 登录 安全运营中心控制台,在左侧导航栏,单击【响应中心】,进入响应中心页面。
  2. 在响应事件详情页面右上角,单击【忽略规则管理】,进入忽略规则管理页面。
  3. 在忽略规则页面,您可新建、编辑或删除规则。
    • 新建
      在忽略规则页面左上角,单击【新建】,在新建忽略规则弹窗中,填写忽略规则的名称、备注、源 IP 及目的 IP,可以填写多个源 IP 及目的 IP,填写完成后,单击【保存】即可.
      注意:

      忽略规则新建完成后,将不再对忽略规则中的源 IP 和目的 IP 对应的安全事件进行响应。

    • 编辑
      在忽略规则页面,找到需要修改或编辑的规则,在目标规则右侧的操作栏,单击【编辑】,在编辑忽略规则弹窗中,进行相应修改即可。
    • 删除
      删除忽略规则后,将恢复源 IP 和目的 IP 对应安全事件的响应。
      • 方式1: 在忽略规则页面,选择需要删除的规则,单击目标规则前方的复选框,选择完成后,在忽略规则页面左上角,单击【删除】,即可批量删除忽略规则。
      • 方式2:在忽略规则页面,找到需要删除的规则,在右侧操作栏中,单击【删除】,即可删除所选忽略规则。
目录