全部产品
Search

搜索本产品

    Security Center:Aturan respons otomatis

    文档中心

    Security Center:Aturan respons otomatis

    更新时间:Jan 21, 2026

    Merespons banyak peringatan keamanan secara manual bersifat lambat dan dapat meningkatkan risiko Anda. Aturan respons otomatis mengatasi masalah ini dengan menggunakan alur kerja yang telah ditentukan sebelumnya. Ketika peringatan atau event tertentu terjadi, sistem secara otomatis mengambil tindakan—seperti memblokir alamat IP atau mengarantina file—sehingga meningkatkan efisiensi respons, memperpendek mean time to respond (MTTR), serta memungkinkan tim keamanan Anda fokus pada analisis ancaman tingkat lanjut.

    Cara kerja

    Logika inti respons otomatis mengikuti pola "jika kondisi, maka aksi." Saat sistem menerima peringatan atau event baru, proses berikut dijalankan:

    1. Data entry: Security Center menerima dan menganalisis peringatan keamanan dari berbagai Produk cloud, seperti WAF dan AEGIS, lalu menggabungkan peringatan terkait menjadi event keamanan.

    2. Rule matching: Mesin respons mencocokkan aturan yang diaktifkan berdasarkan Trigger dan Filter Condition yang ditentukan.

    3. Action execution: Jika ditemukan kecocokan, sistem menjalankan satu atau beberapa aksi respons berdasarkan Order dan kebijakan Silence Rule yang telah ditetapkan. Aksi tersebut dapat mencakup menjalankan playbook atau mengubah status event.

    4. Result logging: Hasil semua aksi otomatis dicatat di Response Center untuk keperluan audit dan pelacakan.

    Konsep inti

    • Entity: Objek dari aksi respons. Entity merupakan informasi kunci yang diekstraksi dari peringatan atau event, seperti alamat IP, hash MD5 file, atau nama proses.

    • Playbook: Alur kerja otomatis yang telah ditentukan sebelumnya. Aturan respons otomatis menjalankan playbook untuk melakukan operasi respons kompleks terhadap suatu entity.

    • Jenis aturan respons otomatis:

      • Predefined: Sistem menyediakan kebijakan respons bawaan yang dapat Anda aktifkan langsung. Anda dapat melihat detail konfigurasinya di halaman produk, tetapi tidak dapat mengedit atau menghapusnya.

      • Custom: Orkestrasi respons menyediakan konfigurasi aturan yang fleksibel. Anda dapat membuat aturan respons kustom sesuai kebutuhan bisnis Anda.

    Konfigurasikan aturan respons otomatis

    Setelah Anda membuat aturan respons otomatis, Agentic SOC akan mencocokkannya dengan event keamanan baru. Jika suatu event cocok dengan aturan tersebut, Agentic SOC akan menjalankan aksi yang telah ditentukan, sehingga membantu Anda merespons dan mengurangi ancaman keamanan lebih cepat.

    1. Buka Security Center console - Agentic SOC - Response Orchestration. Di pojok kiri atas, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Pada tab Automatic Response Rule, klik Create Rule.

      Catatan

      Anda juga dapat memilih aturan predefined atau custom yang sudah ada, lalu klik Copy di kolom Actions untuk membuat aturan dengan cepat.

    3. Konfigurasikan Basic Information

      • Rule Name: Tetapkan nama aturan yang jelas dan mudah dipahami. Kami menyarankan format Scenario_Object_Action, misalnya MiningProgram_Process_AutoTerminate.

      • Trigger: Pilih metode pemicu berdasarkan kondisi pemicu.

        Trigger Method

        Trigger Time

        Action Restrictions

        Alert Trigger

        Dipicu segera saat satu peringatan dihasilkan.

        Hanya mendukung Run Playbook dan Add Alert to Whitelist.

        Event Occurrence

        Dipicu pertama kali ketika beberapa peringatan digabung menjadi satu event keamanan.

        Mendukung semua aksi tingkat event dan eksekusi playbook.

        Event Update

        Dipicu saat peringatan baru dikaitkan dengan event yang sudah ada, sehingga memperbarui waktu kejadian event tersebut.

        Mendukung semua aksi tingkat event dan eksekusi playbook.

    4. Konfigurasikan aturan pemicu dan eksekusi

      Filter Condition

      Tetapkan nilai bidang spesifik yang memicu aturan tersebut. Bidang fitur yang tersedia bervariasi tergantung pada metode eksekusi yang dipilih. Di area konfigurasi, klik Add Condition atau Add Group untuk menambahkan beberapa kondisi dan grup kondisi.

      • Logika kondisi:

        • Dalam satu grup: Satu grup kondisi dapat memiliki beberapa kondisi. Hubungan antar kondisi dapat diatur menjadi "AND" atau "OR".

        • Antar grup: Anda dapat mengonfigurasi beberapa grup kondisi. Hubungan antar grup juga dapat berupa "AND" atau "OR".

        • Contoh hubungan:

          • Asumsikan terdapat tiga grup dengan hubungan "group1 AND group2 OR group3".

          • Hubungan dalam group1 adalah AND. Hubungan dalam group2 adalah OR. Hubungan dalam group3 adalah AND.

          image

      • Deskripsi parameter:

        • Feature field: Bidang fitur yang tersedia bergantung pada Trigger. Untuk opsi spesifik, lihat konsol.

        • Condition field: Kondisi berikut didukung.

          Condition

          Description

          =

          Sama dengan.

          <>

          Tidak sama dengan.

          contains

          String mengandung.

          not contains

          String tidak mengandung.

          in

          Berada dalam daftar nilai kondisi. Pisahkan beberapa nilai dengan koma, misalnya condi1,condi2.

          not in

          Tidak berada dalam daftar nilai kondisi. Pisahkan beberapa nilai dengan koma, misalnya condi1,condi2.

          is null

          Merupakan string kosong. `""`, `null`, dan `NULL` semuanya dianggap sebagai string kosong.

          is not null

          Bukan string kosong.

          regexp

          Cocok dengan ekspresi reguler.

          not regexp

          Tidak cocok dengan ekspresi reguler.

          not in ip dataset

          Tidak berada dalam set data IP.

          Catatan

          Anda harus mengonfigurasi set data di Agentic SOC > Agentic SOC > Integration Center > Observation List sebelum dapat memilihnya.

          in ip dataset

          Berada dalam set data IP.

          not in dataset

          Tidak berada dalam set data.

          in dataset

          Berada dalam set data.

      Rule Action

      Ketika peringatan atau event keamanan memenuhi aturan respons otomatis, sistem menjalankan semua aksi aturan yang dikonfigurasi secara berurutan terhadap entity yang ditentukan. Di area Rule Action, klik Add untuk menyiapkan beberapa aksi aturan.

      Penting

      Jika Anda menambahkan beberapa aksi aturan, Agentic SOC akan menjalankan semuanya secara berurutan saat aturan tersebut dipicu.

      • Batasan aksi

        • Jika metode eksekusi adalah Alert Trigger, satu-satunya aksi yang didukung adalah Run Playbook dan Add Alert to Whitelist.

        • Jika metode eksekusi adalah Incident Trigger/Event Update, aksi yang didukung adalah Run Playbook, Change Incident Status, Change Risk Level, Use Recommend Playbook, Modify Owner, Add event tag, dan Delete event tag.

      • Detail aksi

        • Run Playbook: Saat aturan dipicu, playbook yang dipilih akan dieksekusi secara otomatis.

          • Kompatibilitas Playbook:

            • Anda dapat memilih Predefined Playbook dan Custom Playbook yang telah dipublikasikan.

            • Hanya playbook yang node 'Start'-nya dikonfigurasi dengan jenis parameter output tertentu yang dapat dikaitkan dengan aturan respons otomatis. Jenis entity yang didukung meliputi: IP entity, file entity, process entity, container entity, domain name entity, host entity, dan security alert.

          • Playbook Parameters:

            Parameter Name

            Parameter Description

            Entity (misalnya IP berbahaya atau proses berbahaya)

            Nilai default adalah Automatically Obtain, yang tidak dapat diubah. Agentic SOC secara otomatis mengambil informasi entity yang akan diproses dari log peringatan atau event yang masuk.

            Destination Account

            Akun Alibaba Cloud yang menjalankan playbook. Jenis akun berikut didukung:

            • System automatic acquisition: Akun diisi ulang menggunakan informasi dari objek entity. Objek entity berisi properti yang mengidentifikasi Akun Alibaba Cloud yang saat ini terhubung ke Agentic SOC.

            • Custom: UID Akun Alibaba Cloud saat ini (akun root) atau akun anggota yang dikelola oleh manajemen keamanan multi-akun.

            Effect

            Periode validitas aksi yang dijalankan oleh playbook IP.

            • Jika playbook memblokir alamat IP dan periode validitasnya 7 hari, IP tersebut diblokir selama 7 hari lalu secara otomatis dibuka blokirnya.

            • Jika playbook menambahkan alamat IP ke daftar putih dan periode validitasnya 7 hari, IP tersebut dimasukkan ke daftar putih selama 7 hari lalu secara otomatis dilepas.

            • Jika playbook memproses alamat IP dalam mode pemantauan dan periode validitasnya 7 hari, IP tersebut dipantau dan menghasilkan peringatan selama 7 hari. Setelah 7 hari, pemantauan dihentikan.

        • Add Alert to Whitelist:

          • Untuk peringatan Cloud Workload Protection Platform (CWPP), statusnya secara otomatis diperbarui menjadi Automatically Add to Whitelist. Untuk peringatan Agentic SOC, bidang Add to Whitelist diperbarui menjadi Yes. Tidak ada lagi pemberitahuan peringatan yang dikirim.

          • Peringatan yang sesuai dengan aturan daftar putih ini tidak lagi dikaitkan dengan event.

        • Use Recommend Playbook: Sistem merekomendasikan playbook predefined yang sesuai berdasarkan informasi peringatan dan entity.

          Catatan

          Anda dapat melihat semua playbook bawaan di tab Predefined Playbook. Misalnya, untuk entity IP yang diekstraksi dari peringatan WAF, sistem merekomendasikan playbook untuk memblokir alamat IP di WAF.

        • Change Incident Status: Saat aturan dipicu, status event secara otomatis disesuaikan.

        • Change Risk Level: Saat aturan dipicu, tingkat ancaman event secara otomatis disesuaikan.

        • Modify Owner: Secara otomatis menetapkan pemilik untuk event yang dihasilkan guna memastikan respons yang cepat.

          Catatan

          Anda dapat menemukan catatan penugasan pemilik otomatis di Activity Log pada tab Response Activity di halaman detail event.

        • Add event tag / Delete event tag: Secara otomatis menambahkan atau menghapus tag tertentu dari suatu event untuk memudahkan kategorisasi, penyaringan, dan manajemen.

      Frekuensi dan urutan eksekusi aturan

      • Silence Rule: Untuk entity yang sama, playbook yang sama dapat dieksekusi paling banyak sekali per menit.

      • Order: Saat beberapa aturan dipicu, sistem menjalankan semua aksi aturan secara berurutan berdasarkan Order yang dikonfigurasi.

    5. Aturan dinonaktifkan secara default setelah dibuat. Di halaman daftar aturan, klik ikon Switch icon di kolom Enabling Status untuk mengaktifkan aturan respons otomatis.

    Lihat catatan pemrosesan

    Setelah Anda mengaktifkan aturan respons otomatis, sistem secara otomatis menjalankan aksi aturan saat suatu event atau peringatan memenuhi aturan tersebut. Anda dapat melihat catatan pemrosesan dengan cara berikut.

    • Disposal Center: Anda dapat melihat detail pemrosesan di Agentic SOC > Disposal Center.

    • Playbook Details: Jika playbook dijalankan, catatan eksekusi akan dihasilkan. Anda dapat melihat catatan eksekusi historis di halaman detail playbook.

    • Playbook Execution Records: Anda dapat melihat semua eksekusi playbook di tab Playbook Execution Records di Agentic SOC > SOAR.

    Penggunaan di lingkungan produksi

    • Pengujian dan validasi: Untuk mencegah operasi salah, validasi logika pemicu aturan sebelum menggunakan aksi berisiko tinggi (seperti memblokir alamat IP atau menghapus file) di lingkungan produksi.

    • Hindari konflik aturan: Rencanakan order eksekusi aturan Anda untuk mencegah operasi yang saling bertentangan pada event yang sama. Misalnya, satu aturan mungkin menaikkan tingkat ancaman event menjadi "Important", sedangkan aturan lain menurunkannya menjadi "Low". Sistem menjalankan aksi secara berurutan, dan aksi terakhir akan menimpa hasil aksi sebelumnya.

    • Pertimbangan performa: Di Filter Condition, gunakan ekspresi reguler (regexp) yang kompleks dengan hati-hati. Ekspresi yang tidak efisien dapat memengaruhi performa pencocokan aturan.

    FAQ

    • Mengapa aturan saya tidak dipicu?

      Periksa hal-hal berikut:

      1. Status aturan: Periksa apakah aturan tersebut diaktifkan di halaman daftar aturan.

      2. Kondisi filter: Periksa apakah kondisi filter terlalu ketat. Coba longgarkan kondisinya atau gunakan aksi yang tidak berbahaya (seperti menambahkan tag) untuk pengujian.

      3. Pencocokan bidang: Pastikan nilai bidang aktual dalam peringatan atau event benar-benar sesuai dengan nilai yang ditetapkan dalam kondisi filter. Perhatikan detail seperti spasi dan sensitivitas huruf besar/kecil.

      4. Penekanan aturan: Periksa apakah mekanisme rule suppression dipicu, yang akan menekan aksi berulang dalam periode singkat.

    • Eksekusi playbook saya gagal. Bagaimana cara memecahkan masalahnya?

      1. Lihat catatan eksekusi: Buka Response Center atau halaman Historical Execution Records untuk playbook terkait guna melihat log detail dan pesan error untuk tugas yang gagal.

      2. Periksa izin akun: Periksa apakah destination account (atau peran RAM-nya) yang ditentukan dalam playbook memiliki izin yang cukup untuk melakukan operasi terkait, seperti membuat aturan security group VPC atau mengkarantina file.

      3. Periksa pengaturan parameter: Pastikan informasi entity yang memicu aturan tersebut lengkap dan dapat diteruskan sebagai parameter yang valid ke playbook.