當面臨大量安全警示時,手動響應效率低下且易因延遲處理而擴大風險敞口。自動響應規則通過預定義的自動化工作流程解決此問題。當特定警示或事件被觸發時,系統自動執行封鎖IP、隔離檔案等響應動作,從而提升響應效率,縮短威脅處置時間(MTTR),使安全營運人員能專註於進階威脅分析。
工作原理
自動響應功能的核心是“匹配條件、執行動作”的邏輯。當系統接收到新的警示或事件時,會按以下流程處理:
資料輸入:Security Center接收並分析來自各類雲產品(如WAF、AEGIS等)的安全警示,並根據關聯性將警示彙總成安全事件。
規則匹配:響應引擎根據設定的觸發方式和過濾條件,逐一匹配已啟用的規則。
動作執行:一旦匹配成功,系統將根據規則中定義的順序和規則靜默策略,執行一個或多個響應動作,例如運行劇本、修改事件狀態等。
結果記錄:所有自動化動作的執行結果都會被記錄在處置中心,方便審計和追溯。
核心概念
實體 (Entity):響應動作的操作對象,是警示或事件中提取出的關鍵資訊,如IP地址、檔案MD5、進程名等。
劇本 (Playbook):一套預設的、自動化的操作流程。自動響應規則通過運行劇本,來完成對實體的複雜處置操作。
自動響應規則類型:
預定義:系統提供了一些內建的響應策略,可直接啟用,在詳情頁查看相關配置資訊,不可編輯和刪除。
自訂:響應編排提供靈活的響應規則配置,可根據自身業務需求定製響應規則。
配置自動響應規則
新增自動響應規則後,威脅分析與響應會根據您設定的規則策略匹配新增的安全事件,匹配成功後,威脅分析與響應會執行預設的規則動作,協助您更快地響應和緩解安全威脅。
訪問Security Center控制台-威脅分析與響應-響應編排,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在自動響應規則頁簽,單擊新增規則。
說明也可選擇已有的預定義或自訂規則,單擊操作列的複製來快速建立。
配置基礎資訊
规则名称:為規則設定一個清晰、易於理解的名稱。推薦採用
情境_對象_動作的格式,例如挖礦程式_進程_自動結束。觸發方式:根據觸發條件,選擇合適的方式。
觸發方式
觸發時機
動作限制
警示觸發
單條警示產生時立即觸發。
僅支援運行劇本和警示加白。
事件發生
多條警示被彙總成一個安全事件時首次觸發。
支援所有事件級動作和劇本運行。
事件更新
已存在的事件關聯上新的警示(“發生時間”被更新)時觸發。
支援所有事件級動作和劇本運行。
配置觸發及執行規則
過濾條件
設定觸發規則的具體欄位值,選擇不同執行方式時,需要配置的特徵欄位不同。可在配置地區,單擊添加條件或添加組,添加多個條件以及條件組。
條件邏輯:
組內:單個條件組可配置多個條件,關係可設為“AND”或“OR”。
組間:可配置多個條件組,組與組之間同樣以“AND”或“OR”關聯。
關係樣本:
假設分3組,關係為“
group1ANDgroup2ORgroup3”。group1組內關係為AND,group2組內關係為OR,group3組內關係為AND。
參數說明:
特徵欄位:根據觸發方式不同,支援選擇的特徵欄位不同,請以控制台為準。
條件欄位:支援設定的條件如下所示。
條件
說明
=
等於。
<>
不等於。
contains
字串包含。
not contains
字串不包含。
in
在條件值中。多個條件值用逗號分隔,如condi1,condi2。
not in
不在條件值中。多個條件值用逗號分隔,如condi1,condi2。
is null
是Null 字元串。""、null、NULL都認為是Null 字元串。
is not null
不是Null 字元串。
regexp
匹配Regex。
not regexp
不匹配Regex。
not in ip dataset
不在IP資料集中。
說明資料集需要在”中配置後才可以選擇。
in ip dataset
在IP資料集中。
not in dataset
不在資料集中。
in dataset
在資料集中。
規則動作
當安全警示或事件命中自動響應規則時,系統將針對指定的處置實體,按順序執行所有已配置的規則動作。在規則動作地區,單擊新增,可設定添加多條規則動作。
重要如果添加了多條規則動作,當命中規則策略後,威脅分析與響應會根據設定的,依次執行所有規則動作。
動作限制
執行方式為警示觸發時,僅支援設定為運行劇本、警示加白;
執行方式為事件觸發/事件更新時,支援設定為運行劇本、修改事件狀態和修改威脅等級、使用系統推薦內建劇本、修改責任人、新增事件標籤、刪除事件標籤。
動作詳解
運行劇本:命中規則策略時,自動執行選中的劇本流程。
劇本相容性:
支援選擇預定義劇本和發行的自訂劇本。
僅當劇本的“開始”節點配置了特定的輸出參數類型時,該劇本才能被自動響應規則關聯。支援的實體類型包括:IP實體、檔案實體、進程實體、容器實體、網域名稱實體、主機實體、安全警示。
劇本參數:
參數名稱
參數說明
實體(如惡意IP、惡意進程等)
預設為系統自動擷取,不可修改。威脅分析與響應會根據警示或事件傳入的日誌資訊,自動拉取需要處理的實體資訊。
目標帳號
執行劇本操作的雲帳號,支援以下兩種帳號類型:
系統自動擷取:通過實體物件的資訊,進行回填,實體物件中包含屬性說明,用於接入當前CTDR的阿里雲帳號。
自訂:當前阿里雲UID(主帳號),多帳號安全管理納管的成員帳號。
動作實效
IP劇本執行動作的有效時間長度。
若劇本為封鎖IP操作,動作實效設定為7天,則表示IP被封鎖7天,到期自動解鎖。
若劇本為IP加白,動作實效設定為7天,則表示IP加白7天,超過7天自動釋放。
若劇本為觀察模式處理IP,動作實效設定為7天,則表示對IP進行監控並警示7天,超過7天解除監控。
警示加白:
若為CWPP警示則警示狀態自動更新為“自動加白”,若為CTDR警示則是否加白欄位更新為是,且不再進行警示通知。
符合該白名單規則的警示不再關聯至事件。
使用系統推薦內建劇本:系統會根據警示和實體資訊,推薦對應的預定義劇本。
說明可在預定義劇本頁簽查看所有的內建劇本。比如WAF警示裡抽出來的IP實體,會推薦WAF封鎖IP的劇本。
修改事件狀態:命中規則策略時,自動調整事件的狀態。
修改威脅等級:命中規則策略時,自動調整事件的威脅等級。
修改責任人:為產生的事件自動分配責任人,確保安全事件得到及時響應。
說明可在事件詳情頁響應活動頁簽下的活動紀錄下查到自動指派責任人記錄。
新增事件標籤/刪除事件標籤:自動為事件添加或移除指定標籤,便於事件的分類、篩選和管理。
規則執行頻率及順序
規則靜默:同一實體運行相同劇本,1分鐘視窗最多執行一次。
順序:當命中多條規則策略後,系統將根據設定的順序,依次執行所有規則動作。
規則建立後預設是未啟用狀態,可在規則列表頁,單擊啟用狀態列表的
表徵圖,開啟自動響應規則。
查看處理記錄
啟用自動響應規則後,當有事件或警示命中規則策略時,系統將自動執行規則動作進行處理。可通過如下途徑查看處理記錄。
處置中心:可在查看處理詳情。
劇本詳情:若是運行劇本進行處理,會產生一條運行記錄,可在劇本詳情頁查看歷史執行記錄。
劇本執行記錄:可在的劇本執行記錄頁簽查看所有的劇本執行情況。
應用於生產環境
測試與驗證:為避免誤操作,在生產環境中使用高危動作(如封鎖IP、刪除檔案)前,需驗證規則的觸發邏輯。
避免規則衝突:規劃規則的執行順序,避免多條規則對同一事件產生衝突操作。例如,一條規則將事件等級提升為“高危”,而另一條規則將其降為“低危”。系統將按順序依次執行,後執行的動作會覆蓋前一個動作的結果。
效能考慮:在過濾條件中,謹慎使用複雜的Regex(
regexp),低效的運算式可能影響規則匹配效能。
常見問題
建立的規則為什麼沒有被觸發?
請按以下步驟排查:
規則狀態:檢查規則是否已在列表頁啟用。
過濾條件:檢查過濾條件是否過於嚴苛,可嘗試放寬條件或使用無害動作(如添加標籤)進行測試。
欄位匹配:確認警示或事件中的實際欄位值與過濾條件中設定的值完全符合,注意空格、大小寫等細節。
規則靜默:檢查是否因觸發了規則靜默機制,導致短時間內重複的動作被抑制。
劇本執行失敗了,如何排查?
查看執行記錄:前往處置中心或相應劇本的歷史執行記錄頁面,查看失敗任務的詳細日誌和錯誤資訊。
查看帳號許可權:檢查劇本中指定的目標帳號(或其RAM角色)是否擁有執行相關操作(如建立VPC安全性群組規則、隔離檔案等)的足夠許可權。
查看參數配置:確認觸發規則的實體資訊是否完整,能否作為有效參數傳遞給劇本。