当面临大量安全告警时,手动响应效率低下且易因延迟处理而扩大风险敞口。自动响应规则通过预定义的自动化工作流解决此问题。当特定告警或事件被触发时,系统自动执行封禁IP、隔离文件等响应动作,从而提升响应效率,缩短威胁处置时间(MTTR),使安全运营人员能专注于高级威胁分析。
工作原理
自动响应功能的核心是“匹配条件、执行动作”的逻辑。当系统接收到新的告警或事件时,会按以下流程处理:
数据输入:云安全中心接收并分析来自各类云产品(如WAF、AEGIS等)的安全告警,并根据关联性将告警聚合成安全事件。
规则匹配:响应引擎根据设定的触发方式和过滤条件,逐一匹配已启用的规则。
动作执行:一旦匹配成功,系统将根据规则中定义的顺序和规则静默策略,执行一个或多个响应动作,例如运行剧本、修改事件状态等。
结果记录:所有自动化动作的执行结果都会被记录在处置中心,方便审计和追溯。
核心概念
实体 (Entity):响应动作的操作对象,是告警或事件中提取出的关键信息,如IP地址、文件MD5、进程名等。
剧本 (Playbook):一套预设的、自动化的操作流程。自动响应规则通过运行剧本,来完成对实体的复杂处置操作。
自动响应规则类型:
预定义:系统提供了一些内置的响应策略,可直接启用,在详情页查看相关配置信息,不可编辑和删除。
自定义:响应编排提供灵活的响应规则配置,可根据自身业务需求定制响应规则。
配置自动响应规则
新增自动响应规则后,威胁分析与响应会根据您设定的规则策略匹配新增的安全事件,匹配成功后,威胁分析与响应会执行预设的规则动作,帮助您更快地响应和缓解安全威胁。
访问云安全中心控制台-威胁分析与响应-响应编排,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
在自动响应规则页签,单击新增规则。
说明也可选择已有的预定义或自定义规则,单击操作列的复制来快速创建。
配置基础信息
规则名称:为规则设置一个清晰、易于理解的名称。推荐采用
场景_对象_动作的格式,例如挖矿程序_进程_自动结束。触发方式:根据触发条件,选择合适的方式。
触发方式
触发时机
动作限制
告警触发
单条告警产生时立即触发。
仅支持运行剧本和告警加白。
事件发生
多条告警被聚合成一个安全事件时首次触发。
支持所有事件级动作和剧本运行。
事件更新
已存在的事件关联上新的告警(“发生时间”被更新)时触发。
支持所有事件级动作和剧本运行。
配置触发及执行规则
过滤条件
设置触发规则的具体字段值,选择不同执行方式时,需要配置的特征字段不同。可在配置区域,单击添加条件或添加组,添加多个条件以及条件组。
条件逻辑:
组内:单个条件组可配置多个条件,关系可设为“AND”或“OR”。
组间:可配置多个条件组,组与组之间同样以“AND”或“OR”关联。
关系示例:
假设分3组,关系为“
group1ANDgroup2ORgroup3”。group1组内关系为AND,group2组内关系为OR,group3组内关系为AND。
参数说明:
特征字段:根据触发方式不同,支持选择的特征字段不同,请以控制台为准。
条件字段:支持设置的条件如下所示。
条件
说明
=
等于。
<>
不等于。
contains
字符串包含。
not contains
字符串不包含。
in
在条件值中。多个条件值用逗号分隔,如condi1,condi2。
not in
不在条件值中。多个条件值用逗号分隔,如condi1,condi2。
is null
是空字符串。""、null、NULL都认为是空字符串。
is not null
不是空字符串。
regexp
匹配正则表达式。
not regexp
不匹配正则表达式。
not in ip dataset
不在IP数据集中。
说明数据集需要在”中配置后才可以选择。
in ip dataset
在IP数据集中。
not in dataset
不在数据集中。
in dataset
在数据集中。
规则动作
当安全告警或事件命中自动响应规则时,系统将针对指定的处置实体,按顺序执行所有已配置的规则动作。在规则动作区域,单击新增,可设置添加多条规则动作。
重要如果添加了多条规则动作,当命中规则策略后,威胁分析与响应会根据设置的,依次执行所有规则动作。
动作限制
执行方式为告警触发时,仅支持设置为运行剧本、告警加白;
执行方式为事件触发/事件更新时,支持设置为运行剧本、修改事件状态和修改威胁等级、使用系统推荐内置剧本、修改责任人、新增事件标签、删除事件标签。
动作详解
运行剧本:命中规则策略时,自动执行选中的剧本流程。
剧本兼容性:
支持选择预定义剧本和已发布的自定义剧本。
仅当剧本的“开始”节点配置了特定的输出参数类型时,该剧本才能被自动响应规则关联。支持的实体类型包括:IP实体、文件实体、进程实体、容器实体、域名实体、主机实体、安全告警。
剧本参数:
参数名称
参数说明
实体(如恶意IP、恶意进程等)
默认为系统自动获取,不可修改。威胁分析与响应会根据告警或事件传入的日志信息,自动拉取需要处理的实体信息。
目标账号
执行剧本操作的云账号,支持以下两种账号类型:
系统自动获取:通过实体对象的信息,进行回填,实体对象中包含属性说明,用于接入当前CTDR的阿里云账号。
自定义:当前阿里云UID(主账号),多账号安全管理纳管的成员账号。
动作实效
IP剧本执行动作的有效时长。
若剧本为封禁IP操作,动作实效设置为7天,则表示IP被封禁7天,到期自动解封。
若剧本为IP加白,动作实效设置为7天,则表示IP加白7天,超过7天自动释放。
若剧本为观察模式处理IP,动作实效设置为7天,则表示对IP进行监控并告警7天,超过7天解除监控。
告警加白:
若为CWPP告警则告警状态自动更新为“自动加白”,若为CTDR告警则是否加白字段更新为是,且不再进行告警通知。
符合该白名单规则的告警不再关联至事件。
使用系统推荐内置剧本:系统会根据告警和实体信息,推荐对应的预定义剧本。
说明可在预定义剧本页签查看所有的内置剧本。比如WAF告警里抽出来的IP实体,会推荐WAF封禁IP的剧本。
修改事件状态:命中规则策略时,自动调整事件的状态。
修改威胁等级:命中规则策略时,自动调整事件的威胁等级。
修改责任人:为产生的事件自动分配责任人,确保安全事件得到及时响应。
说明可在事件详情页响应活动页签下的活动日志下查到自动指派责任人记录。
新增事件标签/删除事件标签:自动为事件添加或移除指定标签,便于事件的分类、筛选和管理。
规则执行频率及顺序
规则静默:同一实体运行相同剧本,1分钟窗口最多执行一次。
顺序:当命中多条规则策略后,系统将根据设置的顺序,依次执行所有规则动作。
规则创建后默认是未启用状态,可在规则列表页,单击启用状态列表的
图标,开启自动响应规则。
查看处理记录
启用自动响应规则后,当有事件或告警命中规则策略时,系统将自动执行规则动作进行处理。可通过如下途径查看处理记录。
处置中心:可在查看处理详情。
剧本详情:若是运行剧本进行处理,会生成一条运行记录,可在剧本详情页查看历史执行记录。
剧本执行记录:可在的剧本执行记录页签查看所有的剧本执行情况。
应用于生产环境
测试与验证:为避免误操作,在生产环境中使用高危动作(如封禁IP、删除文件)前,需验证规则的触发逻辑。
避免规则冲突:规划规则的执行顺序,避免多条规则对同一事件产生冲突操作。例如,一条规则将事件等级提升为“高危”,而另一条规则将其降为“低危”。系统将按顺序依次执行,后执行的动作会覆盖前一个动作的结果。
性能考虑:在过滤条件中,谨慎使用复杂的正则表达式(
regexp),低效的表达式可能影响规则匹配性能。
常见问题
创建的规则为什么没有被触发?
请按以下步骤排查:
规则状态:检查规则是否已在列表页启用。
过滤条件:检查过滤条件是否过于严苛,可尝试放宽条件或使用无害动作(如添加标签)进行测试。
字段匹配:确认告警或事件中的实际字段值与过滤条件中设置的值完全匹配,注意空格、大小写等细节。
规则静默:检查是否因触发了规则静默机制,导致短时间内重复的动作被抑制。
剧本执行失败了,如何排查?
查看执行记录:前往处置中心或相应剧本的历史执行记录页面,查看失败任务的详细日志和错误信息。
查看账号权限:检查剧本中指定的目标账号(或其RAM角色)是否拥有执行相关操作(如创建VPC安全组规则、隔离文件等)的足够权限。
查看参数配置:确认触发规则的实体信息是否完整,能否作为有效的参数传递给剧本。