- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-处置中心
本章节下载: 05-处置中心 (1.33 MB)
处置中心用于提供对安全告警、安全事件和脆弱性风险进行处置以及查看内置案例库和处置建议库等功能。
本章包含如下内容:
· 处置工单
· 响应编排
该功能用于管理处置工单。针对网络中发生的安全告警、安全事件或存在的脆弱性风险,管理员可以通过创建处置工单来通知相关责任人进行处置并反馈处置结果。从而实现对网络风险进行闭环管理。
1. 选择“处置中心 > 处置工单”,进入处置工单页面。
2. 单击<新增>按钮,新增处置工单。
3. 根据实际情况选择“安全告警”、“脆弱性风险”或“安全事件”页签,并在相应的页签下,单击<添加>按钮,进入添加安全告警、安全事件或脆弱性风险页面。
4. 根据实际情况配置查询条件后,单击<查询>按钮,在查询结果中选择所需的安全告警、安全事件或脆弱性风险。
5. 单击<选择>按钮,返回新增处置工单窗口。单击<下一步>按钮,进入工单基本信息配置页面。
6. 输入工单名称、整改期限及工单优先级。
7. 在工单责任人下拉列表中选择处置责任人,并勾选通知方式。
8. 输入处置建议。
9. 在通知附件配置项后,单击<文件上传>按钮,将通知文件附件上传至系统中。
10. 单击<下发>按钮,下发工单。
11. 处置责任人收到处置工单后,单击
按钮签收任务工单,并在解决工单中的风险事件后,单击按钮上报处置结论及处置报告。
12. 对于超过整改期限的工单,管理员可以单击
按钮催单,系统将会以短信或者邮件的方式知会责任人。
13. 收到处置结论及处置报告后,管理员可以对其进行审核。审核通过则关闭工单,审核不通过可退回责任人重新处置。
· 选择邮件或短信方式通知责任人时,必须先在“系统设置 > 全局配置”页面完成邮件服务器和短信业务中心的相关配置,并且已正确配置指定责任人的邮箱或联系电话,否则责任人无法成功接收处置工单通知信息。
· 责任人处置脆弱性风险时,对于验证后无法修复的漏洞,可以单击<移动>按钮将其移动到遗留风险列表。
· 处置工单被驳回时,工单状态会回退到“待签收”状态。
· 撤回工单后,安全告警、安全事件和脆弱性风险的处理状态将被修改为未处理。
· 工单下发后,若工单中的安全告警或安全事件被添加到白名单,则工单中不再显示该安全告警或该安全事件。
· 工单下发后,若脆弱性资产被删除,则工单详情中不再显示脆弱性风险。
响应编排通过案件和剧本,将复杂的事件响应过程和任务转换为一致的、可重复的、可度量的、有效的工作流,实现对安全告警和脆弱性风险的自动化响应,提高安全运维团队的整体运维效率。同时,支持一键阻断功能,直接对目标地址封锁,阻断来自于该地址的所有报文的传输。
· 案件:用于对相同类型的安全告警或脆弱性风险进行流程化、持续化的调查分析与响应处置。安全告警或脆弱性风险成功匹配案件后,系统将按照案件中引用的剧本对安全告警或脆弱性风险自动执行一系列的响应动作。
· 剧本:定义了针对安全告警或脆弱性风险的一系列响应动作。管理员按照安全工程师的工作流程对这些动作进行编排后,当网络中发生安全告警或存在脆弱性风险触发案件时,系统将自动下发剧本中的响应动作。
· 一键阻断:用于将目标地址下发到指定设备的黑名单中,当网络中有来自于该地址的报文时,设备会直接将报文进行阻断。
通过响应编排功能,系统将根据案件自动下发剧本动作到目标设备或者直接将目标地址下发到目标设备的黑名单中,可有效阻断安全风险,从而保障用户业务持续、安全、稳定的运行。
· 案件管理
该功能用于管理案件。系统针对常见的安全事件提供了不同的预定义案件,可有效防止此类事件再次发生,用户也可以根据实际需求为安全事件和脆弱性风险事件自定义案件。
同时,系统提供案件复制功能,当需要将某个案件应用到其他区域时,可复制已有案件,修改案件名称和区域信息,从而提高配置效率。
1. 选择“处置中心 > 响应编排”进入案件管理页面。
2. 单击<新增>按钮新增案件。
3. 单击操作列<编辑>按钮,修改案件配置参数。
4. 选择案件,单击<启用>、<停用>按钮改变案件的启用状态。
5. 选择案件,单击<复制>复制案件配置参数,提高配置效率。
6. 单击命中次数列的数字可查看命中该案件的安全事件或脆弱性风险详情及剧本执行结果。
· 案件名称:案件的唯一标识。
· 是否启用:是否启用案件,只有启用状态的案件能触发剧本动作下发。
· 案件类型:触发案件执行的风险类型,包括安全事件和脆弱性风险。
选择“安全事件”需要配置以下参数:
○ 攻击名称:该类攻击对应的安全事件将触发案件执行。仅自定义案件支持配置该参数。
○ 规则名称:该关联规则对应的安全事件将触发案件执行。
○ 事件类型:仅匹配选中类型的安全事件(可多选)。仅部分预定义案件支持配置该参数,请以界面实际情况为准。
○ 攻击阶段:该攻击阶段的安全事件将触发案件执行。(可多选)
○ 失陷确信度:该失陷确信度的安全事件将触发案件执行。(可多选)
○ 事件等级:该严重等级的安全事件将触发案件执行。(可多选)
选择“脆弱性风险”需要配置以下参数:
○ 脆弱性类型:触发案件执行的脆弱性风险类型,包括漏洞、配置风险和弱口令。
○ 漏洞名称:脆弱性类型选择“漏洞”时,该漏洞名称对应的事件将触发案件执行。
○ 漏洞等级:脆弱性类型选择“漏洞”时,该漏洞等级对应的事件将触发案件执行。(可多选)
○ 风险名称:脆弱性类型选择“配置风险”时,该风险名称对应的事件将触发案件执行。
○ 风险等级:脆弱性类型选择“配置风险”时,该风险等级对应的事件将触发案件执行。
○ 弱口令类型:脆弱性类型选择“弱口令”时,该弱口令类型对应的事件将触发案件执行。
· 剧本名称:定义了对成功匹配以上条件的安全事件或脆弱性风险下发的动作。
· 剧本执行:选择剧本的执行方式,“自动执行”表示匹配案件成功后,系统自动下发相应的剧本动作,“手动执行”表示匹配案件成功后不自动下发动作,用户可根据需要在安全事件界面或事件详情界面手动下发剧本动作。
· 生效区域:选择剧本的生效区域范围。
· 案件名称保存后不能再修改。
· 修改预定义案件后,可单击<恢复默认设置>按钮恢复到出厂配置。
该功能用于管理响应编排剧本。系统为预定义案件提供了默认剧本,用户也可以根据实际需求自定义剧本。
平台根据不同的设备类型提供了一系列的响应动作,当安全事件或脆弱性风险触发执行对应的响应编排案件时,平台会根据指定的动作调用相关的设备进行响应闭环。
1. 选择“处置中心 > 响应编排 > 剧本管理”进入剧本管理页面。
2. 单击<新增>按钮新增剧本。
3. 单击操作列<编辑>按钮修改剧本配置参数。
4. 剧本中如需添加重定向动作,则需要单击<重定向配置>按钮,配置重定向相关参数。当用户主机中毒后,使用浏览器访问网络资源时,浏览器会自动跳转到断网公告页面。该页面会引导用户下载并安装杀毒软件,对用户主机进行全盘扫描以及病毒查杀。
说明:
○ 是否启用:选择是否开启重定向功能。
○ 杀毒软件服务器IP:为断网公告页面提供下载杀毒软件功能的服务器IP地址。
○ 杀毒软件下载链接:断网公告页面中杀毒软件的下载链接。
○ 备注信息:断网公告页面中显示的备注信息。
需要注意,配置本功能前,需要先修改平台的Web端口。有关Web端口的详细介绍,请参见平台网络设置。
· 剧本名称:剧本的唯一标识。
· 剧本描述:剧本的描述信息,合理的描述信息有助于管理员快速了解该剧本。
· 动作列表:针对不同的安全事件或脆弱性风险选择合适的动作。
· 系统服务
○ 告警通知
§ 邮箱告警:通过邮件方式发送告警信息到指定用户。收件人必须已配置邮件地址。
§ 短信告警:通过短信方式发送告警信息到指定用户。收件人必须已配置联系方式。
○ 处置工单
§ 通知责任人:平台自动创建处置工单,并通过指定的通知方式通知相关责任人处理事件。
§ 通知方式:选择指定的通知方式通知相关责任人处理事件,取值包括系统通知、邮件和短信。选择邮件和短信方式时,所选责任人必须已配置邮箱或手机号。
· 联动封锁
○ 黑名单
§ 设备类型:执行黑名单的设备类型。选择“NGFW防火墙/IPS入侵防御系统”表示向H3C防火墙和入侵防御系统设备下发黑名单,此时设备必须先开启全局黑名单过滤功能,具体配置方法请参见目标设备配套的资料;选择“交换机/路由器”表示向H3C交换机或路由器设备下发ACL策略,并在全局QoS策略中引用ACL策略,从而实现访问控制。若设备已配置全局QoS策略,则直接在全局QoS策略中引用ACL策略;若设备未配置全局QoS策略,则先创建全局QoS策略再引用;选择“AD-WAN控制器”表示向AD-WAN控制器下发Flowspec策略。
§ 选择设备:执行策略的设备名称。
§ 阻断对象:包括关注点IP和对端IP,即将匹配的安全事件的源IP或目的IP加入黑名单。
§ 阻断方向:包括“发起方向”、“响应方向”和“双向”。“发起方向”表示丢弃源地址为阻断对象的报文;“响应方向”表示丢弃目的地址为阻断对象的报文;“双向”表示该阻断对象不能收发报文。
§ 老化时间老化时间:黑名单老化时间,当黑名单达到老化时间后将被自动删除。默认老化时间为0,表示黑名单永不老化。用户也可根据实际需求,配置相应的老化时间。
§ ACL编号:指定ACL编号。
§ 纳管设备:选择AD-WAN控制器下发策略的目标设备。
○ 访问控制
§ 设备类型:执行访问控制策略的设备类型。选择“NGFW防火墙/IPS入侵防御系统”表示向H3C防火墙和入侵防御系统设备下发安全策略(策略名称以“SIS_devBlock”开头);选择“交换机/路由器”表示向H3C交换机或路由器设备下发ACL策略,并在全局QoS策略中引用ACL策略,从而实现访问控制。若设备已配置全局QoS策略,则直接在全局QoS策略中引用ACL策略;若设备未配置全局QoS策略,则先创建全局QoS策略再引用。
§ 选择设备:执行策略的设备名称。
§ ACL编号:指定ACL编号。
○ 网站阻断
§ 设备类型:执行网站阻断策略的设备类型。仅支持WAF(Web应用防火墙)。
§ 检测方向:包括“源”和“目的”。“源”表示阻断安全事件中的源主机发起的访问;“目的”表示阻断安全事件中源主机被其他主机访问的流量。
§ URL:WAF的访问地址,格式为“https://{IP地址}”或“http://{IP地址}”。请填写有效地址,确保平台与设备之间网络互通。
§ 用户名:WAF的登录用户名。
§ 密码:WAF的登录密码。
○ 重定向
配置本动作前,需要先在剧本管理页面配置重定向相关参数。
§ 设备类型:执行重定向的设备类型。仅支持路由器和交换机。
§ 选择设备:执行策略的设备名称。
§ 阻断对象:包括关注点IP和对端IP,即将匹配的安全事件的源IP或目的IP加入设备的重定向列表。
§ ACL编号:指定ACL编号。
· 用户控制
○ 无线接入
§ 设备类型:执行用户黑名单的设备类型。仅支持H3C AC无线控制器。
§ 选择设备:执行策略的设备名称。
§ 地址类型:选择将安全事件中的源IP地址或终端MAC地址加入用户黑名单,禁止该IP或MAC对应的用户接入网络。
§ 老化时间:用户黑名单老化时间,用户黑名单达到老化时间后策略将被自动删除。
○ 上网阻断
§ 设备类型:执行上网阻断策略的设备类型。仅支持H3C ACG应用控制网关。
§ 阻断对象:将匹配的安全事件的源IP加入黑名单,禁止其访问互联网。
§ 老化时间:上网阻断策略老化时间,上网阻断策略达到老化时间后将失效。
§ URL:ACG应用控制网关的访问地址,格式为“https://{IP地址}”或“http://{IP地址}”。请填写有效地址,确保平台与设备之间网络互通。
§ 用户名:ACG应用控制网关的登录用户名。
§ 密码:ACG应用控制网关的登录密码。
○ 用户下线
§ 设备类型:执行用户下线策略的设备类型。仅支持H3C iMC EIA终端智能接入。
§ 下线对象:将匹配的安全事件的源IP强制下线。
§ URL:iMC EIA终端智能接入的URL,该服务器必须开启强制用户下线功能。
§ 用户名:iMC EIA终端智能接入的管理员用户。
§ 密码:iMC EIA终端智能接入的管理员用户密码。
· 终端防护
○ 全网主机扫描
§ 设备类型:执行全网主机扫描策略的设备类型。仅支持H3C EDR管理中心。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统。
○ EDR告警提醒
§ 设备类型:执行EDR告警提醒策略的设备类型。仅支持H3C EDR管理中心。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统。
§ 老化时间:告警提醒策略老化时间,告警提醒策略达到老化时间后将失效。默认老化时间为0,表示策略永不老化。用户也可根据实际需求,配置相应的老化时间。
○ EDR病毒查杀
§ 设备类型:执行EDR病毒查杀策略的设备类型。仅支持H3C EDR管理中心。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统。
§ 老化时间:病毒查杀策略老化时间,病毒查杀策略达到老化时间后将失效。默认老化时间为0,表示策略永不老化。用户也可根据实际需求,配置相应的老化时间。
○ EDR病毒隔离
§ 设备类型:执行EDR病毒隔离策略的设备类型。仅支持H3C EDR管理中心。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统。
§ 老化时间:病毒隔离策略老化时间,病毒隔离策略达到老化时间后将失效。默认老化时间为0,表示策略永不老化。用户也可根据实际需求,配置相应的老化时间。
○ EDR进程查杀
§ 设备类型:执行EDR进程查杀策略的设备类型。仅支持H3C EDR管理中心。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统。
§ 老化时间:进程查杀策略老化时间,进程查杀策略达到老化时间后将失效。默认老化时间为0,表示策略永不老化。用户也可根据实际需求,配置相应的老化时间
○ EDR主机隔离
§ 设备类型:执行EDR主机隔离策略的设备类型。仅支持H3C EDR管理中心。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统。
§ 老化时间:主机隔离策略老化时间,主机隔离策略达到老化时间后将失效。默认老化时间为0,表示策略永不老化。用户也可根据实际需求,配置相应的老化时间。
· 删除:删除选中的动作。
· 启用了重定向功能后,系统会自动下发重定向的相关配置。当用户修改了平台IP地址后,所有阻断对象都将无法被重定向。管理员需要重新进入重定向配置页面,单击<确认>按钮,使系统更新相关配置。更新配置后,新下发动作参数的阻断对象可以正常被重定向,但是历史阻断对象仍无法正常重定向,此时管理员可通过重新执行剧本,恢复历史阻断对象的重定向功能。
· 修改重定向动作ACL编号后,历史下发的ACL策略将不再生效。
· 编辑预定义剧本时,若预定义剧本动作中包含“选择设备”、“EDR管理中心”等选项,必须为其配置有效参数才能保存成功。
· 预定义剧本无法被删除。
· 删除剧本时,若剧本已被案件引用,则需先解除引用关系。
· 若执行剧本动作的目标设备被删除,该剧本动作将会下发失败。
· 执行剧本动作的设备必须已经添加为资产,且资产管理协议配置为SSH或SOAP,同时配置时,优先使用SOAP。
· 自定义租户下的用户无终端安全管理系统配置权限,不能添加终端防护类动作。
· 剧本动作执行后将会生成执行记录,无论动作参数是否更新,重新执行该动作都将按上一次执行时的参数下发。如需下发最新动作参数,请在编排详情页面选择重新执行剧本。
该功能用于阻断来自于指定地址的报文,可有效的防范安全风险。
1. 选择“处置中心 > 响应编排 > 一键阻断”,进入一键阻断页面。
2. 单击<新增>按钮,进入新增一键阻断页面。
3. 根据实际需求配置相关参数,完成配置后单击<立即执行>按钮,完成本次操作。
· 设备类型:执行黑名单动作的设备所属的类型。
· 执行设备:执行黑名单动作的设备。
· 生效时长:黑名单的生效时长,即老化时间,当参数配置为0时,表示黑名单永不老化,永久生效。
· 阻断对象:被阻断的目标地址,配置多条地址时,使用回车进行换行分隔。
· 阻断原因:用于描述阻断目标地址的原因,帮助管理员快速理解一键阻断策略。
该功能用于展示常见安全告警的风险危害分析、处置建议及处理案例,为管理员处理网络中发生的安全告警提供合理的处置建议和参考案例。
· 内置案例库
· 处置建议库
展示安全事件的处理案例,为管理员处理安全事件提供参考方案。
1. 选择“处置中心 > 安全知识库 > 内置案例库”进入内置案例库页面。
2. 支持按案例名称、案例分类检索安全事件处理案例,输入查询条件后点击<查询>即可查看相应的案例;点击<重置>按钮重置查询条件,默认展示所有案例。
3. 选择一条案例,点击<详情>按钮可查看该案例的详细信息。
4. 选择一条案例,点击<下载>按钮可下载PDF格式的案例文件到本地。
· 案例名称:安全事件处理案例名称。
· 案例描述:安全事件处理案例的描述信息。
· 案例分类:该案例适用的安全事件类型。
该页面用于展示用户在安全事件详情页面编辑后的风险危害和处置建议。有关风险危害和处置建议的介绍请参见安全告警 。
1. 选择“处置中心 > 安全知识库 > 处置建议库”进入处置建议库页面。
2. 支持按规则名称、事件描述检索处置建议,输入查询条件后点击<查询>即可查看相应的处置建议;点击<重置>按钮重置查询条件,默认展示所有处置建议。
3. 选择一条处置建议,点击<删除>按钮可删除该条建议,删除后,安全事件详情页面将展示该事件的预定义风险危害和处置建议。
4. 选择一条处置建议,点击<下载>按钮可下载EXCEL格式的处置建议文件到本地。
· 规则名称:生成安全事件的关联规则名称或UEBA规则名称。
· 攻击ID:安全事件的攻击ID。
· 事件描述:安全事件的描述信息。
· 风险危害:安全事件的风险危害。
· 处置建议:安全事件的处理方法。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
