02-处置中心

05-响应编排

响应编排

响应编排通过案件和剧本，将复杂的事件响应过程和任务转换为一致的、可重复的、可度量的、有效的工作流，实现对安全事件和脆弱性风险的自动化响应，提高安全运维团队的整体运维效率。

· 案件：用于对相同类型的安全事件或脆弱性风险进行流程化、持续化的调查分析与响应处置。安全事件或脆弱性风险成功匹配案件后，系统将按照案件中引用的剧本对安全事件或脆弱性风险自动执行一系列的响应动作。

· 剧本：定义了针对安全事件或脆弱性风险的一系列响应动作。管理员按照安全工程师的工作流程对这些动作进行编排后，当网络中发生安全事件或存在脆弱性风险触发案件时，系统将自动下发剧本中的响应动作。

通过响应编排功能，系统将根据案件自动下发剧本动作到目标设备，可有效防止发生安全风险，从而保障用户业务持续、安全、稳定的运行。

本章包含如下内容：

· 案件管理

· 剧本管理

案件管理

该功能用于管理案件。系统针对常见的安全事件和脆弱性风险提供了不同的预定义案件，可有效防止此类事件再次发生，用户也可以根据实际需求自定义案件。同时，系统提供案件复制功能，当需要将某个案件应用到其他区域时，可复制已有案件，修改案件名称和区域信息，从而提高配置效率。

操作步骤

· 选择“处置中心 > 响应编排”进入案件管理页面。

· 单击<新增>按钮新增案件。

· 单击操作列按钮修改案件配置参数。

· 选择案件，单击<启用>、<停用>按钮改变案件的启用状态。

· 选择案件，单击<复制>复制案件配置参数，提高配置效率。

· 单击命中次数列的数字可查看命中该案件的安全事件或脆弱性风险详情及剧本执行结果。

参数说明

· 案件名称：案件的唯一标识。

· 是否启用：是否启用案件，只有启用状态的案件能触发剧本动作下发。

· 案件类型：触发案件执行的风险类型，包括安全事件和脆弱性风险。

· 选择“安全事件”需要配置以下参数：

· 攻击名称：该类攻击对应的安全事件将触发案件执行。仅自定义案件支持配置该参数。

· 规则名称：该关联规则对应的安全事件将触发案件执行。

· 失陷确信度：该失陷确信度的安全事件将触发案件执行。（可多选）

· 事件等级：该严重等级的安全事件将触发案件执行。（可多选）

· 关注点区域：选中区域发生的安全事件将触发案件执行。

· 选择“脆弱性风险”需要配置以下参数：

· 脆弱性类型：触发案件执行的脆弱性风险类型，包括漏洞、配置风险和弱口令。

· 漏洞名称：脆弱性类型选择“漏洞”时，该漏洞名称对应的事件将触发案件执行。

· 漏洞等级：脆弱性类型选择“漏洞”时，该漏洞等级对应的事件将触发案件执行。

· 风险名称：脆弱性类型选择“配置风险”时，该风险名称对应的事件将触发案件执行。

· 风险等级：脆弱性类型选择“配置风险”时，该风险等级对应的事件将触发案件执行。

· 弱口令类型：脆弱性类型选择“弱口令”时，该弱口令类型对应的事件将触发案件执行。

· 资产区域：选中区域资产发生的脆弱性风险事件将触发案件执行。

· 剧本：定义了对成功匹配以上条件的安全事件或脆弱性风险下发的动作。

· 剧本是否自动执行：“是”表示匹配案件成功后，系统自动下发相应的剧本动作，“否”表示匹配案件成功后不自动下发动作，用户可根据需要在安全事件界面或事件详情界面手动下发剧本动作。

· 事件类型：仅匹配选中类型的安全事件（可多选）。仅部分预定义案件支持配置该参数，请以界面实际情况为准。

注意事项

· 案件名称保存后不能再修改。

· 修改预定义案件后，可单击<恢复默认设置>按钮恢复到出厂配置。

剧本管理

该功能用于管理响应编排剧本。系统为预定义案件提供了默认剧本，用户也可以根据实际需求自定义剧本。

平台根据不同的设备类型提供了一系列的响应动作，当安全事件或脆弱性风险触发执行对应的响应编排案件时，平台会根据指定的动作调用相关的设备进行响应闭环。

操作步骤

1. 选择“处置中心 > 响应编排 > 剧本管理”进入剧本管理页面。

2. 单击<新增>按钮新增剧本。

3. 单击操作列按钮修改剧本配置参数。

参数说明

· 剧本名称：剧本的唯一标识。

· 剧本描述：剧本的描述信息，合理的描述信息有助于管理员快速了解该剧本。

· 动作列表：针对不同的安全事件或脆弱性风险选择合适的动作和执行顺序。

· 系统服务

○ 告警通知

§ 邮箱告警：通过邮件方式发送告警信息到指定用户。收件人必须已配置邮件地址。

§ 短信告警：通过短信方式发送告警信息到指定用户。收件人必须已配置联系方式。

○ 处置工单

§ 通知责任人：平台自动创建处置工单，并通过邮件或短信通知相关责任人处理事件，所选责任人必须已配置邮箱或手机号。

· 联动封锁

○ 黑名单

§ 设备类型：执行黑名单的设备类型。选择“NGFW防火墙/IPS入侵防御系统”表示向H3C防火墙或入侵防御系统设备下发黑名单，此时设备必须先开启全局黑名单过滤功能，具体配置方法请参见目标设备配套的资料；选择“交换机/路由器”表示向H3C交换机或路由器设备下发ACL策略，并在全局QoS策略中引用ACL策略，从而实现访问控制。若设备已配置全局QoS策略，则直接在全局QoS策略中引用ACL策略；若设备未配置全局QoS策略，则先创建全局QoS策略再引用。

§ 选择设备：执行策略的设备名称。

§ 阻断对象：包括关注点IP和对端IP，即将匹配的安全事件的源IP或目的IP加入黑名单。

§ 阻断方向：包括“发起方向”、“响应方向”和“双向”。“发起方向”表示丢弃源地址为阻断对象的报文；“响应方向”表示丢弃目的地址为阻断对象的报文；“双向”表示该阻断对象不能收发报文。

§ 老化时间：黑名单老化时间。黑名单达到老化时间后将被自动删除，若不配置老化时间，则表示黑名单永不老化。

§ ACL编号：指定ACL编号。

○ 访问控制

§ 设备类型：执行访问控制策略的设备类型。选择“NGFW防火墙/IPS入侵防御系统”表示向H3C防火墙或入侵防御系统设备下发安全策略(策略名称以“SIS_devBlock”开头)；选择“交换机/路由器”表示向H3C交换机或路由器设备下发ACL策略，并在全局QoS策略中引用ACL策略，从而实现访问控制。若设备已配置全局QoS策略，则直接在全局QoS策略中引用ACL策略；若设备未配置全局QoS策略，则先创建全局QoS策略再引用。

§ 选择设备：执行策略的设备名称。

§ ACL编号：指定ACL编号。

○ 网站阻断

§ 设备类型：执行网站阻断策略的设备类型。仅支持H3C WAF（Web应用防火墙）设备。

§ 检测方向：包括“源”和“目的”。“源”表示阻断安全事件中的源主机发起的访问；“目的”表示阻断安全事件中源主机被其他主机访问的流量。

§ URL：WAF的访问地址，格式为“https://{IP地址}”或“http://{IP地址}”。请填写有效地址，确保平台与设备之间网络互通。

§ 用户名：WAF的登录用户名。

§ 密码：WAF的登录密码。

· 用户控制

○ 无线接入

§ 设备类型：执行用户黑名单的设备类型。仅支持H3C AC无线控制器。

§ 选择设备：执行策略的设备名称。

§ 地址类型：选择将安全事件中的源IP地址或终端MAC地址加入用户黑名单，禁止该IP或MAC对应的用户接入网络。

§ 老化时间：用户黑名单老化时间。用户黑名单达到老化时间后策略将被自动删除。

○ 上网阻断

§ 设备类型：执行上网阻断策略的设备类型。仅支持H3C ACG应用控制网关设备。

§ 阻断对象：将匹配的安全事件的源IP加入黑名单，禁止其访问互联网。

§ 老化时间：上网阻断策略老化时间。上网阻断策略达到老化时间后将失效。

§ URL：ACG应用控制网关的访问地址，格式为“https://{IP地址}”或“http://{IP地址}”。请填写有效地址，确保平台与设备之间网络互通。

§ 用户名：ACG应用控制网关的登录用户名。

§ 密码：ACG应用控制网关的登录密码。

○ 用户下线

§ 设备类型：执行用户下线策略的设备类型。仅支持H3C iMC EIA终端智能接入。

§ 下线对象：将匹配的安全事件的源IP强制下线。

§ URL：iMC EIA终端智能接入的URL，该服务器必须开启强制用户下线功能。

§ 用户名：iMC EIA终端智能接入的管理员用户。

§ 密码：iMC EIA终端智能接入的管理员用户密码。

· 终端防护

○ 全网主机扫描

§ 设备类型：执行全网主机扫描策略的设备类型。仅支持H3C EDR管理中心。