自动编排响应为您提供云原生的安全编排与自动化响应处置功能,可针对云上安全事件为您提供安全编排剧本,实现高效的自动化响应处置。目前,自动编排响应剧本包括两类:实时响应和周期响应,可针对新产生的威胁告警进行响应。
前提条件
内置剧本功能
自动编排响应已内置以下5个系统剧本:
流量威胁外连黑主机剧本
外连黑主机是由客户资产主动发起的与恶意 IP 及域名之间的数据通信,外连黑主机的行为代表用户资产很大可能已处于失陷的状态。
通过安全编排对恶意 IP 及域名进行分析,同时结合用户资产的历史可疑行为综合研判,协助用户进行封禁 IP,系统重装,镜像回滚等处置操作。
流量威胁漏洞利用剧本
流量威胁漏洞是攻击者通过已知漏洞在互联网上进行探测盲扫,如果用户的资产中存在该漏洞的组件并暴露在公网,用户资产即有被攻击者利用,并导致资产失陷的风险。
通过执行安全编排可以帮用户及时发现漏洞利用威胁,并提醒用户修复含漏洞的组件以及主动排除相关潜在的风险行为。
主机安全反病毒木马剧本
僵木蠕毒是黑客通过各种攻击手段植入在受害者机器上的恶意程序,会与恶意 IP 及域名通信,窃取用户隐私数据,甚至在用户以及腾讯云网络内部进行横向攻击造成巨大损失。
通过执行安全编排帮助用户隔离清除僵木蠕毒,并根据病毒木马的行为操作帮助用户重装或回滚镜像,第一时间将风险威胁降到最低。
低误报高风险云防攻击 IP 重保封禁剧本
查询云防火墙的告警,并自动聚合过去30分钟内的低误报、高风险类的告警,通过攻击次数、命中规则数、攻击目标数、拦截数、高危告警数等指标,结合历史攻击封禁情况与威胁情报分数,对攻击 IP 进行综合打分,判断其是否应通过云防火墙封禁,如 IP 风险高,达到综合阈值,则对攻击 IP 进行封禁,使用云防火墙封禁,封禁时效为1天。
说明
攻击失败告警批量关闭剧本
自动关闭攻击失败的告警,提升您的安全运营效率。