自动响应规则

响应流程

自动响应规则类型

• 预定义：系统提供了一些内置的响应策略，可直接启用，在详情页查看相关配置信息，不可编辑和删除。

• 自定义：响应编排提供灵活的响应规则配置，可根据自身业务需求定制响应规则。

新增自动响应规则（自定义）

新增自动响应规则后，威胁分析与响应会根据您设定的规则策略匹配新增的安全事件，匹配成功后，威胁分析与响应会执行预设的规则动作，帮助您更快地响应和缓解安全威胁。

1. 登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。

2. 在左侧导航栏，选择威胁分析与响应 > 响应编排。

3. 在自动响应规则页签，单击新增规则。

   说明

   也可选择已有的预定义或自定义规则，单击复制，将其复制为一个新的自定义响应规则。

4. 在创建自动响应规则面板，参考以下说明，配置自动响应规则，然后单击确定。

   基础信息

   • 规则名称：自定义规则名称，可帮助快速理解和查找规则内容和功能。

   • 执行方式：即规则的生效时间及规则触发方式。

     • 告警触发：通过匹配告警特征字段和规则策略字段，当匹配成功时，对触发告警的处置实体（IP、文件或进程）执行自动响应规则动作。

     • 事件触发：通过匹配事件特征字段和规则策略字段，当匹配成功时，对触发事件的处置实体（IP、文件或进程）执行自动响应规则动作。

   规则策略设置

   设置触发规则的具体字段值，选择不同执行方式时，需要配置的特征字段不同。您可以单击新增，添加多条策略。

   重要

   如果您同时添加了多条策略，仅当所有策略都匹配成功后，才会触发执行规则动作。

   特征字段说明

   告警触发

   告警特征	说明
   alert_desc	告警描述
   alert_detail	告警详情，内容结构为JSON，提取JSON里面Key的Value可使用“提取”功能。
   alert_level	告警等级
   alert_name	告警名称
   alert_src_prod	告警来源产品
   alert_src_prod_module	告警来源产品模块
   alert_title	告警标题，标题由告警类型和告警名称通过中划线链接而成
   alert_type	告警类型
   alert_uuid	告警UUID，告警的唯一标识
   asset_list	资产列表，内容结构为JSON
   att_ck	ATT&CK技术标识
   attack_ip	攻击者IP
   cloud_code	云厂商
   entity_list	实体列表，内容结构为JSON
   ioc_ip	恶意IP
   is_defend	是否被防御
   is_white	是否被加白
   log_code	日志类型或日志源code
   occur_time	发生时间
   product_code	产品名

   事件触发

   事件特征	说明
   incident_name	事件名称。
   incident_uuid	事件ID。 说明 系统自动生成，可在安全事件处置列表页查看。
   threat_level	事件等级，取值范围如下： 信息 低 中 高 严重
   incident_type	事件类型，取值范围如下： net-attack：专家规则。 graph：图计算。 singleToSingle：告警透传。 allToSingle：告警聚合。
   status	事件状态。 取值： 0：未处理 1：处理中 5：处理失败 10：已处理
   gmt_create	创建时间。
   att_ck	ATT&CK技术标识。
   description	描述。

   条件字段说明

   条件	说明
   =	等于。
   <>	不等于。
   contains	字符串包含。
   not contains	字符串不包含。
   in	在条件值中。多个条件值用逗号分隔，如condi1,condi2。
   not in	不在条件值中。多个条件值用逗号分隔，如condi1,condi2。
   is null	是空字符串。""、null、NULL都认为是空字符串。
   is not null	不是空字符串。
   regexp	匹配正则表达式。
   not regexp	不匹配正则表达式。
   not in ip dataset	不在IP数据集中。 说明 数据集需要在威胁分析与响应 > 威胁分析与响应 > 接入中心 > 观察列表”中配置后才可以选择。
   in ip dataset	在IP数据集中。
   not in dataset	不在数据集中。
   in dataset	在数据集中。

   规则动作

   告警或事件命中自动响应规则策略时，会针对处置实体执行配置的动作。单击新增，可设置添加多条规则动作。

   重要

   如果您添加了多条规则动作，当命中规则策略后，威胁分析与响应会同时执行所有规则动作。

   执行方式为告警触发时，仅支持设置为运行剧本；

   执行方式为事件触发时，支持设置为运行剧本、修改事件状态和修改威胁等级、使用系统推荐内置剧本 。

   • 运行剧本：命中规则策略时，自动执行选中的剧本流程。其中包含自定义剧本预定义剧本和已发布的自定义剧本。

     说明

     • 自动响应规则只能关联已配置固定格式入参的剧本，支持选择的剧本必须在开始节点输出参数类型为：IP实体、文件实体、进程实体、容器实体、域名实体、主机实体、安全告警。

     • 对相同处置的实体运行相同的剧本，每天仅执行一次。

     IP实体剧本需要填写剧本参数，常见参数说明如下：

     参数名称	参数说明
     恶意IP	默认为系统自动获取，不可修改。威胁分析与响应会根据告警或事件传入的日志信息，自动拉取需要处理的IP信息。
     目标账号	执行剧本操作的云账号，支持以下两种账号类型： 系统自动获取：通过实体对象的信息，进行回填，实体对象中包含属性说明接入当前CTDR的阿里云账号。 自定义：当前阿里云UID（主账号），多账号安全管理纳管的成员账号。
     动作实效	IP剧本执行动作的有效时长。 若剧本为封禁IP操作，动作实效设置为7天，则表示IP被封禁7天，到期自动解封。 若剧本为IP加白，动作实效设置为7天，则表示IP加白7天，超过7天自动释放。 若剧本为观察模式处理IP，动作实效设置为7天，则表示对IP进行监控并告警7天，超过7天解除监控。

   • 修改事件状态：命中规则策略时，自动修改事件的状态为已处理。

   • 修改威胁等级：命中规则策略时，自动修改事件的威胁等级为高危、中危或低危。

   • 使用系统推荐内置剧本：系统会根据告警和实体信息，推荐对应的预定义剧本。可在预定义剧本页签查看所有的内置剧本。比如WAF告警里抽出来的IP实体，会推荐WAF封禁IP的剧本。

5. 规则创建后默认是未启用状态，可在规则列表页，单击启用状态列表的图标，开启自动响应规则。

后续操作

启用自动响应规则后，当有事件或告警命中规则策略时，系统将自动执行规则动作进行处理。

• 可在威胁分析与响应 > 处置中心查看处理详情。

• 若是运行剧本进行处理，会生成一条剧本运行记录，可在剧本详情页查看历史执行记录。

相关文档

若您想了解如何创建自定义剧本，请参见剧本配置指南。