本帖最后由 0y1 于 2024-9-5 11:01 编辑
可以的,首先确认好已经联动了,在处置中心新增自定义响应策略就行,我这里以nta为例,sip一样的
点击策略设置,在这选择安全事件或者安全告警,这个好像没法2个一起,要分别设置。然后再选择要自动处置的告警的类型。
然后就开始新增策略,我以我的为例,可能不通用,可以自行调整。
因为联动响应的防火墙不支持拉黑域名,同时我这因为dns做了管控,无法解析到告警域名的IP,所以先对告警进行IP判断,无IP就结束,有IP才执行IP联动封禁,不然会报错。 如果策略选择的安全告警的话,僵尸网络的告警会把dns当成攻击IP,导致误封,所以我这还判断了是否为dns。
新增防火墙封禁策略
自动处置风险主机状态
自动处置安全事件状态
最后结束,安全告警也是差不多的设置,就是选择攻击IP这些要从安全告警分类选择 |