XDR安全事件处置模板分享

安全事件处置模板

联动防火墙和微步（或者云脑）封锁外网恶意IP

1、配置执行条件（添加判断安全事件剧本的触发执行条件，比如处置状态、安全事件等级、加白状态等）

2、调用XDR获取外网IP信息

3、调用XDR获取主机IP信息

4、调用微步（或者深信服的云脑威胁情报）对外网IP进行研判

5、添加过滤器对微步的研判做筛选，筛选出恶意IP，针对恶意IP进行下一步判断，非恶意IP不做处理

6、对恶意IP判断是否在白名单（调用常量库）

7、主机IP判断

客户存在多数据中心，每个数据中心都有不同出口防火墙，需要通过主机IP判断需要联动哪个防火墙实现封锁外网威胁IP。这里以A、B区域为例，提前定义常量库-A、B区域的主机IP

B区域设置条件类似

8、联动防火墙封锁恶意IP（A区域联动A区域防火墙、B区域联动B区域防火墙）

9、调整处置状态