XDR安全告警自动处置模板

安全告警自动处置模板针对尝试攻击，为了防止误封，人工审核判断是否为误判（联动邮箱推送告警判断提醒）

1、配置执行条件（添加判断安全告警剧本的触发执行条件，比如处置状态、安全事件等级、加白状态、攻击方向等）

2、调用XDR获取外网IP信息

3、调用XDR获取主机IP信息

4、调用微步（或者深信服的云脑威胁情报）对外网IP进行研判

5、添加过滤器对微步的研判做筛选，筛选出恶意IP，针对恶意IP进行下一步判断，非恶意IP不做处理

6、对恶意IP判断是否在白名单（调用常量库）

7、在执行封禁前，添加人工审核的步骤防止误判（通过邮件提醒用户登录XDR判断）

8、主机IP判断客户存在多数据中心，每个数据中心都有不同出口防火墙，需要通过主机IP判断需要联动哪个防火墙实现封锁外网威胁IP。这里以A、B区域为例，提前定义常量库-A、B区域的主机IP

B区域设置条件类似

9、联动防火墙封锁恶意IP（A区域联动A区域防火墙、B区域联动B区域防火墙）

10、调整处置状态