安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.77
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","策略新增")}}

策略新增

更新时间:2023-11-02

[处置中心/策略管理]页面,点击<新增>进入到策略编排画布,如下图所示。

左侧导航中包括节点库和常量库,功能说明如下表所示。

表16策略元素说明

类别

名称

功能介绍

节点库

 

动作

应用对应的处置动作,不同应用的处置动作是不一样的;

策略

指整个处置流程,包括执行节点、过程过滤节点、结束节点等,相当于调用已有策略;

决策器

节点和节点之间需要进行逻辑判断时,会引入决策器,常见的判断条件比如if-else判断等;

结束

标识整个策略流程结束的节点。

常量库

 

对参数进行标记为常量,比如对某个具体的IP地址/网段标记为业务组/机构名称作为常量,就可以快速直观识别出来并在策略编排中调用,除了网络IP资源之外其他资源类型都可以定义。

 

 策略设置 

在策略设置弹框中填写策略名称、策略描述、下拉选择策略分类、勾选执行方式、以及设置执行条件补充,如下图所示。

其中:

策略名称:必填项,自定义名称;

策略描述:非必填项,根据实际情况填写;

策略分类:分为响应策略转换策略类、自定义策略类,如下图所示。

执行方式:分为[自动执行][手动执行]两大类,其中设自动执行方式的策略在相应安全事件/安全告警发生之后会自动匹配,然后自动执行对应的联动处置,但是要注意日常使用中,谨慎配置和开启自动执行的响应策略,一般推荐经过小范围试运行通过的自动响应策略,再逐步扩大范围范围。

执行条件设置:主要是对该策略通过多个维度圈定作用范围,常见的维度包括攻击者IP、攻击者所属资产组、IOC等,每一个维度只能配置一个条件,当存在多个条件时,他们之间的关系为“且”,但是单个条件内部存在多个值时,值和值的关系为“或”。默认情况下需要至少存在安全事件/安全告警类型的触发条件,如下图所示。

如上图所示,默认必存在安全事件/安全告警的条件,且不能修改成其他维度;每个维度只能被一个条件所引用,当某个维度都被引用成条件后,此时<新增条件>按钮会置灰,不可再次被引用,示例如下图所示。

策略设置好之后,点击<确定>进入到画布,开始配置策略,主要是根据决策器-动作-策略嵌套-结束来实现场景化联动需求。

策略配置 

[策略管理]页面,某策略分类下,点击<新增>进入到画布界面,左侧导航栏中的节点图标通过点击并拖拽的方式到中间画布区域。

执行节点-动作

拖拽动作节点到画布后单击进入到编辑对话框,输入节点名称、下拉选择动作、选择设备IP等,点击<高级配置>可以手动选择开启/关闭延时运行。

其中:

选择动作:可以根据应用/动作维度选择,不同的应用之间动作有区别,可以根据弹框分类导航进行可视化选择,也可以根据关键字进行应用/动作模糊搜索,如下图所示。

具体的应用动作配置参数详见“应用动作配置详情”章节。

执行节点-策略

左侧导航中[执行节点/策略]是指在新增策略的时候可以调用既有策略进行嵌套执行,使用时直接拖拽到画布,双击进行配置,填写[节点名称]、下拉[选择策略],高级配置默认不开启延时运行,并点击<确认>如下图所示。

过程过滤节点-决策器    

左侧导航中[执行节点/策略]是指新增判断条件确定下一步流程,使用时直接拖拽到画布,双击进行配置,在弹框中填写[节点名称]、创建if-elseif-else if-…-else类型的过滤规则,确认是否开启[循环配置],如下图所示。

其中:

过滤规则属性:先选择事件/告警的属性字段,点击<>图标弹出选择参数弹框,可以根据事件/告警下拉选择,并点击<确定>,如下图所示。

逻辑关系符:在下拉的关系符中选择,包括“==”、“!=”、“in”、“not in”、“>”、“>=”、“<”、“<=”、“is empty”等分类,如下图所示。

 

innot in:左侧兼容数组或非数组,右侧自动转换为数组;

==!=:左侧兼容字符串或数字,右侧兼容字符串或数字;

<<=>=>:左侧兼容数字,右侧兼容数字,一般用在阈值类的情况下,比如:攻击次数等;

is empty:常用在对前置输入变量是否为空的判断;

 

属性字段值:主要是填写所选属性通过逻辑关系符要对应的属性值,也可以选择属性参数,根据实际情况灵活选择。

也可以在同一个if判断条件内,添加多个规则并可以根据实际情况灵活选择“且”、“或”的关系,点击< >进行“或”关系的添加,点击<>进行“与”关系的添加,如下图所示。

循环配置:满足特定配置条件时,循环回上游节点,优先执行循环分支,最多可循环200次,如下图所示。

策略配置完成后,且可以对策略进行<存草稿><更新上线>等操作,如下图所示。

上图中,在画布上点击<>可对策略编排进行撤销到上一个动作,点击<>可对画布进行放大操作,点击<>可对画布进行缩小,点击<>可显示缩略图,点击鼠标进行拖拽,调整整体在画布中的相对位置,如下图所示。