该应用为当前态势感知设备,为了方便编排提供了对应的应用和动作。
获取资产信息
|
字段 |
作用 |
策略执行时填写内容 |
|
资产ID |
需要查询信息的资产ID |
1.人工输入具体ID 2.从事件信息中获取相应资产ID的字段参数 3.从前序策略节点的输出结果中获取对应的资产ID |
样例
获取深信服主机安全检测响应平台告警信息
获取“深信服主机安全检测响应平台(CWPP)”上报到态势感知平台告警中的“终端ID”,“文件md5”,“文件路径”信息,主要用于对CWPP上报的webshell类型主机信息/文件信息的查询
|
字段 |
作用 |
策略执行时填写内容 |
|
告警ID |
需要查询的告警ID |
1.从告警信息中获取相应hash_id的字段参数 2.从前序策略节点的输出结果中获取对应的告警ID |
|
信息类型 |
选择需要查询告警的信息类型 |
选择:主机信息、文件信息 |
|
时间范围 |
选择需要查询告警数据时间范围 |
选择:24小时 |
样例
获取深信服主机安全监测响应平台事件信息
获取“深信服主机安全检测响应平台(CWPP)”上报到态势感知平台告警生成的事件中的“终端ID”,“文件md5”,“文件路径”信息,主要用于对CWPP上报的webshell类型事件主机信息/文件信息的查询
|
字段 |
作用 |
策略执行时填写内容 |
|
事件ID |
需要查询的事件ID |
1.从事件信息中获取相应“事件ID”的字段参数 2.从前序策略节点的输出结果中获取对应的事件ID |
|
信息类型 |
选择需要查询事件的信息类型 |
选择:主机信息、文件信息 |
|
时间范围 |
选择需要查询事件数据时间范围 |
选择:24小时 |
样例
发送通知
调用态势感知平台上的订阅策略做信息通知,需要先在[报告中心/订阅策略]中提前配置好可以调用的订阅策略。
|
字段 |
作用 |
策略执行时填写内容 |
|
通知策略ID |
选择指定的订阅策略 |
1.选择设备对应的订阅策略(需要先配置对接的资源设备信息) |
|
通知类型 |
选择通知的类型 |
选择:事件、告警 |
|
事件ID |
选择需要通知的事件ID |
1.人工输入具体ID 2.从事件信息中获取相应事件ID的字段参数 |
样例
策略创建完毕后要在订阅策略中引用。
配置订阅策略
其中:
• 策略名称:设置策略名称;
• 订阅方式:告警方式包含邮件告警、短信告警及微信告警,选择是否启用,并配置相关信息;
• 推送条件:分为“响应策略匹配”和“自定义条件”两种分类,选择“响应策略匹配”。
选择响应策略匹配进行联动处置时,通过安全事件的响应策略调用来发送订阅策略,而策略中是通过动作节点配置,引用深信服安全感知平台应用的发送通知动作来实现,如下图所示。
• 订阅内容:由安全告警和报表推送组成,安全告警可选择“安全事件”、“外部高危攻击”及“脆弱性”。报表推送可选择“日报”、“周报”、“月报”、“季度报”、“半年报”、以及“年报”;
• 高级选项中可设置发送的时间间隔以及内容等,可根据客户需求选择,如下图所示。
配置完以上信息,点击<确认>,可以在页面列表查看配置的告警策略。
邮件告警配置
• 可选择列表里的成员。
• 也可点击<添加成员>,新增收件人。
获取事件的恶意文件信息
获取“深信服终端检测与响应平台(EDR)”上报到态势感知平台告警生成的事件中的“终端ID”,“恶意文件名称”,“恶意文件哈希值”等恶意文件信息,主要为对“深信服终端检测与响应平台”的“下发恶意文件扫描任务”动作输入恶意文件信息,以完成对指定恶意文件进行专杀。
|
字段 |
作用 |
策略执行时填写内容 |
|
事件分类信息 |
按照规则ID(rule_id)和资产ID(asset_id)聚合,保存最近一条数据信息 |
1.从事件信息中获取相应的“最近安全事件详情信息”字段参数 |
样例
查看恶意文件详细信息
将“深信服终端检测与响应平台(EDR)”的“查询任务扫描状态”和“查看扫描结果”以及“深信服安全感知平台”的“获取事件的恶意文件信息”动作数据进行聚合格式化显示的动作节点;
注意:这个动作为高度定制化的动作,只为“恶意文件查杀”场景使用
|
字段 |
作用 |
策略执行时填写内容 |
|
事件恶意文件-终端ID |
获取到安全感知平台事件中的恶意文件终端ID |
从前序策略节点(深信服安全感知平台-获取事件的恶意文件信息动作)的输出结果中获取对应的终端ID |
|
事件恶意文件-发生时间 |
获取到安全感知平台事件中的恶意文件发生时间 |
从前序策略节点(深信服安全感知平台-获取事件的恶意文件信息动作)的输出结果中获取对应的发生时间 |
|
事件恶意文件-名称 |
获取到安全感知平台事件中的恶意文件名称 |
从前序策略节点(深信服安全感知平台-获取事件的恶意文件信息动作)的输出结果中获取对应的文件名称 |
|
事件恶意文件-检测引擎名称 |
获取到安全感知平台事件中的恶意文件的检测引擎名称 |
从前序策略节点(深信服安全感知平台-获取事件的恶意文件信息动作)的输出结果中获取对应的检测引擎名称 |
|
事件恶意文件-恶意文件哈希值 |
获取到安全感知平台事件中的恶意文件的哈希值 |
从前序策略节点(深信服安全感知平台-获取事件的恶意文件信息动作)的输出结果中获取对应的哈希值(MD5) |
|
事件恶意文件-恶意文件路径 |
获取到安全感知平台事件中的恶意文件的路径 |
从前序策略节点(深信服安全感知平台-获取事件的恶意文件信息动作)的输出结果中获取对应的文件路径 |
|
事件恶意文件-发生时间戳 |
获取到安全感知平台事件中的恶意文件的发生时间戳 |
从前序策略节点(深信服安全感知平台-获取事件的恶意文件信息动作)的输出结果中获取对应的发生时间戳 |
|
事件恶意文件-动作状态 |
获取到安全感知平台事件中的恶意文件的动作状态 |
从前序策略节点(深信服安全感知平台-获取事件的恶意文件信息动作)的输出结果中获取对应的动作状态 |
|
事件恶意文件-返回信息 |
获取到安全感知平台事件中的恶意文件的返回信息 |
从前序策略节点(深信服安全感知平台-获取事件的恶意文件信息动作)的输出结果中获取对应的返回信息 |
|
扫描状态-终端ID |
执行扫描任务的终端ID |
从前序策略节点(深信服终端检测与响应平台-查询任务扫描状态)的输出结果中获取对应的终端ID |
|
扫描状态-未检出MD5清单 |
执行恶意文件扫描任务的未检出的文件MD5 |
从前序策略节点(深信服终端检测与响应平台-查询任务扫描状态)的输出结果中获取对应的未检出MD5清单 |
|
扫描状态-已加白MD5清单 |
执行恶意文件扫描任务的已加白的文件MD5 |
从前序策略节点(深信服终端检测与响应平台-查询任务扫描状态)的输出结果中获取对应的已加白MD5清单 |
|
扫描状态-有效检出MD5清单 |
执行恶意文件扫描任务的有效检出的文件MD5 |
从前序策略节点(深信服终端检测与响应平台-查询任务扫描状态)的输出结果中获取对应的有效检出MD5清单 |
|
扫描状态-已处置MD5清单 |
执行恶意文件扫描任务的已处置的文件MD5 |
从前序策略节点(深信服终端检测与响应平台-查询任务扫描状态)的输出结果中获取对应的已处置MD5清单 |
|
扫描结果-终端ID |
执行扫描任务的终端ID |
从前序策略节点(深信服终端检测与响应平台-查询扫描结果)的输出结果中获取对应的终端ID |
|
扫描结果-文件MD5 |
执行恶意文件扫描任务结果中的文件MD5 |
从前序策略节点(深信服终端检测与响应平台-查询扫描结果)的输出结果中获取对应的文件MD5 |
|
扫描结果-文件路径 |
执行恶意文件扫描任务结果中的文件路径 |
从前序策略节点(深信服终端检测与响应平台-查询扫描结果)的输出结果中获取对应的文件路径 |
|
扫描结果-文件当前状态 |
执行恶意文件扫描任务结果中的文件当前状态 |
从前序策略节点(深信服终端检测与响应平台-查询扫描结果)的输出结果中获取对应的文件当前状态 |
|
扫描结果-文件处置说明 |
执行恶意文件扫描任务结果中的文件处置说明 |
从前序策略节点(深信服终端检测与响应平台-查询扫描结果)的输出结果中获取对应的文件处置说明 |
样例
获取感染病毒信息
获取“深信服终端检测与响应平台(EDR)”上报到态势感知平台告警生成的感染病毒类事件中的“终端ID”,“威胁情报”等感染病毒信息,主要为“深信服终端检测与响应平台”的“下发威胁情报IP扫描任务”、“下发威胁情报名称扫描任务”以及“DNS拦截”动作分别输入感染病毒IP、感染病毒名称以及感染病毒域名,以完成对特定的感染病毒恶意信息进行查杀
|
字段 |
作用 |
策略执行时填写内容 |
|
事件分类信息 |
按照规则ID(rule_id)和资产ID(asset_id)聚合,保存最近一条数据信息 |
1.从事件信息中获取相应的“最近安全事件详情信息”字段参数 |
|
情报类型 |
选择情报类型 |
选择:威胁情报域名查询、威胁情报IP查询、威胁情报病毒名称查询 |
样例
获取隧道通信信息
获取“深信服终端检测与响应平台(EDR)”上报到态势感知平台告警生成的隧道通信类事件中的五元组信息,主要为“深信服终端检测与响应平台”的“IOC联动溯源五元组举证-自动查询”以完成对特定的五元组进行溯源举证
|
字段 |
作用 |
策略执行时填写内容 |
|
事件分类信息 |
按照规则ID(rule_id)和资产ID(asset_id)聚合,保存最近一条数据信息 |
1.从事件信息中获取相应的“最近安全事件详情信息”字段参数 |
|
是否过滤出EDR可溯源举证的五元组协议 |
选择:是否需要将从事件中提取的五元组信息进行过滤,以满足举证动作输入需求 |
选择:过滤、不过滤 |
样例
检查文件状态
用于检查深信服终端检测平台的返回结果,对结果进行二次分析,检查是否符合预期,如果已经处置闭环才让策略完成执行并设置事件状态为已处置,否则事件状态为处置中,仅给策略编排的时候使用。
|
字段 |
作用 |
策略执行时填写内容 |
|
文件状态列表 |
填写终端检测平台返回的文件处理结果信息 |
1.选择终端检测平台的 |
|
期望文件状态 |
期望文件处置的结果 |
选择:未处理、已隔离、隔离失败、已信任、已忽略、正在处理、正在恢复、正在删除、删除失败、恢复失败、文件修复成功、删除成功、已经加黑 |
样例
调整安全事件状态
调整态势感知平台上的事件的处置状态,该动作会将聚合视角下全部事件的处置状态改变
|
字段 |
作用 |
策略执行时填写内容 |
|
ID |
需要调整处置状态事件的ID |
1.从事件信息中获取相应的“事件ID”字段参数 |
|
发生时间 |
需要调整处置状态的事件的发生时间 |
1.从事件信息中获取相应的“发生时间”字段参数 |
|
状态 |
选择需要调整的处置状态 |
选择:未处置、已挂起、处置中、已处置 |
|
备注 |
调整处置状态的备注信息 |
1.人工填入调整状态的备注信息 |
样例
调整资产安全事件状态
调整态势感知平台上的风险主机上指定事件大类(入侵类、感染病毒类、恶意文件类、隧道通信类)的处置状态。
风险租户视角,如果只想调整其中某一类型事件的处置状态,推荐使用该动作。
|
字段 |
作用 |
策略执行时填写内容 |
|
ID |
需要调整处置状态事件的ID |
1.从事件信息中获取相应的“事件ID”字段参数 |
|
事件分类信息 |
按照规则ID(rule_id)和资产ID(asset_id)聚合,保存最近一条数据信息 |
1.从事件信息中获取相应的“最近安全事件详情信息”字段参数 |
|
最近发生事件类型 |
选择需要调整处置状态的风险主机下指定事件类型 |
选择:入侵类、感染病毒类、恶意文件类、隧道通信类 |
|
发生时间 |
需要调整处置状态的事件的发生时间 |
1.从事件信息中获取相应的“发生时间”字段参数 |
|
状态 |
选择需要调整的处置状态 |
选择:未处置、已挂起、处置中、已处置 |
|
备注 |
调整处置状态的备注信息 |
1.人工填入调整状态的备注信息 |
样例
调整安全告警状态
调整态势感知平台上的告警的处置状态。
|
字段 |
作用 |
策略执行时填写内容 |
|
ID |
需要调整处置状态告警的ID |
1.从告警信息中获取相应的“告警ID”字段参数 |
|
发生时间 |
需要调整处置状态的告警的发生时间 |
1.从告警信息中获取相应的“发生时间”字段参数 |
|
状态 |
选择需要调整的处置状态 |
选择:未处置、已挂起、处置中、已处置 |
|
备注 |
调整处置状态的备注信息 |
1.人工填入调整状态的备注信息 |
样例
调整风险主机状态
调整态势感知平台上的风险主机的处置状态,该动作会将对应风险主机下所有的安全事件的处置状态改变。
|
字段 |
作用 |
策略执行时填写内容 |
|
ID |
需要调整处置状态事件(风险租户视角下风险主机聚合的事件)的ID |
1.从事件信息中获取相应的“事件ID”字段参数 |
|
发生时间 |
需要调整处置状态的事件的发生时间 |
1.从事件信息中获取相应的“发生时间”字段参数 |
|
状态 |
选择需要调整的处置状态 |
选择:未处置、已挂起、处置中、已处置 |
|
备注 |
调整处置状态的备注信息 |
1.人工填入调整状态的备注信息 |
样例
获取资产的扫描信息
查询态势感知平台上的风险主机(已安装深信服终端检测与响应平台终端的资产)查杀扫描状态信息,如:“今天是否快速查杀”、“今天是否全盘查杀”、“扫描任务ID”
|
字段 |
作用 |
策略执行时填写内容 |
|
资产ID |
需要查询扫描状态信息的终端资产ID |
|
样例
获取EDR资产病毒状态
查询态势感知平台上的风险主机(已安装深信服终端检测与响应平台终端的资产)存在的病毒的状态是否正常。
|
字段 |
作用 |
策略执行时填写内容 |
|
资产ID |
需要查询扫描状态信息的终端资产ID |
|
样例
提示信息
执行策略过程中打印一段提示信息,如:提示未查询到“深信服终端响应平台”的终端信息。
|
字段 |
作用 |
策略执行时填写内容 |
|
提示内容 |
需要作为提示的一段文字内容 |
|
样例
查询资产EDR安装信息
查询态势感知平台上的单风险主机是否为“深信服终端检测与响应平台(EDR)”的终端资产。
|
字段 |
作用 |
策略执行时填写内容 |
|
资产ID |
需要查询EDR终端安装信息的资产ID |
|
样例
查询事件关联资产EDR终端信息
查询态势感知平台上的多资产是否安装了高于某个版本“深信服终端检测与响应平台(EDR)”的终端。
|
字段 |
作用 |
策略执行时填写内容 |
|
资产ID |
需要查询EDR终端安装信息的资产ID |
|
|
最低EDR版本 |
需要过滤从的EDR最低版本 |
|
样例
获取事件的黑进程
查询态势感知平台上的安全事件中存在的黑进程文件信息,如:黑进程文件ID、黑进程文件MD5等
|
字段 |
作用 |
策略执行时填写内容 |
|
事件ID |
需要查询黑进程信息的事件ID |
1.从事件信息中获取相应的“事件ID”字段参数 |
样例
隔离黑进程
隔离“深信服安全感知平台”的“获取事件的黑进程”动作查询出的黑进程。
|
字段 |
作用 |
策略执行时填写内容 |
|
资产ID |
需要处置黑进程的资产ID |
|
|
文件ID |
需要处置的文件ID |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的文件ID |
|
文件MD5 |
需要处置的文件MD5 |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的文件MD5 |
|
文件类型 |
需要处置的文件类型 |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的文件类型 |
|
记录ID |
需要处置的记录ID |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的记录ID |
|
事件ID |
需要处置的黑进程的关联事件ID |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的事件ID |
样例
查询黑进程隔离状态
查询“深信服安全感知平台”的“隔离黑进程”动作的执行状态
|
字段 |
作用 |
策略执行时填写内容 |
|
资产ID |
需要处置黑进程的资产ID |
|
|
文件ID |
需要处置的文件ID |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的文件ID |
|
文件MD5 |
需要处置的文件MD5 |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的文件MD5 |
|
文件类型 |
需要处置的文件类型 |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的文件类型 |
|
记录ID |
需要处置的记录ID |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的记录ID |
|
事件ID |
需要处置的黑进程的关联事件ID |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的事件ID |
样例
获取黑进程隔离结果
查询“深信服安全感知平台”的“隔离黑进程”动作的隔离结果。
|
字段 |
作用 |
策略执行时填写内容 |
|
资产ID |
需要处置黑进程的资产ID |
|
|
文件ID |
需要处置的文件ID |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的文件ID |
|
文件MD5 |
需要处置的文件MD5 |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的文件MD5 |
|
文件类型 |
需要处置的文件类型 |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的文件类型 |
|
记录ID |
需要处置的记录ID |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的记录ID |
|
事件ID |
需要处置的黑进程的关联事件ID |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的事件ID |
样例
查询是否获取到黑进程隔离结果
查询“深信服安全感知平台”的“获取黑进程隔离结果”动作是否获取到黑进程隔离结果。
|
字段 |
作用 |
策略执行时填写内容 |
|
资产ID |
需要处置黑进程的资产ID |
|
|
任务ID |
查询黑进程隔离结果的任务ID |
从前序策略节点(深信服安全感知平台-获取黑进程隔离结果)的输出结果中获取对应的任务ID |
|
文件ID |
需要处置的文件ID |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的文件ID |
|
文件MD5 |
需要处置的文件MD5 |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的文件MD5 |
|
文件类型 |
需要处置的文件类型 |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的文件类型 |
|
记录ID |
需要处置的记录ID |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的记录ID |
|
事件ID |
需要处置的黑进程的关联事件ID |
从前序策略节点(深信服安全感知平台-获取事件的黑进程)的输出结果中获取对应的事件ID |
样例
获取事件未处置的进程取证文件
获取安全感知平台的事件中包含的未处置的进程取证文件。
|
字段 |
作用 |
策略执行时填写内容 |
|
事件ID |
需要查询未处置的进程取证文件的事件ID |
|
样例
提示进程取证文件为已处置
将“深信服安全感知平台”的“获取事件未处置的进程取证文件”动作查询到的进程取证文件标记为已处置。
|
字段 |
作用 |
策略执行时填写内容 |
|
事件ID |
需要调整未处置的进程取证的文件为处置完成的事件ID |
|
|
文件ID |
需要调整为处置完成的进程取证文件的ID |
从前序策略节点(深信服安全感知平台-获取事件未处置的进程取证文件)的输出结果中获取对应的文件ID |
|
文件MD5 |
需要调整为处置完成的进程取证文件的MD5 |
从前序策略节点(深信服安全感知平台-获取事件未处置的进程取证文件)的输出结果中获取对应的文件MD5 |
样例
建议使用Chrome浏览器访问!
