安全云脑 SECMASTER-攻击链路分析告警通知:剧本说明
剧本说明
攻击者攻击 域名 成功之后会对后端服务器进行攻击,因此针对此链路攻击的路径, 安全云脑 提供了攻击链路分析告警通知剧本。当攻击者通过层层攻击到主机之后,进行告警,通知运营人员进行处置。
“攻击链路分析告警通知”剧本已匹配“攻击链路分析告警通知”流程,该流程需要使用 消息通知 服务(Simple Message Notification, SMN )来创建安全云脑告警通知主题,并完成订阅即可接收到告警通知。
“攻击链路分析告警通知”流程是通过资产关联,查询对应HSS告警影响资产所关联的网站资产列表,流程预置默认查询最多3条网站资产。
- 如果有关联网站资产,则每条网站资产查询3小时前到现在这个时间段内对应的WAF告警数据(告警类型为XSS、SQL注入、命令注入、本地文件包含、远程文件包含、Webshell、漏洞攻击),同样的,最多查询3条告警数据。
- 如果有对应WAF告警,则将WAF告警数据与本条HSS告警数据进行关联,并通过消息通知服务(Simple Message Notification,SMN)通知到邮箱。