内置剧本

安全防线
剧本名 描述 数据类
主机安全 主机告警状态同步 自动同步主机告警状态 Alert
高危漏洞自动通知 对威胁等级为High的漏洞进行邮件或者短信通知 Vulnerability
攻击链路分析告警通知 针对攻击链路进行分析，如果主机产生告警，就会查看关联主机所属的网站，如果有对应网站信息且有告警，就进行告警通知 Alert
应用安全 WAF攻击自动化安全封堵 将告警里的源IP研判后封堵在WAF中 Alert
其他/通用 高危告警自动通知 对威胁级别为High或者Fatal的告警进行邮件或者短信通知 Alert
告警指标提取 将告警中IP信息抽取，通过情报系统进行验证，若为恶意IP，可以将IP信息设置成指标，并与源告警相互关联 Alert
重复告警自动关闭 将近7日内第二次及第二次以上出现的告警状态置为关闭，并关联7日内同名告警 Alert
自动更新告警名称 根据客户需要，筛选关键字段信息，拼接告警名称 Alert
告警ip指标打标 告警添加告警关联攻击源IP及目标IP的标签信息 Alert

安全防线	剧本名	描述	数据类
主机安全	主机告警状态同步	自动同步主机告警状态	Alert
高危漏洞自动通知	对威胁等级为High的漏洞进行邮件或者短信通知	Vulnerability
攻击链路分析告警通知	针对攻击链路进行分析，如果主机产生告警，就会查看关联主机所属的网站，如果有对应网站信息且有告警，就进行告警通知	Alert
应用安全	WAF攻击自动化安全封堵	将告警里的源IP研判后封堵在WAF中	Alert
其他/通用	高危告警自动通知	对威胁级别为High或者Fatal的告警进行邮件或者短信通知	Alert
告警指标提取	将告警中IP信息抽取，通过情报系统进行验证，若为恶意IP，可以将IP信息设置成指标，并与源告警相互关联	Alert
重复告警自动关闭	将近7日内第二次及第二次以上出现的告警状态置为关闭，并关联7日内同名告警	Alert
自动更新告警名称	根据客户需要，筛选关键字段信息，拼接告警名称	Alert
告警ip指标打标	告警添加告警关联攻击源IP及目标IP的标签信息	Alert

内置流程

安全防线
流程名称 描述 数据类
主机安全 主机告警状态同步 自动同步主机告警状态 Alert
高危漏洞自动通知 对威胁等级为High的漏洞进行邮件或者短信通知 Vulnerability
漏洞处理 调用主机安全接口修复主机漏洞 Vulnerability
策略管理-安全组阻断 将目标IP添加到所有安全组中 Policy
策略管理-安全组取消阻断 将目标IP从所有安全组中取消 Policy
主机一键隔离 将目标主机进行全端口的隔离 Alert
主机一键解封 将目标主机从隔离安全组中移除 Alert
攻击链路分析告警通知 针对攻击链路分析，主机告警影响资产关联网站资产有对应攻击告警进行告警通知 Alert
应用安全 WAF一键拦截 对目标IP封堵在该账号的WAF服务里的所有中策略 Alert
WAF一键解封 对目标IP从该账号的WAF服务里的目标策略组中解封 Alert
WAF攻击自动化安全封堵 将告警里的源IP研判后封堵在WAF中 Alert
策略管理-WAF阻断 将目标IP添加到WAF的黑名单中 Policy
策略管理-WAF取消阻断 将目标IP从WAF的黑名单中移除 Policy
网络安全 CFW一键拦截 将目标IP添加到CFW的黑名单中 Alert
CFW一键解封 将目标IP从CFW的黑名单中移除 Alert
策略管理-CFW阻断 将目标IP添加到CFW的黑名单中 Policy
策略管理-CFW取消阻断 将目标IP从CFW的黑名单中移除 Policy
其他/通用 高危告警自动通知 对威胁级别为High或者Fatal的告警进行邮件或者短信通知 Alert
告警指标提取 将告警中ip信息抽取，进行微步外部验证，置成指标，并与源告警相互关联 Alert
重复告警自动关闭 7日内第二次及第二次以上出现的告警状态置为关闭，并关联7日内同名告警 Alert
自动更新告警名称 根据客户需要，筛选关键字段信息，拼接告警名称 Alert
告警打ip标签 告警添加告警关联攻击源IP及目标IP的标签信息 Alert
一键解封 根据不同的告警数据源产品选择执行不同的解封子流程 Alert
一键阻断 根据不同的告警数据源产品选择执行不同的阻断子流程 Alert
态势感知（专业版）报告通知 态势感知（专业版）日报按钮或定时发送订阅人员 CommonContext

安全防线	流程名称	描述	数据类
主机安全	主机告警状态同步	自动同步主机告警状态	Alert
高危漏洞自动通知	对威胁等级为High的漏洞进行邮件或者短信通知	Vulnerability
漏洞处理	调用主机安全接口修复主机漏洞	Vulnerability
策略管理-安全组阻断	将目标IP添加到所有安全组中	Policy
策略管理-安全组取消阻断	将目标IP从所有安全组中取消	Policy
主机一键隔离	将目标主机进行全端口的隔离	Alert
主机一键解封	将目标主机从隔离安全组中移除	Alert
攻击链路分析告警通知	针对攻击链路分析，主机告警影响资产关联网站资产有对应攻击告警进行告警通知	Alert
应用安全	WAF一键拦截	对目标IP封堵在该账号的WAF服务里的所有中策略	Alert
WAF一键解封	对目标IP从该账号的WAF服务里的目标策略组中解封	Alert
WAF攻击自动化安全封堵	将告警里的源IP研判后封堵在WAF中	Alert
策略管理-WAF阻断	将目标IP添加到WAF的黑名单中	Policy
策略管理-WAF取消阻断	将目标IP从WAF的黑名单中移除	Policy
网络安全	CFW一键拦截	将目标IP添加到CFW的黑名单中	Alert
CFW一键解封	将目标IP从CFW的黑名单中移除	Alert
策略管理-CFW阻断	将目标IP添加到CFW的黑名单中	Policy
策略管理-CFW取消阻断	将目标IP从CFW的黑名单中移除	Policy
其他/通用	高危告警自动通知	对威胁级别为High或者Fatal的告警进行邮件或者短信通知	Alert
告警指标提取	将告警中ip信息抽取，进行微步外部验证，置成指标，并与源告警相互关联	Alert
重复告警自动关闭	7日内第二次及第二次以上出现的告警状态置为关闭，并关联7日内同名告警	Alert
自动更新告警名称	根据客户需要，筛选关键字段信息，拼接告警名称	Alert
告警打ip标签	告警添加告警关联攻击源IP及目标IP的标签信息	Alert
一键解封	根据不同的告警数据源产品选择执行不同的解封子流程	Alert
一键阻断	根据不同的告警数据源产品选择执行不同的阻断子流程	Alert
态势感知（专业版）报告通知	态势感知（专业版）日报按钮或定时发送订阅人员	CommonContext

内置资产连接

连接名称	插件	连接方式
CFW云服务认证凭据	HTTP	云服务委托
CFW认证资产	CFW	云服务委托
DBSS云服务认证凭据	DBSS	云服务委托
ECS云服务认证凭据	ECS	云服务委托
EIP云服务认证凭据	EIP	云服务委托
EPS云服务认证凭据	HTTP	用户名及密码
HSS云服务认证凭据	HSS	云服务委托
IAM云服务认证凭据	IAM	云服务委托
OBS云服务认证凭据	OBS	AK&SK
RDS云服务认证凭据	RDS	云服务委托
SecMaster云服务认证凭据	HTTP	云服务委托
SecMaster布局信息凭据	HTTP	云服务委托
SMN云服务认证凭据	SMN	云服务委托
VPC云服务认证	VPC	云服务委托
WAF云服务认证凭据	HTTP	云服务委托
WAF认证资产	WAF	云服务委托
告警处理业务方法集	SecMasterBiz	-
微步认证凭据	ThreatBook	其他
通用工具方法集	SecMasterUtilities	-
通知SMN处理人员凭证	HTTP	云服务委托
通知SMN运营人员凭证	HTTP	云服务委托

智算服务

应用商城

合作伙伴

开发者

支持与服务

了解天翼云

态势感知（专业版）（新版）

态势感知（专业版）（新版）

内置剧本

内置流程

内置资产连接

活动

智算服务

应用商城

合作伙伴

开发者

支持与服务

了解天翼云

态势感知（专业版）（新版）

态势感知（专业版）（新版）

内置剧本

内置流程

内置资产连接