响应中心
最近更新时间: 2024-06-12 15:06:00
通过响应中心,可以在发现安全事件或漏洞事件后进一步处置操作。目前支持工单通报,包括人工处置工单和联动 SOAR(自动化安全运营平台)的自动处置工单。
1 处置任务
针对本系统分析出的安全告警及资产脆弱性,管理员可通过通报处置工单平台将不同的安全告警、事件及脆弱性按需下发给相关流转组或责任人进行处置,实现安全运营的分级响应与处置。
1.1 人工处置工单
进入响应中心 > 处置任务 > 人工处置工单,对于租户用户,只能看到自己创建和负责的工单信息;对于非租户用户,可以看到所有人工处置工单信息,如图41-所示。 对于超过2个责任人/流转组的工单,将鼠标悬浮在“多个(n)”即可显示具体的责任人或流转组名称。
图41-人工处置工单列表
1.1.1 新建工单
在人工处置工单列表的上方,单击【新建】进入创建工单页面。创建一个完整的工单步骤如下: 步骤1:在新建工单页面右侧填写个人信息,在页面左侧填写处置描述(支持三种模板),如图42-所示。
图42-新建工单(填写个人信息和处置描述)
步骤2:在新建工单页面左侧填写处置信息。若有告警需要处置,可以选择一个或多个告警,如图43-所示;若有漏洞需要处置,可以选择一个或多个漏洞,如图44-所示。
图43-新建工单(填写处置信息-要处置的告警)
步骤3:填写流转信息。选择下一阶段的处置动作、责任人/流转组、期望完成时间和逾期通知时间,如图45-所示。
图45-新建工单(填写流转信息)
步骤4:工单设置完毕,单击【确定】,该工单进入下一阶段,该工单下一阶段的责任人登录系统后会收到新工单的通知。
1.1.2 筛选/搜索工单
在人工处置工单列表的上方,可以通过以下条件进行人工处置工单的筛选/搜索:
时间范围(近24小时、近7天、近30天或自定义起止时间)
事件等级(极高危、高危、中危、低危或全部事件等级)
事件类型(有害程序事件、网络攻击事件、信息失窃密事件、信息内容安全事件、设备设施故障、灾害性事件、其他或全部事件类型)
工单创建人
工单责任人
工单逾期状态(是、否或全部逾期状态)
工单当前的处置动作(事件发现、事件研判、事件抑制、事件根除、事件溯源、事件关闭和全部处置动作)
在人工处置工单列表中,单击表头“ID”、“创建时间”或“工单处置时长”,可以按照工单ID、工单的创建时间或工单处置时长进行排序。
1.1.3 编辑工单
在人工处置工单列表中,单击工单名称即可进入人工处置工单的详情页,只有超级管理员角色的用户才有权限编辑工单。对于当前处置动作为“事件关闭”的工单,无法编辑。 如图46-所示,除了期望工单完成时间、逾期通知及通知方式,其余各项均可编辑。
图46-编辑人工处置工单
1.1.4 认领工单
在人工处置工单列表中,单击工单名称进入人工处置工单的详情页,认领工单的说明如下:
对于当前处置动作为“事件关闭”的工单,无法进行认领工单。
若当前用户是当前阶段的处置人或归属在处置组中,可以进行处置工单的操作。
若当前用户不是当前阶段的处置人或归属在处置组中,单击【认领工单】即可认领该工单。认领成功后,按钮变为【处置工单】,当前用户被加到当前阶段的处置人中。
1.1.5 处置工单
只有工单的当前责任人,才可进行处置工单的操作。 在人工处置工单列表中,单击工单名称进入人工处置工单的详情页,单击【处置工单】即可进行各项处置操作,如图47-所示。
图47-处置工单
1.1.6 删除工单
在人工处置工单列表中,单击【删除】,确认后将删除对应的工单。
说明:
1)工单一旦删除,将不可恢复,请谨慎操作。
2)只有工单的创建用户和超级管理员角色,才有删除工单的权限。
1.2 自动处置工单
使用自动处置工单之前,需要在运营端参考《API接口说明》进行自动工单API接口的设置。 进入响应中心> 处置任务> 自动处置工单,自动处置工单列表中显示联动 SOAR系统中自动创建的工单,如图48-所示。
图48-自动处置工单列表
1.2.1 筛选/搜索工单
在自动处置工单列表的上方,可以通过以下条件进行自动处置工单的筛选/搜索:
工单优先级(严重、高危、中危、低危、信息和全部优先级)
工单状态(待处置、处置中、已处置、误报和全部状态)
事件名称的关键词
在自动处置工单列表中,单击表头“事件名称”或“时间”,可以按照触发工单的事件名称或时间进行排序。
1.2.2 查看工单详情
在自动处置工单列表中,单击事件名称或者操作栏下的【详情】,即可查看工单详情并安排工单,如图49-所示。 工单详情包括触发工单的事件名称、工单状态、事件的威胁等级/可信度等级/诊断结果、事件的基础信息和扩展信息。
图49-查看工单详情
1.2.3 安排工单
在自动处置工单列表中,单击操作栏下的【安排】,即可将对应的工单进行流转。操作方法详见新建工单。