1. 功能模块

1.1 自动封禁

自动封禁主要包含平台联动边界防护设备进行IP封禁管理的功能及操作。

1.1.1 IP封禁

IP封禁展示当前IP封禁情况，支持查找封禁IP、进行人工封禁/解禁、查看历史封禁记录、下载封禁记录等操作。

a. 查找封禁IP

用户可以通过被封禁的IP地址、封禁时间、封禁方式、防火墙查找封禁IP信息，查询条件控制下方统计分析图表及列表展示内容。

b. 封禁方式分布

展示自动化封禁和人工封禁占比分布情况。

c. IP封禁趋势

展示当前封禁总数、历史封禁总数，以及IP封禁趋势。

d. 封禁IP列表展示

展示已封禁的IP地址、封禁时间、封禁方式、防火墙数量（封禁/总数）、防火墙名称、封禁备注，点击操作中按钮可以解禁单个IP，选个多个IP后点击“批量解禁”可以批量多个IP。解禁时，可以查看当前IP封禁状态，并填解禁备注，解禁后IP不再展示在列表中。

e. 防火墙列表展示

展示防火墙厂商、防火墙名称、当前封禁IP数量及封禁数量上限。

f. 人工封禁

用户可以通过手动输入IP地址的方式人工封禁IP，支持输多个IP批量封禁，多个IP间用英文逗号或回车隔开，一次性最多封禁1000个IP，默认全部防火墙均执行封禁动作。

点击“封禁”按钮，当前输入IP会被封禁，同时将IP加入到黑名单中永久封禁，直到人工解封。点击“解禁”按钮，当前输入IP会被解禁，同时加入到白名单中。

g. 查看封禁历史

点击“封禁历史”可以查看所有历史解禁IP的IP地址、封禁时间、封禁方式解禁时间、解禁方式、防火墙名称、解禁备注，并支持通过IP地址、封禁时间、封禁方式、解禁时间、解禁方式查找封禁历史。

h. 下载封禁记录

点击“下载”按钮能够将当前封禁列表信息导出到Excel表格中，包括IP地址、封禁时间、封禁方式、防火墙名称、备注。

1.1.2 黑/白名单

黑/白名单用于管理被加入黑/白名单中的IP，黑名单中的IP被固定封禁，白名单中的IP不会被封禁。

（1）黑名单

a. 查找黑名单

用户可以通过IP地址、创建人查找黑名单，并在黑名单列表查看IP类型、IP地址、防火墙、创建人、超时时间、最近修改时间、备注。

b. 新增黑名单

点击“新增黑名单IP”，可以在黑名单中添加IP地址、选择防火墙、填写备注信息。

c. 维护黑名单

用户可以修改或删除单个黑名单信息，选中多个IP后点击“更多操作”可以批量删除IP或增加备注。

（2） 白名单

a. 查找白名单

用户可以通过IP类型、IP/IP段、创建人查找白名单，并在白名单列表中查看IP类型、IP/IP段、命中次数、最近命中告警名称、最近命中时间、创建人、最近修改时间、备注。

b. 新增白名单

点击“新增白名单IP”，可以将单IP、多IP、IP段、IP掩码加入白名单。

c. 维护白名单

用户可以修改或删除单个白名单信息，选中多个IP后点击“更多操作”可以批量删除IP或增加备注。

1.1.3 循环封禁IP池

循环封禁池是告警联动SOAR剧本进行周期封禁时，先将威胁源IP同步至循环封禁池，然后再下发至安全设备。

a. 查找IP

用户可以通过IP地址、封禁时间、防火墙、封禁原因查找IP。

b. 清空循环封禁IP池

点击“清空”按钮，将清空循环封禁IP池，清空后不可恢复。

1.2 SOAR

1.2.1 流程构建

点击“新增”按钮，填写必填信息后创建流程，流程信息将展示在列表中，通过操作类型、所有者、名称能够搜索流程。在状态列中能够点击启动或禁用流程，点击“运行情况”跳转到“执行结果”页面查看执行结果和执行动作，点击“设置”按钮能够编辑流程，点击“设置”按钮能够配置参数，点击“复制”按钮，能够复制当前流程脚本。

1.2.2 组件列表

用户能够通过组件名称、发布者筛选组件。点击“新增组件”，填写组件基本信息、资产配置、动作配置，提交后能够新增组件。在组件列表中能够编辑资产、编辑组件、上传后端Zip包、上传前端JS包、删除组件。

1.2.3 第三方包管理

默认选择pip安装，输入“包名”后点击安装。

选择zip安装，上传zip包后点击安装。

1.2.4 执行结果

（1） 执行结果

用户能够手动刷新执行结果，并通过关键字或高级条件搜索执行结果。

在列表中点击“动作列表”按钮，在“执行结果”页面，查看动作执行结果。

点击“查看数据源”按钮，能够查看数据源信息。

点击“查看剧本”按钮，能够跳转到“流程构建”页面，查看剧本构建过程，并支持对构建流程的优化和查看执行记录。

点击“重放”按钮，能够查看输入参数结果，并对参数进行编辑。

（2） 执行动作

在执行动作页面，能够关键字或高级条件搜索动作。在列表中，点击“查看剧本”，能够跳转到流程构建页面。点击“详情”按钮，能够查看执行结果详情。

2. 使用场景

2.1 手动封禁IP

2.1.1 选择需要封禁的防火墙并添加IP，并点击封禁

2.2.2 选择封禁类型并填写备注

2.2 自动化封禁IP配置

2.2.1 配置安全运营-SOAR-流程构建：period-block设置

2.2.2 执行次数选择多次，填写crontab表达式并验证触发时间。配置后soar即可定期执行

3.3.3 查看执行结果。在流程构建-历史执行记录，如果全都显示成功即为配置完成

2.3 关联分配置自动化封禁

2.3.1 配置一个符合预期的关联分析规则对数据进行清洗，并保存

2.3.2 配置关联分析基础告警信息

2.3.2 IP自动封禁规则并保存

说明：默认配置为：0 防火墙选择安全运营-自动封禁-IP封禁 中防火墙列表的名称

2.3.3 开启关联分析规则，并查看告警及IP封禁列表是否产生。

2.4 禁用自动化策略

安全运营-SOAR-流程构建：禁用该流程

关闭相关的关联分析规则即可

2.5 查看SOAR的报错日志

安全运营-SOAR-执行结果，查看对应时间的动作列表

查看对应防火墙的运行日志