自动响应规则
配置自动化威胁响应
自动响应规则可以在检测到威胁时自动执行预设操作,提高响应效率。
创建规则
- 进入 设置 > 自动响应
- 点击 创建规则
- 配置触发条件和响应动作
触发条件
按严重程度
| 条件 | 描述 |
|---|---|
| 高危威胁 | 相似度 > 90% |
| 中危威胁 | 相似度 70-90% |
| 任意威胁 | 所有检测到的威胁 |
按来源
- CT Log 扫描发现
- DNS 扫描发现
- Google 搜索发现
- Beacon 触发
响应动作
| 动作 | 描述 |
|---|---|
| 发送告警 | 触发邮件/Slack/Webhook 通知 |
| 自动截图 | 获取钓鱼页面截图 |
| 发起下架 | 自动向托管商发起下架申请 |
| 数据污染 | 启动数据污染任务 |
| Webhook | 调用自定义 Webhook |
规则示例
高危威胁自动响应
名称: 高危威胁自动响应
触发条件:
- 严重程度: 高危
响应动作:
- 发送告警(邮件 + Slack)
- 自动截图
- 发起下架申请
Beacon 触发响应
名称: Beacon 触发响应
触发条件:
- 来源: Beacon 触发
响应动作:
- 发送告警(Webhook)
- 记录访问者信息
规则优先级
当多条规则同时匹配时,按以下顺序执行:
- 按创建时间排序,先创建的规则优先
- 同一威胁不会重复执行相同动作
- 可设置规则为「仅执行一次」或「持续监控」
最佳实践
- 分级响应 - 为不同严重程度配置不同强度的响应
- 避免过度 - 不要对低危威胁配置激进响应
- 测试验证 - 新规则先在测试环境验证
- 定期优化 - 根据实际效果调整规则参数
自动下架和数据污染功能仅限专业版及以上套餐使用。