在前面幾天架設好了監控與威脅整合系統後,今天重點是建立事件通報及回應機制,並透過簡易的自動防禦腳本來提升應對效率,藉此減少當資安事件發生時的人為延遲。
(之前有做過自動化,但感覺內容很不完整!應該會把那篇修改成其他資安資訊!)
定義事件分類
事件通報程序
回應步驟
這個腳本可擷取Wazuh或Suricata警報中帶有惡意IP的記錄,自動添加防火牆規則進行封鎖。
#!/bin/bash
BLOCKLIST="/var/log/malicious_ips.txt"
while IFS= read -r ip
do
echo "封鎖IP:$ip"
sudo iptables -I INPUT -s $ip -j DROP
done < "$BLOCKLIST"
malicious_ips.txt
後,執行此腳本達成自動防禦。ssh invaliduser@localhost
多次執行引發異常登入警報。
利用curl模擬多次連線到惡意IP清單(前提是在Wazuh或Suricata中有設定Detection此類IP)
檢查Kibana監控儀表板是否即時顯示警報,並驗證自動封鎖腳本是否成功將惡意IP加入iptables。
透過建立清晰的事件回應SOP與輔助自動化腳本,單人藍隊能快速面對突發事件,提升偵測告警的實際防護價值!