封IP， 在紅藍對抗、日常安全運營、hvv中都是最常見的防禦手段，然而，人工封禁的方式存在着大量的工作量，其中包括情報關聯、事件調查、規則判斷、封禁、解封。如果有種方式能夠更好、更快、更符合SOP流程的話，拿筆者認為，這種方式能夠覆蓋安全全場景，使安全事件能夠在第一時間進行有效處理。
自動化階梯封禁 整個劇本設計的難度在把所有的功能按照邏輯點進行子劇本拆分，具體來説有以下幾個步驟：

1）事件分類
  a. 事件可以根據攻擊方向進行分類，攻擊方向一般都是 內到外、外到內、內到內、外到外。
    * 內到外：指的是內部網絡向外部網絡發起攻擊，比如內網滲透到外網。
    * 外到內：指的是外部網絡向內部網絡發起攻擊，比如外網入侵內網。
    * 內到內：指的是內部網絡之間的攻擊，比如內網內的惡意軟件傳播。
    * 外到外：指的是外部網絡之間的攻擊，比如兩個不同網站之間的惡意競爭。每個攻擊方向都做成一個劇本實現。

 2）情報獲取
   a. 通過開源情報、商業情報等各種產品對IP信息進行情報分析，獲取攻擊者的地理位置、歷史攻擊記錄等信息，為後續的封禁提供依據。

  3）封禁規則

   a. 封禁規則這裏是核心邏輯，不同規則有不同的封禁時間。可以設置複雜邏輯，甚至可以進行歷史威脅統計分析後進行封禁。例如，可以根據攻擊者的攻擊頻率、攻擊時間、攻擊目標等因素來設置不同的封禁時間，以達到最優的防禦效果。
   b. 可以設置複雜邏輯，甚至可以進行歷史威脅統計分析後進行封禁。

 

  4）封禁處置

   a. 封禁在防火牆或者WAF上執行，通過添加封禁規則或者黑名單等方式實現封禁。同時，也可以將封禁信息同步給其他安全設備，以實現協同防禦。

  5）定時解封

   a. 這裏我們使用劇本節點中的定時執行這個能力進行延時解封。例如，可以在凌晨時分進行解封，避免影響正常業務。同時，也可以根據實際情況進行手動解封，以應對一些特殊情況

  至此，自動化階梯封禁已經實現，我們只需要在事件管理中配置一個事件類型綁定 XXX安全處置 劇本後在進行 事件接入 就可以實現自動化。

添加一個事件類型

   配置一個事件接入

   自動封禁我們就實現啦～敬請關注OctoMation的知識星球和GitHub，以獲取更多信息。以上所提及的劇本、應用，均可隨時進行下載和使用。 

我們的GitHub (裏面有小助手和羣二維碼哦):https://github.com/flagify-com/OctoMation 
我們的知識星球