问：

在 SOAR 应用实践中,遇到防火墙 IP 策略组有长度限制该怎么办？如何有效避免填满策略组？

答：

要解决这个问题，针对不同型号的防火墙会略有不同。大致上有三种方法：

1）定期优化策略组

• 使用定时剧本，定期对将策略组的条目进行汇聚合并，去冗余等。
• 如果该策略组用于封禁阻挡，可以定期进行二次校验，比如联动威胁情报将已更新为无威胁/低威胁的 IP 地址进行删除。

2）使用时间阶梯式封禁

部分防火墙本身支持动态策略组（如：最大封禁时间）选项，因此考虑添加策略时，优先使用动态策略组。 但对于不支持动态策略组的防火墙，我们一般的做法是使用阶梯式封禁： A.在剧本中添加记录节点，记录下 IP 条目下发的时间 B.根据触发次数、威胁等级的不同，给相应的条目自动添加不同的最大封禁时间（如首次触发的 IP 封禁 10 分钟，二次触发的封禁 60 分钟等策略等）C.使用定时剧本，计算每个条目是否到达最大封禁时间，如果到达则下发解封。

3）下发前检查

这种方法与方法 1 类似，唯一的不同是，增加一个检查 IP 策略组的动作节点，在每次下发条目前，对当前 IP 策略组进行检查，直接跳过冗余的条目。

以上几种方法使用不同的策略将 IP 策略组里条目维持在最短，减小填满 IP 策略组的可能。

转载声明

本文转载自公众号：雾帜智能，转载链接：https://mp.weixin.qq.com/s/zqCWmNrYfGTFsi0g4UPtQQ