更新时间:2023-05-12 GMT+08:00
外部攻击源
前提条件
已完成黑白名单授权。
背景信息
华为乾坤根据天关提供的日志判断威胁事件的发出区域、到达区域,如果威胁事件的发出区域位于非信任域或混合域,则此威胁事件被识别为外部攻击源。
针对外部攻击源,华为乾坤有如下几种处置方式:
- 华为乾坤智能分析后成功下发IP黑名单,其状态显示为“已封禁”。
- 华为乾坤智能分析后无法下发IP黑名单,由业务运营人员进一步分析后手动成功下发IP黑名单,其状态显示为“已封禁”。
- 华为乾坤智能分析和业务运营人员根据现有信息无法处置时,需要租户进行人工处置,其状态显示为“未处置”。
租户需要对“未处置”的外部攻击源进行处置,处置方法包括封禁攻击源和标记状态(已人工处置、已忽略)。
购买如下版本时,才能使用华为乾坤自动下发IP黑名单和业务运营人员分析功能。
- 同时购买边界防护与响应服务标准版+自动阻断
- 边界防护与响应服务专业版
- 边界防护与响应服务高级版
- 边界防护与响应服务试用版
操作步骤
- 登录华为乾坤控制台,选择 。
- 在右上角菜单栏选择“威胁事件”。
- 查看外部攻击源概览,单击数据或“查看更多”进入对应处理页面。
图1 外部攻击源概览
- 针对未处置的外部攻击执行处置操作,包括以下几种处置方法。
- 封禁攻击源
当确认此IP地址为外部攻击源地址,此时可在操作列单击“封禁攻击源”下发IP黑名单。
华为乾坤向天关下发IP黑名单后,由天关对黑名单IP执行封禁操作,来自黑名单IP的请求和去往黑名单IP的请求都会被阻断。
设备存在绑定热备场景。当两台设备均已成功上线并绑定热备,主设备无法正常工作时,备设备会在短时间内进行替代,完全实现主设备功能。以事件维度进行封禁攻击源操作时,会对绑定热备的两台设备同时下发IP黑名单,在历史IP黑名单中显示两条记录。
图2 封禁攻击源 - 标记状态
如果您不知如何处置,或者处置后未能有效解决,请求助对应MSSP安全云服务商或渠道商。
- 封禁攻击源
后续处理
- 外部攻击源的攻击源IP前显示攻击源IP所在国家国旗,鼠标悬停在国旗上可显示国名。您可以单击外部攻击源列表中的攻击源IP,查看此外部攻击源详情页面。
- 外部攻击源详情页面包含处置建议、操作记录、外部攻击源分析、关联威胁事件列表等信息。
- 您可以单击“导出详情”,导出包含外部攻击源详细信息的Word格式文件。
图4 外部攻击源详情页面
导出完成后,请单击右上角帐号,选择“下载中心”,下载对应文件。
图5 下载中心 - 您可以单击外部攻击源详情页面中关联威胁事件列表中的事件名称,查看此事件的详情页面。
图6 事件详情页面
外部攻击源详情页面可能涉及公网地址,仅用于事件信息展示以帮助用户了解威胁事件,服务不会主动发起与这些公网地址的连接。
- 您可以单击“导出详情”,导出包含外部攻击源详细信息的Word格式文件。
父主题: 处置威胁事件