外部攻击源

前提条件

已完成黑白名单授权。

背景信息

华为乾坤根据天关提供的日志判断威胁事件的发出区域、到达区域，如果威胁事件的发出区域位于非信任域或混合域，则此威胁事件被识别为外部攻击源。

针对外部攻击源，华为乾坤有如下几种处置方式：

• 华为乾坤智能分析后成功下发IP黑名单，其状态显示为“已封禁”。
• 华为乾坤智能分析后无法下发IP黑名单，由业务运营人员进一步分析后手动成功下发IP黑名单，其状态显示为“已封禁”。
• 华为乾坤智能分析和业务运营人员根据现有信息无法处置时，需要租户进行人工处置，其状态显示为“未处置”。

租户需要对“未处置”的外部攻击源进行处置，处置方法包括封禁攻击源和标记状态（已人工处置、已忽略）。

操作步骤

1. 登录华为乾坤控制台，选择“ > 我的服务 > 边界防护与响应”。
2. 在右上角菜单栏选择“威胁事件”。
3. 查看外部攻击源概览，单击数据或“查看更多”进入对应处理页面。
   图1 外部攻击源概览
   

4. 针对未处置的外部攻击执行处置操作，包括以下几种处置方法。
   • 封禁攻击源

     当确认此IP地址为外部攻击源地址，此时可在操作列单击“封禁攻击源”下发IP黑名单。

     华为乾坤向天关下发IP黑名单后，由天关对黑名单IP执行封禁操作，来自黑名单IP的请求和去往黑名单IP的请求都会被阻断。

     

     设备存在绑定热备场景。当两台设备均已成功上线并绑定热备，主设备无法正常工作时，备设备会在短时间内进行替代，完全实现主设备功能。以事件维度进行封禁攻击源操作时，会对绑定热备的两台设备同时下发IP黑名单，在历史IP黑名单中显示两条记录。

     图2 封禁攻击源
     
   • 标记状态
     • 已人工处置

       租户根据具体的事件采取人工处置，比如根据事件的源、目的地址查找目标主机，并对目标主机执行病毒查杀。处置完成后，在操作列将外部攻击标记为“已人工处置”。

     • 忽略

       租户经过排查后发现事件无需处理或者是误报时，在操作列将外部攻击标记为“忽略”。后续就无需再关注此事件。

   

   如果您不知如何处置，或者处置后未能有效解决，请求助对应MSSP安全云服务商或渠道商。

后续处理

• 外部攻击源的攻击源IP前显示攻击源IP所在国家国旗，鼠标悬停在国旗上可显示国名。您可以单击外部攻击源列表中的攻击源IP，查看此外部攻击源详情页面。
  您可以在高级搜索中设置筛选条件，单击“导出”，导出符合筛选条件的外部攻击源列表（Excel格式文件）；或勾选预导出的外部攻击源，单击“导出”，导出选中的外部攻击源列表。

  图3 外部攻击源列表
  
• 外部攻击源详情页面包含处置建议、操作记录、外部攻击源分析、关联威胁事件列表等信息。
  • 您可以单击“导出详情”，导出包含外部攻击源详细信息的Word格式文件。
    图4 外部攻击源详情页面

    

    导出完成后，请单击右上角帐号，选择“下载中心”，下载对应文件。

    图5 下载中心
    
  • 您可以单击外部攻击源详情页面中关联威胁事件列表中的事件名称，查看此事件的详情页面。
    图6 事件详情页面
    
  

  外部攻击源详情页面可能涉及公网地址，仅用于事件信息展示以帮助用户了解威胁事件，服务不会主动发起与这些公网地址的连接。