更新时间:2023-05-12 GMT+08:00

失陷主机

前提条件

已完成黑白名单授权

背景信息

华为乾坤根据天关提供的日志判断威胁事件的发出区域、到达区域,如果威胁事件的发出区域位于信任域,则此威胁事件被识别为失陷主机。

根据失陷类型的不同,业务运营人员可以为失陷主机打上“勒索”“挖矿”“蠕虫”“远控”“漏洞攻击”“不安全配置”等标签,暂未识别失陷类型的归入“其他”

为了不影响租户内部主机的业务,针对失陷主机,华为乾坤(包括自动下发和业务运营人员下发)有如下几种处置方式:

  • 对于恶意域名检测类型的事件,华为乾坤智能分析后成功下发域名黑名单的,其状态显示为“已隔离”,同时发送短信和邮件通知用户。用户再次访问域名黑名单中的域名时,设备会上报告警日志。
  • 对于恶意域名检测类型的事件,华为乾坤智能分析后没有成功下发域名黑名单的,或其他类型的事件,华为乾坤向租户发送短信和邮件告警,同时将失陷主机的状态置为“未处置”

已发送短信或邮件告警的失陷主机在威胁事件列表中显示标记。租户需要进一步确认和处置,处置方法包括隔离主机和标记状态(已人工处置、忽略)。

USG6603F-C天关、USG6000F防火墙不支持下发域名黑名单功能。USG6000E-C天关、USG6000E防火墙支持自动下发域名黑名单功能,且同时满足如下条件时,才能正常使用自动下发域名黑名单功能。
  • 购买边界防护与响应服务试用版边界防护与响应服务高级版或同时购买边界防护与响应服务标准版+自动阻断。
  • 设备上存在名称为“trust-untrust”的安全策略。
  • 设备上存在名称为“huawei_qiankun_dns”的DNS过滤配置文件(此配置文件在设备上线过程中由华为乾坤自动下发,且默认动作为告警)。

操作步骤

  1. 登录华为乾坤控制台,选择 > 我的服务 > 边界防护与响应
  2. 在右上角菜单栏选择“威胁事件”
  3. 查看失陷主机概览,并单击数据或“查看更多”进入相应处理页面。

    图1 失陷主机概览

  4. 针对未处置的失陷主机事件执行处置操作,包括以下几种处置方法。

    • 隔离主机

      当确认此失陷主机上无业务运行,或者隔离后不影响正常业务,此时可在操作列单击“隔离主机”下发IP黑名单。

      华为乾坤向天关下发IP黑名单后,由天关对黑名单IP执行隔离操作,来自黑名单IP的请求和去往黑名单IP的请求都会被阻断。

      设备存在绑定热备场景。当两台设备均已成功上线并绑定热备,主设备无法正常工作时,备设备会在短时间内进行替代,完全实现主设备功能。以事件维度进行隔离主机操作时,会对绑定热备的两台设备同时下发IP黑名单,在历史IP黑名单中显示两条记录。

      图2 隔离主机
    • 标记状态
      • 已人工处置

        租户根据具体的事件采取人工处置,比如对失陷主机执行病毒查杀,并确认此主机已无安全风险后,在操作列将失陷主机标记为“已人工处置”

      • 忽略

        租户经过排查后发现失陷主机无需处理或者是误报时,在操作列将失陷主机标记为“忽略”。后续就无需再关注此事件。

    • 处置建议中可能包含处置手册下载链接,可供您参考。
    • 如果您不知如何处置,或者处置后未能有效解决,请求助对应MSSP安全云服务商或渠道商。

后续处理

  • 您可以单击失陷主机列表中的失陷主机IP,查看此失陷主机详情页面。
    图3 失陷主机列表
  • 失陷主机详情页面包含处置建议、操作记录、失陷类型分析和关联威胁事件列表等信息。
    • 您可以单击“导出详情”,导出包含失陷主机详细信息的Word格式文件。
      图4 失陷主机详情页面

      导出完成后,请单击右上角帐号,选择“下载中心”,下载对应文件。

      图5 下载中心
    • 您可以单击失陷主机详情页面中关联威胁事件列表中的事件名称,查看此事件的详情页面。
      图6 事件详情页面

    失陷主机详情页面可能涉及公网地址,仅用于事件信息展示以帮助用户了解威胁事件,服务不会主动发起与这些公网地址的连接。