失陷主机

前提条件

已完成黑白名单授权。

背景信息

华为乾坤根据天关提供的日志判断威胁事件的发出区域、到达区域，如果威胁事件的发出区域位于信任域，则此威胁事件被识别为失陷主机。

根据失陷类型的不同，业务运营人员可以为失陷主机打上“勒索”、“挖矿”、“蠕虫”、“远控”、“漏洞攻击”、“不安全配置”等标签，暂未识别失陷类型的归入“其他”。

为了不影响租户内部主机的业务，针对失陷主机，华为乾坤（包括自动下发和业务运营人员下发）有如下几种处置方式：

对于恶意域名检测类型的事件，华为乾坤智能分析后成功下发域名黑名单的，其状态显示为“已隔离”，同时发送短信和邮件通知用户。用户再次访问域名黑名单中的域名时，设备会上报告警日志。
对于恶意域名检测类型的事件，华为乾坤智能分析后没有成功下发域名黑名单的，或其他类型的事件，华为乾坤向租户发送短信和邮件告警，同时将失陷主机的状态置为“未处置”。

已发送短信或邮件告警的失陷主机在威胁事件列表中显示标记。租户需要进一步确认和处置，处置方法包括隔离主机和标记状态（已人工处置、忽略）。

USG6603F-C天关、USG6000F防火墙不支持下发域名黑名单功能。USG6000E-C天关、USG6000E防火墙支持自动下发域名黑名单功能，且同时满足如下条件时，才能正常使用自动下发域名黑名单功能。

购买边界防护与响应服务试用版、边界防护与响应服务高级版或同时购买边界防护与响应服务标准版+自动阻断。
设备上存在名称为“trust-untrust”的安全策略。
设备上存在名称为“huawei_qiankun_dns”的DNS过滤配置文件（此配置文件在设备上线过程中由华为乾坤自动下发，且默认动作为告警）。

操作步骤

登录华为乾坤控制台，选择“ > 我的服务 > 边界防护与响应”。
在右上角菜单栏选择“威胁事件”。
查看失陷主机概览，并单击数据或“查看更多”进入相应处理页面。

图1 失陷主机概览
针对未处置的失陷主机事件执行处置操作，包括以下几种处置方法。
- 隔离主机
   当确认此失陷主机上无业务运行，或者隔离后不影响正常业务，此时可在操作列单击“隔离主机”下发IP黑名单。
  
  华为乾坤向天关下发IP黑名单后，由天关对黑名单IP执行隔离操作，来自黑名单IP的请求和去往黑名单IP的请求都会被阻断。
  
  设备存在绑定热备场景。当两台设备均已成功上线并绑定热备，主设备无法正常工作时，备设备会在短时间内进行替代，完全实现主设备功能。以事件维度进行隔离主机操作时，会对绑定热备的两台设备同时下发IP黑名单，在历史IP黑名单中显示两条记录。
  
  图2 隔离主机
- 标记状态
  - 已人工处置
     租户根据具体的事件采取人工处置，比如对失陷主机执行病毒查杀，并确认此主机已无安全风险后，在操作列将失陷主机标记为“已人工处置”。
  - 忽略
     租户经过排查后发现失陷主机无需处理或者是误报时，在操作列将失陷主机标记为“忽略”。后续就无需再关注此事件。
- 处置建议中可能包含处置手册下载链接，可供您参考。
- 如果您不知如何处置，或者处置后未能有效解决，请求助对应MSSP安全云服务商或渠道商。

后续处理

您可以单击失陷主机列表中的失陷主机IP，查看此失陷主机详情页面。
图3 失陷主机列表
失陷主机详情页面包含处置建议、操作记录、失陷类型分析和关联威胁事件列表等信息。
- 您可以单击“导出详情”，导出包含失陷主机详细信息的Word格式文件。
  图4 失陷主机详情页面
  
  导出完成后，请单击右上角帐号，选择“下载中心”，下载对应文件。
  
  图5 下载中心
- 您可以单击失陷主机详情页面中关联威胁事件列表中的事件名称，查看此事件的详情页面。
  图6 事件详情页面
失陷主机详情页面可能涉及公网地址，仅用于事件信息展示以帮助用户了解威胁事件，服务不会主动发起与这些公网地址的连接。