更新时间:2023-05-12 GMT+08:00

黑白名单授权

背景信息

  • 天关向华为乾坤提供日志后,华为乾坤将使用自动化分析模型进行分析判定,并根据分析结果自动执行下发IP黑名单操作或向租户发送告警。对于未命中分析模型的事件,则交给业务运营人员处置,比如执行下发IP黑名单操作。只有在租户授予黑名单管理权限后,华为乾坤才可以对此租户的设备自动执行下发IP黑名单操作,业务运营人员也才可以对此租户的设备执行下发IP黑名单操作。

    华为乾坤自动下发的IP黑名单有效期为2天。业务运营人员下发IP黑名单的有效期由其在执行下发操作时设置。

  • 天关向华为乾坤提供日志后,华为乾坤将使用自动化分析模型进行分析判定,并根据分析结果自动执行下发域名黑名单。只有在租户授予黑名单管理权限后,华为乾坤才可以对此租户的设备自动执行下发域名黑名单操作。

目前仅一级租户享有黑白名单的授权权限。

操作步骤

  1. 登录华为乾坤控制台,选择 > 我的服务 > 边界防护与响应
  2. 在右上角菜单栏选择服务配置 > 授权管理 > 黑白名单授权
  3. 确认已完成地址安全域管理后,进行授权。

    图1 黑白名单授权

    按照以下步骤完成地址安全域配置,华为乾坤才能正确下发IP黑名单。

    1. 配置设备安全域

      只有当威胁事件的发出区域位于非信任域时,华为乾坤才会对此威胁事件下发IP黑名单。因此您需要将相应的安全区域添加到非信任域。

    2. 配置全局白名单

      配置后华为乾坤(包括自动下发、业务运营人员下发)不能将全局白名单中的地址当做IP黑名单下发给天关,保证华为乾坤能够正确下发IP黑名单。

    3. 配置不可信内网地址

      配置后华为乾坤(包括自动下发、业务运营人员下发)才能将这些内网地址当作IP黑名单下发给天关,保证华为乾坤能够正确下发IP黑名单。

后续处理

为功能授权后,您可以进行以下操作:

  • 管理黑白名单
  • 按照实际需要,随时“取消授权”或重新“授权”