更新时间:2023-05-12 GMT+08:00
事件概览
背景信息
华为乾坤识别出威胁事件后,经过进一步智能处置,将威胁事件分为外部攻击源、失陷主机和恶意文件三种类型。
威胁事件页面默认显示近30天的数据。租户可以单击右上角的威胁周期页签,指定页面显示某个特定时间段内的数据。当租户选定“更多”页签时,页面将显示近3个月的数据。
租户在使用服务期间,数据留存的最长期限为3个月,超过3个月的数据将丢弃。
某些特殊场景下的威胁事件,会在参数列打上对应标签:
- 攻击成功的威胁事件在“事件名称”栏打上“攻击成功”标签。
- 采用旁路模式上线的设备检测到的威胁事件,“攻击状态”栏将打上“旁路”标签。旁路模式的设备无法对流量进行阻断。
威胁事件支持“按事件类型”和“按站点”查看。两种方式呈现维度不同,但涉及的威胁事件相同。如果没有特殊说明,以下章节对外部攻击源、失陷主机、恶意文件的详细介绍均以“按事件类型”查看为例。
高等级租户享有对自身及下级租户威胁事件的查看、处置权限。
操作步骤
“按事件类型”查看时,威胁事件页面由事件概览、外部攻击源、失陷主机、恶意文件几个模块组成。
图1 按事件类型查看
“按站点”查看时,威胁事件页面以站点维度显示各站点下的威胁事件,单击“站点详情”可以查看站点模型。
站点是基于地理信息的设备集合,是设备分域的最小单位,是网络、安全质量评估的对象。租户可以将同一范围内的设备添加到同一站点中,在平台统一监测和管理。
华为乾坤根据天关在不归属于任何站点期间内提供的威胁日志,进行聚合后得出的威胁事件,将会被纳入“未知站点”。
图2 按站点查看
父主题: 处置威胁事件
