失陷主机

前提条件

• 已使用租户帐号登录华为乾坤控制台。
• 已完成黑白名单授权。

背景信息

华为乾坤按照以下顺序判定威胁事件是否为失陷主机。

1. 如果是信任域内的主机存在攻击行为，判定为失陷主机。信任域的具体信息请参见配置设备安全域。
2. 如果是全局白名单内的IP地址存在攻击行为，判定为失陷主机。全局白名单的具体信息请参见配置全局白名单。
3. 如果是在不可信内网地址内的主机存在攻击行为，不判定为失陷主机。不可信内网地址的具体信息请参见配置不可信内网地址。
4. 如果是缺省私网网段内的IP地址存在攻击行为，判定为失陷主机。缺省私网网段指10.0.0.0～10.255.255.255、172.16.0.0～172.31.255.555、192.168.0.0～192.168.255.255。

根据失陷类型的不同，安全运营专家可以为失陷主机打上“勒索”、“挖矿”、“蠕虫”、“远控”、“漏洞攻击”、“不安全配置”等标签，暂未识别失陷类型的归入“其他”。

针对失陷主机，华为乾坤向租户发送短信和邮件告警，失陷主机的状态置为“未处置”。租户需要进一步确认和处置，处置方法包括隔离主机和标记状态（已修复、忽略）。

操作步骤

1. 参考威胁事件处置入口选择一种操作入口，进入“外部攻击源”的威胁事件列表。

   本章节以“安全运营中心（威胁事件）”入口为例。

2. 筛选待处置事件，即“事件处置状态”为“未处置”、“处置失败”和“事件超时关闭”的事件。
   

   当威胁事件关联的设备所在的站点发生变化，或关联的租户被删除时，如果在变化前威胁事件的“事件处置状态”为“未处置”、“处置中”或“处置失败”，则该状态将更新为“事件超时关闭”，且该事件将无法继续处置。

   图1 失陷主机待处置事件

   

3. 单击待处理事件的“失陷主机”列，查看威胁事件详情，根据“处置建议”以及本步骤内容，完成处置。

   完成处置后，可以在“处置记录”页签查看处置记录。

   

   • 当与威胁事件关联的告警事件超过1000条时，系统将生成新的威胁事件。

     此时，您在威胁事件页面会看到多条具有相同IP和设备SN的事件。当您对其中任何一条执行“隔离主机”操作时，所有相同IP和设备SN的威胁事件的“事件处置状态”都会被更新为“已隔离”。

   • 失陷主机详情页面可能涉及公网地址，仅用于事件信息展示以帮助用户了解威胁事件，服务不会主动发起与这些公网地址的连接。
   • 处置建议中可能包含处置手册下载链接，可供您参考。
   • 如果您不知如何处置，或者处置后未能有效解决，请求助对应安全云服务商或渠道商。
   图2 失陷主机威胁事件详情

   

   • 隔离主机

     当确认此失陷主机上无业务运行，或者隔离后不影响正常业务，此时可在操作列单击“隔离主机”下发IP黑名单。

     华为乾坤向天关/防火墙下发IP黑名单后，由天关/防火墙对黑名单IP执行隔离操作，来自黑名单IP的请求和去往黑名单IP的请求都会被阻断。

     

     设备存在绑定热备场景。当两台设备均已成功上线并绑定热备，主设备无法正常工作时，备设备会在短时间内进行替代，完全实现主设备功能。以事件维度进行隔离主机操作时，会对绑定热备的两台设备同时下发IP黑名单，在历史IP黑名单中显示两条记录。

     图3 隔离主机

     

     如果失陷主机的处置状态被打上标记，表示“隔离已解除”。

   • 标记状态
     • 已修复

       租户根据具体的事件采取人工处置并完成修复，比如对失陷主机执行病毒查杀，并确认此主机已无安全风险。

       人工处置完成后，将此事件标记为“已修复”。

     • 忽略

       租户经过排查后发现失陷主机无需处理或者是误报时，在操作列将失陷主机标记为“忽略”。后续就无需再关注此事件。

     • 未处置

       对于已处置过或已标记过状态的威胁事件，如果想再次处置，可以标记成“未处置”。

       标记为“未处置”后，可以对此事件再处置。

后续处理

• 您可以单击失陷主机列表中的失陷主机IP，查看此失陷主机详情页面。
• 失陷主机详情页面包含处置建议、处置记录、失陷类型分析和关联告警事件列表等信息。
  • 您可以单击“导出详情”，导出包含失陷主机详细信息的Word格式文件。

    导出完成后，将鼠标悬停在右上角帐号，单击“下载中心”，下载对应文件。

    图4 下载中心

    

  • 您可以单击失陷主机详情页面中关联告警事件列表中的事件名称，查看此事件的详情页面。
    图5 事件详情页面