更新时间:2024-11-15 GMT+08:00
查看并处理蜜罐防护事件
操作场景
动态端口蜜罐功能默认主动连接蜜罐端口的主机都是内网失陷主机,一旦发现可疑的连接行为将会上报告警。
本章节介绍如何查看并处理这些防护告警事件。
查看并处理蜜罐防护事件
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 选择“动态端口蜜罐”界面。 ,进入
- (可选)如果您已开通企业项目,可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。
- 在操作指引下方,查看防护信息概览。
- 您可以查看防护策略数量、防护服务器数量、防护事件数量等信息。
- 如果您有新增主机需要默认开启动态端口蜜罐功能时,可开启“新增主机自动绑定默认策略”,按钮状态为表示开启。
图1 防护信息概览
- 选择“防护事件”页签,查看蜜罐防护事件。防护事件列表的参数说明请参见表 防护事件列表参数说明。
表1 防护事件列表参数说明 参数名称
参数说明
告警名称
告警事件名称。单击告警名称,可查看告警详情,告警详情信息请参见表 告警详情参数说明。
告警等级
告警威胁等级,蜜罐防护事件分为以下两个等级:
- 高危:远端主机多次连接蜜罐端口。
- 中危:远端主机连接了蜜罐端口。
告警摘要
告警事件关键信息摘要,您可以根据这些信息了解可能失陷的主机和该主机与蜜罐端口建立的连接行为。
影响资产
失陷主机连接的动态端口蜜罐服务器。
告警发生时间
告警发生的时间。
状态
告警处理状态,分为“已处理”和“待处理”。
操作
您可以对告警事件进行“处理”操作。
- 确认告警信息后,在“状态”为“待处理”的防护事件所在行的“操作”列,单击“处理”,弹出“处理告警事件”对话框。
如果您需要批量处理多个告警事件,可在告警事件列表左上角,单击“批量处理”。
- 选择处理措施。处理措施说明请参见表 处理告警事件参数说明。
- 单击“确认”,完成处理。
告警详情参数说明
告警详情页的相关参数说明请参见表 告警详情参数说明。
筛选不同处理状态的防护事件
在防护事件列表左上方的状态下拉框中,选择目标处理状态的防护事件进行查看。
图2 筛选防护事件