更新时间:2024-11-15 GMT+08:00

查看并处理蜜罐防护事件

操作场景

动态端口蜜罐功能默认主动连接蜜罐端口的主机都是内网失陷主机,一旦发现可疑的连接行为将会上报告警。

本章节介绍如何查看并处理这些防护告警事件。

查看并处理蜜罐防护事件

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 选择主机防御 > 动态端口蜜罐,进入“动态端口蜜罐”界面。
  4. (可选)如果您已开通企业项目,可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。
  5. 在操作指引下方,查看防护信息概览。

    • 您可以查看防护策略数量、防护服务器数量、防护事件数量等信息。
    • 如果您有新增主机需要默认开启动态端口蜜罐功能时,可开启“新增主机自动绑定默认策略”,按钮状态为表示开启。
    图1 防护信息概览

  6. 选择“防护事件”页签,查看蜜罐防护事件。防护事件列表的参数说明请参见表 防护事件列表参数说明

    表1 防护事件列表参数说明

    参数名称

    参数说明

    告警名称

    告警事件名称。单击告警名称,可查看告警详情,告警详情信息请参见表 告警详情参数说明

    告警等级

    告警威胁等级,蜜罐防护事件分为以下两个等级:

    • 高危:远端主机多次连接蜜罐端口。
    • 中危:远端主机连接了蜜罐端口。

    告警摘要

    告警事件关键信息摘要,您可以根据这些信息了解可能失陷的主机和该主机与蜜罐端口建立的连接行为。

    影响资产

    失陷主机连接的动态端口蜜罐服务器。

    告警发生时间

    告警发生的时间。

    状态

    告警处理状态,分为“已处理”“待处理”

    操作

    您可以对告警事件进行“处理”操作。

  7. 确认告警信息后,在“状态”“待处理”的防护事件所在行的“操作”列,单击“处理”,弹出“处理告警事件”对话框。

    如果您需要批量处理多个告警事件,可在告警事件列表左上角,单击“批量处理”

  8. 选择处理措施。处理措施说明请参见表 处理告警事件参数说明

    表2 处理告警事件参数说明

    参数名称

    参数说明

    处理方式

    • 忽略:忽略本次防护告警事件,当下一次威胁事件发生时仍为您告警。
    • 我已手动处理:您已自行手动对失陷主机进行隔离端口等处理。
    • 加入告警白名单:触发告警事件的主机是您信任的主机,将该告警事件加入到告警白名单中,后续类似威胁事件发生时不再告警。

    批量处理

    如果您需要同时处理相同告警事件,可以勾选。

    备注描述(可选)

    为了方便后续易辨别本次处理操作的情况,可作补充描述。

  9. 单击“确认”,完成处理。

告警详情参数说明

告警详情页的相关参数说明请参见表 告警详情参数说明

表3 告警详情参数说明

参数名称

参数说明

情报引擎

HSS采用的检测引擎,包括病毒检测引擎、AI检测引擎、恶意情报检测引擎。

攻击状态

当前威胁攻击服务器的状态。

首次告警发生时间

首次发生攻击告警的时间。

告警ID

告警的唯一ID。

Att&CK阶段

攻击者在各阶段用到的攻击技术模型。

最新告警发生时间

最新发生攻击告警的时间。

告警信息

告警的详细信息说明,包括告警说明、告警摘要、受影响资产和处置建议。

调查取证

动态端口蜜罐功能排查溯源定位到攻击源的网络取证信息。

相似告警

与本次告警事件相似的告警。您可以根据相似告警的处置方法处理本次告警。

筛选不同处理状态的防护事件

在防护事件列表左上方的状态下拉框中,选择目标处理状态的防护事件进行查看。

图2 筛选防护事件