外部攻击源
前提条件
- 已使用租户帐号登录华为乾坤控制台。
- 已完成黑白名单授权。
背景信息
华为乾坤按照以下规则判定威胁事件是否为外部攻击源。
- 非信任域或混合域内的主机存在攻击行为,同时存在攻击行为的主机IP不在全局白名单内,且不在缺省私网网段内,此时判定此威胁事件为外部攻击源。
非信任域或混合域的具体信息请参见配置设备安全域。全局白名单的具体信息请参见配置全局白名单。缺省私网网段指10.0.0.0~10.255.255.255、172.16.0.0~172.31.255.555、192.168.0.0~192.168.255.255。
- 非信任域或混合域的内网地址存在攻击行为,同时该内网地址在不可信内网地址内,判定为外部攻击源。不可信内网地址的具体信息请参见配置不可信内网地址。
针对外部攻击源,华为乾坤有如下几种处置方式:
- 华为乾坤智能分析后成功下发IP黑名单,其状态显示为“已封禁”。
- 华为乾坤智能分析后无法下发IP黑名单,由安全运营专家进一步分析后手动成功下发IP黑名单,其状态显示为“已封禁”。
- 华为乾坤智能分析和安全运营专家根据现有信息无法处置或者下发失败时,需要租户进行人工处置,其状态显示为“未处置”。
租户需要对“未处置”的外部攻击源进行处置,处置方法包括封禁攻击源和标记状态(已修复、已忽略)。
- 同时购买边界防护与响应服务标准版+自动阻断
- 边界防护与响应服务专业版
- 边界防护与响应服务高级版
- 边界防护与响应服务试用版
操作步骤
- 参考威胁事件处置入口选择一种操作入口,进入“外部攻击源”的威胁事件列表。
本章节以“安全运营中心(威胁事件)”入口为例。
- 筛选待处置事件,即“事件处置状态”为“未处置”、“处置失败”和“事件超时关闭”的事件。
当威胁事件关联的设备所在的站点发生变化,或关联的租户被删除时,如果在变化前威胁事件的“事件处置状态”为“未处置”、“处置中”或“处置失败”,则该状态将更新为“事件超时关闭”,且该事件将无法继续处置。
图1 外部攻击源待处置事件 - 单击待处理事件的“攻击源IP”,查看威胁事件详情,根据“处置建议”以及本步骤内容,完成处置。
完成处置后,可以在“处置记录”页签查看处置记录。
- 当与威胁事件关联的告警事件超过1000条时,系统将生成新的威胁事件。
此时,您在威胁事件页面会看到多条具有相同IP和设备SN的事件。当您对其中任何一条执行“封禁攻击源”操作时,所有相同IP和设备SN的威胁事件的“事件处置状态”都会被更新为“已封禁”。
- 外部攻击源详情页面可能涉及公网地址,仅用于事件信息展示以帮助用户了解威胁事件,服务不会主动发起与这些公网地址的连接。
- 若租户同时购买智能终端安全服务,并检测到终端存在异常登录或暴力破解行为,可通过华为乾坤控制台对可疑IP执行封禁操作,封禁操作与此处“封禁攻击源”等效。
租户在智能终端安全服务处置完成后,边界防护与响应服务将此外部攻击源的“处置状态”同步为“已封禁”。
- 如果您不知如何处置,或者处置后未能有效解决,请求助对应安全云服务商或渠道商。
图2 外部攻击源威胁事件详情 - 当与威胁事件关联的告警事件超过1000条时,系统将生成新的威胁事件。
后续处理
- 外部攻击源的攻击源IP前显示攻击源IP所在国家国旗,鼠标悬停在国旗上可显示国名。您可以单击外部攻击源列表中的攻击源IP,查看此外部攻击源详情页面。
您可以在高级搜索中设置筛选条件,单击“导出”,导出符合筛选条件的外部攻击源列表(Excel格式文件);或勾选预导出的外部攻击源,单击“导出”,导出选中的外部攻击源列表。
- 外部攻击源详情页面包含处置建议、处置记录、外部攻击源分析、关联告警事件列表等信息。
- 您可以单击“导出详情”,导出包含外部攻击源详细信息的Word格式文件。
导出完成后,将鼠标悬停在右上角帐号,单击“下载中心”,下载对应文件。
图4 下载中心 - 您可以单击外部攻击源详情页面中关联告警事件列表中的事件名称,查看此事件的详情页面。
图5 事件详情页面
- 您可以单击“导出详情”,导出包含外部攻击源详细信息的Word格式文件。