外部攻击源

前提条件

已完成黑白名单授权。

背景信息

华为乾坤按照以下规则判定威胁事件是否为外部攻击源。

• 非信任域或混合域内的主机存在攻击行为，同时发生攻击行为的主机IP不在全局白名单内，且发生攻击行为的主机IP不在缺省私网网段内，此时判定此威胁事件为外部攻击源。

  非信任域或混合域的具体信息请参见配置设备安全域。全局白名单的具体信息请参见配置全局白名单。缺省私网网段指10.0.0.0～10.255.255.255、172.16.0.0～172.31.255.555、192.168.0.0～192.168.255.255。

• 非信任域或混合域的内网地址存在攻击行为，同时主机IP地址在不可信内网地址内，判定为外部攻击源。不可信内网地址的具体信息请参见配置不可信内网地址。

针对外部攻击源，华为乾坤有如下几种处置方式：

• 华为乾坤智能分析后成功下发IP黑名单，其状态显示为“已封禁”。
• 华为乾坤智能分析后无法下发IP黑名单，由安全运营专家进一步分析后手动成功下发IP黑名单，其状态显示为“已封禁”。
• 华为乾坤智能分析和安全运营专家根据现有信息无法处置或者下发失败时，需要租户进行人工处置，其状态显示为“未处置”。

租户需要对“未处置”的外部攻击源进行处置，处置方法包括封禁攻击源和标记状态（已人工处置、已忽略）。

操作步骤

1. 登录华为乾坤控制台，选择“ > 我的服务 > 边界防护与响应”。
2. 在右上角菜单栏选择“威胁事件”。
3. 查看外部攻击源概览，单击数据或“查看更多”进入对应处理页面。
   图1 外部攻击源概览

   

4. 针对未处置的外部攻击执行处置操作，包括以下几种处置方法。
   • 封禁攻击源

     当确认此IP地址为外部攻击源地址，此时可在操作列单击“封禁攻击源”下发IP黑名单。

     华为乾坤向天关下发IP黑名单后，由天关对黑名单IP执行封禁操作，来自黑名单IP的请求和去往黑名单IP的请求都会被阻断。

     

     设备存在绑定热备场景。当两台设备均已成功上线并绑定热备，主设备无法正常工作时，备设备会在短时间内进行替代，完全实现主设备功能。以事件维度进行封禁攻击源操作时，会对绑定热备的两台设备同时下发IP黑名单，在历史IP黑名单中显示两条记录。

     图2 封禁攻击源

     

     如果外部攻击源的处置状态被打上标记，表示“封禁已解除”。

     

     若租户同时购买终端防护与响应服务，并检测到终端存在异常登录或暴力破解行为，可通过华为乾坤控制台对可疑IP执行封禁操作，封禁操作与此处“封禁攻击源”等效。

     租户在终端防护与响应服务处置完成后，边界防护与响应服务将此外部攻击源的“处置状态”同步为“已封禁”。

   • 标记状态
     • 已人工处置

       租户根据具体的事件采取人工处置，比如根据事件的源、目的地址查找目标主机，并对目标主机执行病毒查杀。处置完成后，在操作列将外部攻击标记为“已人工处置”。

     • 忽略

       租户经过排查后发现事件无需处理或者是误报时，在操作列将外部攻击标记为“忽略”。后续就无需再关注此事件。

   

   如果您不知如何处置，或者处置后未能有效解决，请求助对应安全云服务商或渠道商。

后续处理

• 外部攻击源的攻击源IP前显示攻击源IP所在国家国旗，鼠标悬停在国旗上可显示国名。您可以单击外部攻击源列表中的攻击源IP，查看此外部攻击源详情页面。
  您可以在高级搜索中设置筛选条件，单击“导出”，导出符合筛选条件的外部攻击源列表（Excel格式文件）；或勾选预导出的外部攻击源，单击“导出”，导出选中的外部攻击源列表。

  图3 外部攻击源列表

  

• 外部攻击源详情页面包含处置建议、处置记录、外部攻击源分析、关联告警事件列表等信息。
  • 您可以单击“导出详情”，导出包含外部攻击源详细信息的Word格式文件。
    图4 外部攻击源详情页面

    

    导出完成后，请单击右上角帐号，选择“下载”，下载对应文件。

    图5 下载中心

    

  • 您可以单击外部攻击源详情页面中关联威胁事件列表中的事件名称，查看此事件的详情页面。
    图6 事件详情页面

    

  

  外部攻击源详情页面可能涉及公网地址，仅用于事件信息展示以帮助用户了解威胁事件，服务不会主动发起与这些公网地址的连接。