威胁事件须知

威胁事件须知

华为乾坤可以防护外部攻击、内部失陷主机、恶意文件下载等事件。

华为乾坤识别出告警事件后，经过进一步智能处置形成威胁事件，威胁事件分为外部攻击源、失陷主机和恶意文件三种类型。

某些特殊场景下的威胁事件，会在参数列打上对应标签：

• 攻击成功的威胁事件在“事件名称”栏打上“攻击成功”标签。
• 若租户已购买重保套餐，在网络安全演练期间，如果威胁事件匹配到攻方IP，则在“事件名称”栏打上“重保”标签。同时威胁事件支持按标签进行筛选，以便让租户清楚了解哪些威胁事件是与网络安全演练相关的。
• 采用旁路模式上线的设备检测到的威胁事件，“攻击状态”栏将打上“旁路”标签。旁路模式的设备无法对流量进行阻断。

某些检测类型事件，只有在符合条件的场景下才会呈现：

• 蜜罐：购买并开通了云蜜罐服务套餐后，蜜罐类事件才能被检测并呈现在威胁事件列表中。

高等级租户享有对自身及下级租户威胁事件的查看、处置权限。

威胁事件处置入口

对于威胁事件的处置有多个入口。您可以根据使用习惯选择其中之一。

• 安全运营中心（在页面右上角菜单中单击“安全运营中心”）。
  • 单击各类专项事件区域的“待处置”后的数字，可以查看待处置事件的列表。
    图1 安全运营中心（威胁事件）入口
    
  • 单击右上角“处置中心”，也可以直达所有待处置的事件。

    您可以通过“高级搜索”，筛选某一类威胁事件，比如：外部攻击源、失陷主机等。

    图2 安全运营中心（处置中心）入口
    
• 边界防护与响应服务首页。

  边界防护与响应服务专项事件：外部攻击源、失陷主机和恶意文件。

  在控制台左上角选择“ > 我的服务 > 边界防护与响应”。然后单击红框中各个专项事件后面的数字，即可进入相应事件列表。

  图3 服务首页入口