事件概览
背景信息
华为乾坤可以防护外部攻击、内部失陷主机、恶意文件下载等事件。
华为乾坤识别出告警事件后,经过进一步智能处置形成威胁事件,威胁事件分为外部攻击源、失陷主机和恶意文件三种类型。
威胁事件页面默认显示近30天的数据。租户可以单击右上角的威胁周期页签,指定页面显示某个特定时间段内的数据。当租户选定“更多”页签时,页面将显示近6个月的数据。
某些特殊场景下的威胁事件,会在参数列打上对应标签:
- 攻击成功的威胁事件在“事件名称”栏打上“攻击成功”标签。
- 不同站点间的资产发生攻击时(比如:A站点的资产A攻击B站点的资产B),在威胁事件的“事件名称”栏打上“站点间扩散”标签。
- 若租户已购买重保套餐,在网络安全演练期间,如果威胁事件匹配到攻方IP,则在“事件名称”栏打上“重保”标签。同时威胁事件支持按标签进行筛选,以便让租户清楚了解哪些威胁事件是与网络安全演练相关的。
- 采用旁路模式上线的设备检测到的威胁事件,“攻击状态”栏将打上“旁路”标签。旁路模式的设备无法对流量进行阻断。
某些检测类型事件,只有在符合条件的场景下才会呈现:
- 蜜罐:购买并开通了云蜜罐服务套餐后,蜜罐类事件才能被检测并呈现在威胁事件列表中。
威胁事件支持“按事件类型”和“按站点”查看。两种方式呈现维度不同,但涉及的威胁事件相同。如果没有特殊说明,以下章节对外部攻击源、失陷主机、恶意文件的详细介绍均以“按事件类型”查看为例。
高等级租户享有对自身及下级租户威胁事件的查看、处置权限。
操作步骤
- 登录华为乾坤控制台,选择 。
- 在右上角菜单栏选择“威胁事件”。
- 支持“按事件类型”和“按站点”查看。
- 按事件类型:单击“按事件类型”。
“按事件类型”查看时,威胁事件页面由事件概览、外部攻击源、失陷主机、恶意文件几个模块组成。图1 按事件类型查看
表1 按事件类型查看 模块
说明
事件概览
展示威胁事件相关信息。
- 卡片左侧:单击对应数字,可查看所有告警事件和已自动阻断的告警事件。
- 卡片右侧:蓝色线条标识已处置(包含自动处置和人工处置)的威胁事件,灰色线条标识剩余未处置的威胁事件,您可以将鼠标悬浮于线条上查看具体数据。
单击“查看更多”可进入告警事件详情页面。
外部攻击源
展示外部攻击源相关信息,单击“查看更多”可进入外部攻击源详情页面。
失陷主机
展示失陷主机相关信息,单击“查看更多”可进入失陷主机详情页面。
恶意文件
展示恶意文件相关信息,单击“查看更多”可进入恶意文件详情页面。
- 按站点:单击“按站点”。
“按站点”查看时,威胁事件页面以站点维度显示各站点下的威胁事件,单击“站点详情”可以查看站点模型。
站点是基于地理信息的设备集合,是设备分域的最小单位,是网络、安全质量评估的对象。租户可以将同一范围内的设备添加到同一站点中,在平台统一监测和管理。
华为乾坤根据天关/防火墙在不归属于任何站点期间内提供的威胁日志,进行聚合后得出的告警事件,将会被纳入“未知站点”。
图2 按站点查看
- 按事件类型:单击“按事件类型”。