更新时间:2025-08-12 GMT+08:00
分享

威胁事件须知

威胁事件须知

华为乾坤可以防护外部攻击、内部失陷主机、恶意文件下载等事件。

华为乾坤识别出告警事件后,经过进一步智能处置形成威胁事件,威胁事件分为外部攻击源、失陷主机和恶意文件三种类型。

某些特殊场景下的威胁事件,会在参数列打上对应标签:

  • 攻击成功的威胁事件在“事件名称”栏打上“攻击成功”标签。
  • 若租户已购买重保套餐,在网络安全演练期间,如果威胁事件匹配到攻方IP,则在“事件名称”栏打上“重保”标签。同时威胁事件支持按标签进行筛选,以便让租户清楚了解哪些威胁事件是与网络安全演练相关的。
  • 采用旁路模式上线的设备检测到的威胁事件,“攻击状态”栏将打上“旁路”标签。旁路模式的设备无法对流量进行阻断。

某些检测类型事件,只有在符合条件的场景下才会呈现:

  • 蜜罐:购买并开通了云蜜罐服务套餐后,蜜罐类事件才能被检测并呈现在威胁事件列表中。

高等级租户享有对自身及下级租户威胁事件的查看、处置权限。

威胁事件处置入口

对于威胁事件的处置有多个入口。您可以根据使用习惯选择其中之一。

  • 安全运营中心(在页面右上角菜单中单击安全运营中心)。
    • 单击各类专项事件区域的“待处置”后的数字,可以查看待处置事件的列表。
      图1 安全运营中心(威胁事件)入口
    • 单击右上角“处置中心”,也可以直达所有待处置的事件。

      您可以通过“高级搜索”,筛选某一类威胁事件,比如:外部攻击源、失陷主机等。

      图2 安全运营中心(处置中心)入口
  • 边界防护与响应服务首页。

    边界防护与响应服务专项事件:外部攻击源、失陷主机和恶意文件。

    在控制台左上角选择 > 我的服务 > 边界防护与响应然后单击红框中各个专项事件后面的数字,即可进入相应事件列表。

    图3 服务首页入口

相关文档