更新时间:2024-02-06 GMT+08:00
分享

事件概览

背景信息

华为乾坤识别出告警事件后,经过进一步智能处置形成威胁事件,威胁事件分为外部攻击源、失陷主机和恶意文件三种类型。

威胁事件页面默认显示近30天的数据。租户可以单击右上角的威胁周期页签,指定页面显示某个特定时间段内的数据。当租户选定“更多”页签时,页面将显示近3个月的数据。

租户在使用服务期间,数据留存的最长期限为3个月,超过3个月的数据将丢弃。

某些特殊场景下的威胁事件,会在参数列打上对应标签:

  • 攻击成功的威胁事件在“事件名称”栏打上“攻击成功”标签。
  • 若租户已购买重保套餐,在网络安全演练期间,如果威胁事件匹配到攻方IP,则在“事件名称”栏打上“重保”标签。同时威胁事件支持按标签进行筛选,以便让租户清楚了解哪些威胁事件是与网络安全演练相关的。
  • 采用旁路模式上线的设备检测到的威胁事件,“攻击状态”栏将打上“旁路”标签。旁路模式的设备无法对流量进行阻断。

某些检测类型事件,只有在符合条件的场景下才会呈现:

  • 蜜罐:购买并开通了云蜜罐服务套餐后,蜜罐类事件才能被检测并呈现在威胁事件列表中。

威胁事件支持“按事件类型”“按站点”查看。两种方式呈现维度不同,但涉及的威胁事件相同。如果没有特殊说明,以下章节对外部攻击源、失陷主机、恶意文件的详细介绍均以“按事件类型”查看为例。

高等级租户享有对自身及下级租户威胁事件的查看、处置权限。

操作步骤

  1. 登录华为乾坤控制台,选择 > 我的服务 > 边界防护与响应
  2. 在右上角菜单栏选择“威胁事件”
  3. 支持“按事件类型”“按站点”查看。

    • 按事件类型:单击“按事件类型”
      “按事件类型”查看时,威胁事件页面由事件概览、外部攻击源、失陷主机、恶意文件几个模块组成。
      图1 按事件类型查看

      表1 按事件类型查看

      模块

      说明

      事件概览

      展示威胁事件相关信息。

      • 卡片左侧:单击对应数字,可查看所有告警事件和已自动阻断的告警事件。
      • 卡片右侧:蓝色线条标识已处置(包含自动处置和人工处置)的威胁事件,灰色线条标识剩余未处置的威胁事件,您可以将鼠标悬浮于线条上查看具体数据。

      单击“查看更多”可进入告警事件详情页面。

      外部攻击源

      展示外部攻击源相关信息,单击“查看更多”可进入外部攻击源详情页面。

      失陷主机

      展示失陷主机相关信息,单击“查看更多”可进入失陷主机详情页面。

      恶意文件

      展示恶意文件相关信息,单击“查看更多”可进入恶意文件详情页面。

    • 按站点:单击“按站点”

      “按站点”查看时,威胁事件页面以站点维度显示各站点下的威胁事件,单击“站点详情”可以查看站点模型。

      站点是基于地理信息的设备集合,是设备分域的最小单位,是网络、安全质量评估的对象。租户可以将同一范围内的设备添加到同一站点中,在平台统一监测和管理。

      华为乾坤根据天关在不归属于任何站点期间内提供的威胁日志,进行聚合后得出的告警事件,将会被纳入“未知站点”。

      图2 按站点查看

分享:

    相关文档

    相关产品