执行代维操作

前提条件

租户已成功委托MSP管理边界防护与响应服务，具体操作请参见《租户公共操作》中“委托MSP管理”章节。

背景信息

根据MSP代维服务的不同，MSP代维操作也并不相同。此处仅对MSP代维边界防护与响应服务的特有操作做介绍，其余公共基础操作，例如个性化设置、分权分域、代建租户、工单创建、日志查看等，请参见MSP基础操作。

边界防护与响应服务既支持按租户维度代维，也支持按服务维度代维。如无特殊说明，以下代维操作的介绍均以按租户维度代维为例。

搜索和关注租户

1. 以MSP帐号登录华为乾坤控制台，选择右上角菜单栏的“租户”。
2. 在左侧租户列表执行相关操作。
   • 搜索租户

     在搜索框输入租户名称，单击左侧图标或者按回车键直接搜索。

   • 查看租户信息

     选择目标租户，租户列表右侧显示对应的用户信息，如名称、手机号码、邮箱。

   • 特别关注

     单击“特别关注”，列表中租户名会以星标展示，如果不需要继续关注，单击“取消关注”即可。

   • 打标签

     单击“打标签”，列表中租户名下方会显示标签详情，如果需要删除标签，单击标签后的×号即可。

   • 过滤租户

     单击租户列表右上方的按钮，支持按标签筛选租户。

进入/退出代维

1. 以MSP帐号登录华为乾坤控制台，选择右上角菜单栏的“租户”。
2. 在左侧租户列表选择代维租户。
3. 进入/退出代维。
   • 进入代维

     单击“进入代维”，MSP直接以代维租户的身份进入租户页面。MSP代维操作与租户操作相同。

   • 退出代维

     代维操作结束后，单击控制台首页“退出代维”，返回MSP帐号界面。

     图1 退出代维

     

处置威胁事件

此处以按服务维度代维进行介绍。

1. 以MSP帐号登录华为乾坤控制台，选择右上角菜单栏的“服务”。
2. （可选）在租户列表区域根据租户名或租户标签筛选租户。
3. 单击服务卡片或租户列表右侧的“查看详情”。
4. 在右上角菜单栏选择“威胁事件”，对威胁事件进行处置。

   具体操作请参见处置威胁事件。

下发IP黑名单

此处以按服务维度代维进行介绍。

1. 以MSP帐号登录华为乾坤控制台，选择右上角菜单栏的“服务 > 边界防护与响应”。
2. （可选）在租户列表区域根据租户名或租户标签筛选租户。
3. 单击服务卡片或租户列表右侧的“查看详情”。
4. 在右上角菜单栏选择“黑白名单”。
5. 选择“黑名单 > IP黑名单”，单击“创建”，填写相关信息后，将IP黑名单批量部署到多个租户的多个设备。

   支持按工作组和设备两种方式下发。按照工作组下发时，最多只能选择200个工作组，且工作组下租户的所有设备最多为5000台，最多同时添加50个IP地址。

   每个MSP帐号下同时最多执行3个按工作组下发黑名单的任务，华为乾坤中同时最多执行10个按工作组下发黑名单的任务。

   图2 下发IP黑名单

   

下发域名黑名单

此处以按服务维度代维进行介绍。

1. 以MSP帐号登录华为乾坤控制台，选择右上角菜单栏的“服务 > 边界防护与响应”。
2. （可选）在租户列表区域根据租户名或租户标签筛选租户。
3. 单击服务卡片或租户列表右侧的“查看详情”。
4. 在右上角菜单栏选择“黑白名单”。
5. 选择“黑名单 > 域名黑名单”，单击“创建”，填写相关信息后，将域名黑名单批量部署到多个租户的多个设备。

   支持最多同时添加50个域名，由回车符分隔；域名支持正则匹配，具体规则请将鼠标悬停在图标上查看。

   若下发成功，显示下发成功的域名黑名单数目；若下发失败，显示下发失败的域名黑名单具体信息。

   图3 批量下发域名黑名单

   

查看安全报表

1. 以MSP帐号登录华为乾坤控制台，选择右上角菜单栏的“租户”。
2. 在左侧租户列表选择代维租户。
3. 单击“进入代维”，选择“ > 我的服务 > 安全运营中心”。
4. 在右上角菜单栏选择“安全报表”，对安全报表进行查看。

   具体操作请参见查看安全报表。

创建自定义报表

MSP可以指定自定义周期生成个体报表，对代维租户进行推送。仅在按服务维度代维场景下查看时，MSP才能使用此功能。

1. 以MSP帐号登录华为乾坤控制台，选择右上角菜单栏的“ > 我的服务 > 安全运营中心”。
2. （可选）在租户列表区域根据租户名或租户标签筛选租户。
3. 单击服务卡片或租户列表右侧的“查看详情”。
4. 在右上角菜单栏选择“安全报表”，选择“自定义报表”页签，单击“创建”。
5. 填写相关参数，确认并推送。
   图4 自定义报表

   

查看安全防护大屏

MSP安全防护大屏展示所有代维租户的安全事件的相关数据。

1. 以MSP帐号登录华为乾坤控制台，单击左上角菜单栏的“大屏”。
2. 可选：单击页面左上角的按钮，根据租户标签筛选租户，自定义显示相关数据。
3. 查看MSP安全防护大屏。
   图5 MSP安全防护大屏

   

   表1 MSP安全防护大屏模块说明

   模块	说明
   威胁事件	展示已处置的外部攻击源、失陷主机、恶意文件数量与总数的对比。
   威胁检测类型TOP5	展示数量排名TOP5的威胁事件类型。
   失陷类型TOP5	展示数量排名TOP5的失陷主机类型。
   安全事件	展示各类安全事件数量。 原始告警：华为乾坤根据天关提供的威胁日志识别的原始事件。 告警事件：华为乾坤利用自动化模型分析和安全运营专家人工处置后，将原始事件处置为告警事件。 威胁事件：华为乾坤对告警事件进一步智能分析后形成威胁事件，威胁事件分为外部攻击源、失陷主机和恶意文件三种类型。
   攻击地图	动态呈现最新威胁事件源到端的攻击方向及地域分布。
   最近事件	按时间顺序由近到远呈现威胁事件相关信息。
   抵御攻击类型数	展示数量排名TOP5已抵御的攻击类型。
   威胁判定平均时长	华为乾坤根据天关提供的威胁日志，进行分析后判断是否识别为威胁事件，展示其平均检测时长。
   威胁综合阻断率	展示威胁事件阻断情况。 攻击流+攻击源双重拦截：天关的安全防御策略识别到并已拦截和华为乾坤已执行下发黑名单操作的威胁事件数量。 攻击流阻断：天关的安全防御策略识别到并已拦截的威胁事件数量。 攻击源封禁：华为乾坤已执行下发黑名单操作的威胁事件数量。 剩余事件：未处理的威胁事件数量。

导出失陷主机报告

仅在按服务维度代维场景下查看时，MSP才能使用此功能。

1. 以MSP帐号登录华为乾坤控制台，选择右上角菜单栏的“服务 > 边界防护与响应”。
2. （可选）在租户列表区域根据租户名或租户标签筛选租户。
3. 单击服务卡片或租户列表右侧的“查看详情”。
4. 在右上角菜单栏选择“威胁事件”，在失陷主机卡片的右上角单击“查看更多”。
5. 单击“导出”，按提示导出研判分析报告。