更新时间:2025-07-24 GMT+08:00
失陷主机
前提条件
- 已使用租户帐号登录华为乾坤控制台。
- 已完成黑白名单授权。
背景信息
华为乾坤按照以下顺序判定威胁事件是否为失陷主机。
- 如果是信任域内的主机存在攻击行为,判定为失陷主机。信任域的具体信息请参见配置设备安全域。
- 如果是全局白名单内的IP地址存在攻击行为,判定为失陷主机。全局白名单的具体信息请参见配置全局白名单。
- 如果是在不可信内网地址内的主机存在攻击行为,不判定为失陷主机。不可信内网地址的具体信息请参见配置不可信内网地址。
- 如果是缺省私网网段内的IP地址存在攻击行为,判定为失陷主机。缺省私网网段指10.0.0.0~10.255.255.255、172.16.0.0~172.31.255.555、192.168.0.0~192.168.255.255。
根据失陷类型的不同,安全运营专家可以为失陷主机打上“勒索”、“挖矿”、“蠕虫”、“远控”、“漏洞攻击”、“不安全配置”等标签,暂未识别失陷类型的归入“其他”。
针对失陷主机,华为乾坤向租户发送短信和邮件告警,失陷主机的状态置为“未处置”。租户需要进一步确认和处置,处置方法包括隔离主机和标记状态(已修复、忽略)。
USG6000F-C系列天关、USG6000F系列防火墙、USG12000系列防火墙、USG6000E-C系列天关、USG6000E系列防火墙从V600R023C10及之后的版本支持自动下发域名黑名单功能,并且开通如下一种版本时,才能使用自动下发域名黑名单功能。
- 同时购买边界防护与响应服务标准版+自动阻断
- 边界防护与响应服务试用版
- 边界防护与响应服务高级版
操作步骤
- 参考威胁事件处置入口选择一种操作入口,进入“外部攻击源”的威胁事件列表。
本章节以“安全运营中心(威胁事件)”入口为例。
- 筛选待处置事件,即“事件处置状态”为“未处置”、“处置失败”和“事件超时关闭”的事件。
当威胁事件关联的设备所在的站点发生变化,或关联的租户被删除时,如果在变化前威胁事件的“事件处置状态”为“未处置”、“处置中”或“处置失败”,则该状态将更新为“事件超时关闭”,且该事件将无法继续处置。
图1 失陷主机待处置事件
- 单击待处理事件的“失陷主机”列,查看威胁事件详情,根据“处置建议”以及本步骤内容,完成处置。
完成处置后,可以在“处置记录”页签查看处置记录。
- 当与威胁事件关联的告警事件超过1000条时,系统将生成新的威胁事件。
此时,您在威胁事件页面会看到多条具有相同IP和设备SN的事件。当您对其中任何一条执行“隔离主机”操作时,所有相同IP和设备SN的威胁事件的“事件处置状态”都会被更新为“已隔离”。
- 失陷主机详情页面可能涉及公网地址,仅用于事件信息展示以帮助用户了解威胁事件,服务不会主动发起与这些公网地址的连接。
- 处置建议中可能包含处置手册下载链接,可供您参考。
- 若租户同时购买智能终端安全服务,并检测到失陷主机存在挖矿行为或感染病毒,可以在详情页面的“处置建议”区域中进行处置。
- 一键隔离:隔离操作将会杀死该主机上的全部挖矿进程,并隔离这些进程文件。
- 病毒查杀:根据查杀结果,手动处理病毒文件(立即终止运行进程并将病毒文件移动到隔离区,或忽略不处置)。
若失陷主机上存在多个挖矿或病毒事件,对单个事件进行处置时,此失陷主机上的其余事件也会被同步处置。处置完成后,所有事件都会被标识为“已修复”状态。
- 如果您不知如何处置,或者处置后未能有效解决,请求助对应安全云服务商或渠道商。
图2 失陷主机威胁事件详情
- 当与威胁事件关联的告警事件超过1000条时,系统将生成新的威胁事件。
后续处理
- 您可以单击失陷主机列表中的“录入资产”按钮,将失陷主机录入云平台。
使用IPv6地址的失陷主机不支持录入资产,资产录入的参数说明请参见《租户操作指南》中“资产录入”章节。
对于已录入的资产,您可以单击失陷主机列表中的资产名称,对资产信息进行编辑。
- 您可以单击失陷主机列表中的失陷主机IP,查看此失陷主机详情页面。
- 失陷主机详情页面包含处置建议、处置记录、失陷类型分析和关联告警事件列表等信息。
- 您可以单击“导出详情”,导出包含失陷主机详细信息的Word格式文件。
导出完成后,将鼠标悬停在右上角帐号,单击“下载中心”,下载对应文件。
图4 下载中心
- 您可以单击失陷主机详情页面中关联告警事件列表中的事件名称,查看此事件的详情页面。
图5 事件详情页面
- 您可以单击“导出详情”,导出包含失陷主机详细信息的Word格式文件。
