欺骗趋势可视化
1. 登录 云防火墙控制台,在左侧导航中,单击告警中心 > 攻击欺骗事件。
2. 在攻击欺骗事件页面,支持根据①探针资产、②蜜罐攻击 IP、③探针扫描 IP、④被攻击蜜罐占比和⑤时间统计并进行可视化分析,在页面左侧查看不同探针或全部探针在不同时间段的命中蜜罐数,攻击入侵事件数,网络扫描探测次数和攻击 IP 的次数。
查看欺骗事件与攻击者信息
入侵事件:攻击事件会导致主机失陷。
端口探测:攻击者对蜜罐进行的扫描攻击事件。
横向移动:在资产间横向移动的攻击欺骗事件。
说明:
捕获攻击者汇总:对欺骗事件的攻击 IP 信息进行汇总。
支持对威胁等级、安全事件类型对攻击者进行筛选。
支持查看攻击者的威胁情报标签,支持对反制信息、发现事件、告警次数的排序统计。
单击攻击者 IP 或反制信息栏中的数字,可查看该攻击 IP 的溯源反制信息。
快速处置欺骗信息
处置单条拦截信息
说明
由于资产的状态有所不同,因此在右侧的可操作按钮有所不同。资产间横向移动的欺骗事件,仅支持隔离、忽略操作。
以下操作同时适用于批量处理操作。
入侵事件和端口探测一般为真实攻击事件,建议封禁处理。
横向移动事件一般意味着您的资产已经失陷,建议隔离处理。
封禁:针对危险等级较高或告警次数较多的欺骗事件,可以单击封禁,将该 IP 地址添加至 入侵防御 模块的封禁列表(黑名单),并选择封禁时间,添加备注,云防火墙会在时间范围内,自动拦截该 IP 地址对用户全部资产的访问。
放通:对于欺骗事件告警中存在重复或可能的误报,可单击放通。将该 IP 地址加入 入侵防御 模块的放通列表(白名单),并选择放通时间与放通原因,填写备注,云防火墙会在一定时间范围内,将该 IP 地址绕过入侵防御模块检测,不再拦截。如果用户不确定放通原因是否为:误报 ,可优先选择紧急放通,若确定为误报,可以对误报内容进行反馈,单击确定后修改即可。
忽略:如果不想处理告警信息,可以单击忽略,该日志不会消失,但是在处置状态已忽略列表中可以查看记录。忽略操作不支持撤销,建议谨慎操作。
隔离:单击隔离,资产实例隔离会自动下发企业安全组阻断规则,拦截选中资产的指定方向的网络访问。主要用于资产间横向移动的攻击欺骗事件,便于后续的定位排查,及时止损。
说明:
隔离资产实例后,支持使用运维白名单对资产进行访问,可选手动填写 IP 或使用零信任防护两种方式。
仅支持手动填写10个 IP。
零信任防护支持选择微信或企业微信用户允许进行资产访问,如何接入微信或企业微信用户,详情请参见 企业安全组。
批量处置告警信息
注意:
由于资产的状态不同,因此可操作按钮有所不同。隔离操作仅针对横向移动的欺骗事件,隔离失陷主机,防止影响进一步扩大。
用户需要修改操作,可在入侵防御 > 拦截列表、放通列表或者隔离列表中恢复操作。忽略操作不支持撤销,建议谨慎操作。
超出7天告警将会失效,无法处理。