拦截分析与处置

最近更新时间：2023-10-09 11:06:57
我的收藏
本页目录：

本文档将为您介绍告警中心操作指引。以下内容默认您已经登录 云防火墙控制台，在 告警中心 页面，单击攻击拦截统计，进入攻击拦截统计页面。在这里您可以查看阻断拦截趋势图和攻击拦截IP、地理位置、目的端口的天梯图，帮助您更好地分析和加固资产。
快速定位拦截信息
本节将指导您快速筛选定位您想要的拦截信息。
①选定想查看的资产和地域。
②选定入站方向、横向移动或出站方向。
③选定入侵防御策略和处置状态，您可以根据拦截记录排序、页面刷新效率和拦截频率统计等模块进行筛选。
﻿
说明：
 以资产视角为例。事件视角可参考 “快速定位告警信息”。
快速处置拦截信息
1. 本节将指导您处置相应的拦截信息，对于如何筛选拦截信息请参照上节 “快速定位拦截信息” 。
﻿
说明：
 用户需要修改操作，可在 入侵防御 > 拦截列表、放通列表或者隔离列表中恢复操作。
2. 在攻击拦截统计页面，可以根据入站方向、横向移动或出站方向，查询不同的资产/IP。
对于入站方向已封禁的访问源 IP，可以选择置顶或者放通；对于已放通的访问源 IP 可以单击更多再次进行封禁。
﻿
﻿
对于发起横向移动攻击的资产/IP，可以在这里查看拦截记录。
 
﻿
﻿
对于出站方向被入侵防御模块拦截的资产/IP，可以选择置顶、放通、隔离、封禁或者忽略。
 
﻿
﻿
3. 在对于不同资产/IP，可进行如下操作：
置顶/取消置顶：用户可置顶资产或取消资产置顶；注：用户入站方向和出站方向置顶数量最多不可超过5条。
放通：对于用户任务不应拦截的 IP，可单击放通，选择放通原因、方向和生效时间提交即可。在选定时间内，该 IP 会被加入 入侵防御 模块的放通列表（白名单），云防火墙会在一定时间范围内，将该 IP 地址绕过入侵防御模块检测，从而放行该 IP 地址的流量。如果用户不确定放通原因是否为：误报 ，可优先选择紧急放通，待确定后修改即可。
﻿
﻿
封禁：针对危险等级较高的资产，可以单击拦截，选定方向和生效时间后，将该 IP 地址添加至 入侵防御 模块的封禁列表（黑名单），云防火墙会选定时间范围内，自动拦截该 IP 地址对用户全部资产的访问。
﻿
﻿
隔离：单击隔离，资产实例隔离会自动下发企业安全组阻断规则，拦截选中资产的指定方向的网络访问，便于后续的定位排查，及时止损。
 
﻿
﻿
忽略：针对告警中存在重复或可能的误报，可以单击忽略，被忽略的告警事件将不会出现在告警列表和统计中，但不会删除日志。若该事件再次触发告警均不会显示，您可以在列表中选择已忽略来查看被忽略的所有事件，忽略操作不支持撤销，建议谨慎操作。
﻿
﻿
误报处理
您可以将该 IP 加入白名单中，在攻击拦截统计页面，选择所需资产/IP，单击操作放通，放通原因选择误报，单击确定。
﻿
﻿
查询某 IP 对我的所有攻击事件
您可以在资产视角下，将鼠标悬浮在访问目的/访问源或资产名称上，单击下方的在入侵防御日志中查看查询所有攻击事件。
﻿
说明：
 图中以鼠标悬浮访问目的/访问源为示例。
查看某个资产的拦截统计信息
方法一：您可以在页面左上角选中指定资产进行筛选。
﻿
方法二：您可以在事件详情中的资产名称中，选定指定资产进行跳转查看。详情操作请参见 资产中心。
查看最新拦截事件
攻击拦截统计页面具有自动刷新功能。在页面上方单击
﻿
，并在拦截记录排序中勾选“最近拦截”，单击确定即可实时监控最新拦截事件。
﻿
﻿
上一篇: 告警分析与处置下一篇: 流量中心