攻击告警汇总

最近更新时间:2024-05-17 15:49:31

我的收藏
攻击告警汇总模块整合了所有观察中的风险事件,您可以在这里对防火墙监测到的所有事件进行统计分析和操作处置。

攻击告警汇总可视化

1. 登录 云防火墙控制台,在左侧导航中,单击告警中心 > 攻击告警汇总,进入攻击告警汇总页面。
2. 在本模块您可以根据①个人资产、②时间(支持24小时或7天,也可以自定义)对已有的安全告警事件进行可视化分析。其中页面左侧为筛选后的近期安全事件的变化趋势曲线,曲线横坐标是时间,纵坐标展示了各个时间的告警次数,除了告警曲线,还能看到已失陷主机、待处理事件、网络扫描探测和漏洞利用攻击次数的统计情况。右侧展示了攻击告警 IP 前十排行,为提前规避风险 IP 攻击提供了参考。


攻击告警列表

在本模块您可以根据①告警事件类型、②批量处理、③ 条件筛选、④自定义表头对已有的攻击告警事件进行筛选分析处理。

①告警事件类型
②批量处理
③条件筛选
④自定义表头
单击“图中①处按钮”来查看不同分类下的告警信息详情。
说明
当在 访问控制入侵防御 以及 安全基线 模块配置好云防火墙所需的相关安全策略后,才会显示对应的安全事件类型。
基于复选框可以选择单击一键拦截,以及批量放通忽略
说明
没有复选情况下不可选择。
单击“图中③处按钮”进行筛选。
支持查看未处置、已封禁、已放通、已忽略的告警信息;
支持根据告警危险等级筛选;
支持根据安全事件类型、协议、判断来源筛选;
支持关键字搜索筛选。
单击“图中④按钮”可以定义表头字段,最多勾选10个。



事件详情

单击恶意 IP 旁的

图标,即可快速筛选该 IP 在当前分类下的所有安全事件。


单击左侧

可以查看某条事件的详细信息。
说明
前往主机安全深度检测功能需要购买 主机安全



单击点击查看查看威胁画像。


单击右侧封禁放通忽略,可以单独处理某条事件告警。
说明
以下操作同时适用于批量处理和其他类型 IP。
如果用户需要修改操作,可在 入侵防御 > 封禁列表中恢复操作。



封禁:针对危险等级较高或告警次数较多的安全事件,可以单击封禁,将该 IP 地址添加至 入侵防御 模块的封禁列表(黑名单),云防火墙会在一定时间范围内,自动拦截该 IP 地址对用户全部资产的访问。


放通:针对告警中存在重复或可能的误报,可以单击放通,将该 IP 地址加入 入侵防御 模块的忽略列表(白名单),云防火墙会在一定时间范围内,将该 IP 地址绕过入侵防御模块检测,从而放行该 IP 地址的流量。


忽略:如果不想处理告警信息,可以单击忽略,该日志不会消失,但是在处置状态已忽略列表中可以查看记录。