攻击告警汇总可视化
通过告警信息的可视化汇总,可以方便地对防火墙监测到的攻击事件进行统计分析与操作处置,统计数据每20分钟更新一次。
1. 登录 云防火墙控制台,在左侧导航中,单击告警中心 > 攻击告警汇总。
2. 在攻击告警汇总页面,根据①个人资产、②时间对已有的安全告警事件进行可视化分析。
a. 页面左侧为筛选后的近期安全事件的变化趋势曲线,展示了不同时间的告警次数。以及已失陷主机、待处理事件、网络扫描探测和漏洞利用攻击次数的统计情况。
b. 页面右侧展示了攻击告警 IP 前十排行,为提前规避风险 IP 攻击提供参考。
快速定位告警事件
提供多种筛选功能,支持对已有的攻击告警事件进行快速筛选定位。
告警事件类型:单击图中①处按钮,查看不同分类下的告警信息详情。
条件筛选:单击图中②处按钮对攻击告警事件进行条件筛选。
支持查看未处置、已封禁、已放通、已忽略的告警信息。
支持根据告警危险等级筛选。
支持根据安全事件类型、协议、判断来源筛选。
支持直接单击图标对访问源 IP 或访问目的 IP 进行筛选。
支持对发生时间、告警次数进行排序查看。
支持关键字搜索筛选。包括访问源、源端口、访问目的、目的端口、危险等级、协议、判断来源。
自定义表头:单击图中③处的
查看定位事件详情
定位到具体的攻击告警事件后,单击事件左侧
说明:
威胁画像:单击点击查看,查看该访问源的威胁画像。包括 IP 地理位置、是否属于威胁情报 IP、网络信息、反查域名信息等。
资产详情:单击点击查看,跳转至资产中心,查看被攻击资产详情。
快速处置告警信息
处置单条告警信息
说明:
隔离操作仅针对出站方向流量告警事件,隔离失陷主机,防止影响进一步扩大。
封禁:针对危险等级较高或告警次数较多的安全事件,可以单击封禁,将该 IP 地址添加至 入侵防御 模块的封禁列表(黑名单),并选择封禁时间,添加备注,云防火墙会在时间范围内,自动拦截该 IP 地址对用户全部资产的访问。
注意:
当告警 IP 地址可能来自情报白名单时,会出现提示信息,请勿手动拦截/封禁,开启入侵防御拦截模式,云防火墙会自动拦截来源于这个地址的攻击流量,并放行正常流量。
放通:针对告警中存在重复或可能的误报,可以单击放通,将该 IP 地址加入 入侵防御 模块的放通列表(白名单),并选择放通时间与放通原因,填写备注,若是确定为误报,可以对误报内容进行反馈,云防火墙会在一定时间范围内,将该 IP 地址绕过入侵防御模块检测,从而放行该 IP 地址的流量。
忽略:如果不想处理告警信息,可以单击忽略,该日志不会消失,但是在处置状态已忽略列表中可以查看记录。
隔离:选择阻断流量方向与生效时间,单击隔离,资产实例隔离会自动下发企业安全组阻断规则,在时间范围内拦截选中资产的指定方向的网络访问。
说明:
隔离资产实例后,支持使用运维白名单对资产进行访问,可选手动填写 IP 或使用零信任防护两种方式。
仅支持手动填写10个 IP。
零信任防护支持选择微信或企业微信用户允许进行资产访问,如何接入微信或企业微信用户,详情请参见 企业安全组。
批量处置告警信息
注意:
隔离操作仅针对出站方向流量告警事件,隔离失陷主机,防止影响进一步扩大。主要为主机失陷类型告警事件,有隔离操作。
用户需要修改操作,可在入侵防御 > 拦截列表、放通列表或者隔离列表中删除该 IP,恢复操作。
超出7天告警将会失效,无法处理。
