攻击拦截统计模块是防火墙基于所有已设置规则和威胁情报等拦截记录的整合,可以帮助对所有已拦截事件进行统计分析和处置,统计数据每20分钟更新一次。
拦截统计可视化
1. 登录 云防火墙控制台,在左侧导航中,单击告警中心 > 攻击拦截统计。
2. 在攻击拦截统计页面,支持根据①个人资产及其地域、②时间对已有的安全告警事件进行可视化分析。
2.1 页面左侧为筛选后的近期阻断拦截事件的变化趋势曲线,展示了不同时间的拦截次数。以及恶意外联拦截、封禁列表拦截、暴力破解拦截、漏洞利用攻击的统计情况。
2.2 页面右侧根据攻击拦截 IP、地理位置和目的端口,可以查看拦截事件数量排行榜。
快速定位拦截信息
提供多种筛选功能,支持对已有的攻击拦截信息进行快速筛选定位。
1. 在 攻击拦截统计页面 的事件列表中,提供两种视角展示拦截信息,单击图中资产视角或事件视角进行视角切换。
1.1 资产视角会以攻击者资产为视角,将相同访问源的拦截事件合并统计显示。
1.2 事件视角以独立的拦截事件为视角,将拦截事件一一显示。
说明:
2. 根据①流量方向、②条件筛选对已有的攻击拦截事件进行定位。
流量方向:单击图中①处按钮,查看不同流量方向下的拦截信息详情。包括入站方向、横向移动、出站方向。
条件筛选:单击图中②处的
支持按照入侵防御策略、处置状态显示。
支持按照拦截时间、拦截统计、平均拦截频率排序。
支持以分钟、小时、天作为频率统计。
支持关键字搜索筛选。包括访问源、访问目的、目的端口、地理位置。
查看定位信息详情
说明:
单击访问源,查看该访问源的威胁画像。包括 IP 地理位置、是否属于威胁情报 IP、网络信息、反查域名信息等。
单击资产名称,可跳转至资产中心,查看被攻击资产详情。
快速处置拦截信息
说明:
处置单条拦截信息
说明:
由于资产的状态有所不同,因此在右侧的可操作按钮有所不同。隔离操作仅针对横向移动、出站方向拦截事件,隔离失陷主机,防止影响进一步扩大。
以下操作同时适用于批量处理和事件视角下的操作。
置顶:资产视角下,针对发生拦截事件的风险资产,可以一键置顶,方便用户关注资产的实时拦截情况。
注意:
用户入站方向和出站方向置顶数量最多不可超过5条。
封禁:针对危险等级较高的资产,可以单击封禁,将该 IP 地址添加至 入侵防御 模块的封禁列表(黑名单),并选择封禁时间,添加备注,云防火墙会在时间范围内,自动拦截该 IP 地址对用户全部资产的访问。
放通:对于用户任务不应拦截的 IP,可单击放通。将该 IP 地址加入 入侵防御 模块的放通列表(白名单),并选择放通时间与放通原因,填写备注,云防火墙会在一定时间范围内,将该 IP 地址绕过入侵防御模块检测,不再拦截。如果用户不确定放通原因是否为:误报 ,可优先选择紧急放通,若确定为误报,可以对误报内容进行反馈,单击确定后修改即可。
忽略:针对存在重复的拦截事件,可以单击忽略,被忽略的拦截事件将不会出现在拦截列表和统计中,但不会删除日志。您可以在列表中选择已忽略来查看被忽略的所有事件,忽略操作不支持撤销,建议谨慎操作。
隔离:单击隔离,资产实例隔离会自动下发企业安全组阻断规则,拦截选中资产的指定方向的网络访问,便于后续的定位排查,及时止损。
说明:
隔离资产实例后,支持使用运维白名单对资产进行访问,可选手动填写 IP 或使用零信任防护两种方式。
仅支持手动填写10个 IP。
零信任防护支持选择微信或企业微信用户允许进行资产访问,如何接入微信或企业微信用户,详情请参见 企业安全组。
批量处置告警信息
注意:
由于资产的状态不同,因此可操作按钮有所不同。隔离操作仅针对横向移动、出站方向拦截事件,隔离失陷主机,防止影响进一步扩大。
用户需要修改操作,可在入侵防御 > 拦截列表、放通列表或者隔离列表中恢复操作。忽略操作不支持撤销,建议谨慎操作。
超出7天告警将会失效,无法处理。
误报处理
您可以将该 IP 加入白名单中,在攻击拦截统计页面,选择所需资产/IP,单击放通,放通原因选择误报,单击确定。
查询某 IP 对我的所有攻击事件
在资产视角下,将鼠标悬浮在访问目的/访问源或资产名称上,单击下方的在入侵防御日志中查看查询所有攻击事件。
说明:
图中以鼠标悬浮访问目的/访问源为示例。
查看最新拦截事件
攻击拦截统计页面具有自动刷新功能。在页面上方单击
