网络攻击基于安全攻防团队技术支持,为您自动化监测恶意流量。结合入侵过程中产生的恶意行为。实时对攻击和告警进行自动化关联分析,输出攻击流量数据、通知攻击事件。本文档将为您介绍如何查看和处理网络攻击告警。
限制说明
- 检测对象:仅支持专业版/旗舰版的 Linux 主机。
- 检测范围:仅检测部分出现 EXP、且在云上有攻击成功案例的热点漏洞攻击行为。
- 漏洞防御:仅支持旗舰版的 Linux 主机。
防御状态说明
- 支持漏洞防御(未开启):主机安全支持防御该漏洞,但该主机未对该漏洞开启防御。
- 支持漏洞防御(已开启):主机安全支持防御该漏洞,且该主机已对该漏洞开启防御。
- 暂不支持漏洞防御:主机安全不支持防御该漏洞。
注意:
- 漏洞防御未开启可能原因:防御开关未开启、该主机非旗舰版或不在防御主机范围内。
- 存在攻击事件表示当前有黑客利用该漏洞的攻击手法进行攻击,并不表示当前机器存在此漏洞。
告警统计
登录主机安全租户端控制台,在左侧导航栏,选择【入侵防御】>【网络攻击】。
在网络攻击页面,支持查看网络攻击中漏洞防御状态,待处理告警相关数据统计及 Top5 情况。
字段说明:
- 漏洞防御状态:体现漏洞防御开关的状态。
- 待处理网络告警:当前待处理的告警数量。
- 受攻击资产:当前待处理告警所涉及到的受攻击资产数。
- 受攻击端口:当前待处理告警所涉及到的受攻击端口数。
- 攻击来源 IP:当前待处理告警的攻击来源 IP 数。
查看告警
在网络攻击页面,支持查看网络攻击详情,包括主机名称/实例 ID、IP 地址、目标端口等信息。
字段说明:
主机名称/实例 ID:受攻击的主机的名称和实例 ID。
IP 地址:指受攻击主机的公网/内网IP。
目标端口:受攻击端口。
攻击来源 IP/地址:指攻击者的来源 IP及所在地。
漏洞名称:指攻击者有利用某漏洞的攻击手法进行攻击,以及目前漏洞防御的开启状态。
攻击状态:指攻击者攻击后的结果,尝试攻击(被攻击但未被攻击成功)、攻击成功(实锤攻击)。
最近攻击时间:最近检测到攻击行为的时间。
攻击次数:累计检测到相同攻击的次数。
处理状态:待处理、已处理、已加白、已忽略。
详情:支持查看告警详情、危害描述、解决方案。
处理告警
在网络攻击告警列表中,单击操作列的【处理】。
说明:
选中一个或多个告警,可以单击左上角的【标记已处理】【忽略】【删除记录】,进行批量操作。
支持对待处理的告警标记已处理、开启漏洞防御、加入白名单、忽略、删除记录操作。
- 标记已处理:人工对该告警进行处理,处理后可将告警标记为“已处理”。
- 加入白名单:将攻击来源IP加入白名单,后续主机安全将不再对该来源IP的网络攻击行为进行告警,请谨慎操作。
- 忽略:仅将本次告警进行忽略,若再有相同情况发生仍然会进行告警。
- 删除记录:删除该告警记录,控制台将不再显示,无法恢复记录,请慎重操作。