tencent cloud

本文档将为您介绍告警中心操作指引。以下内容默认您已经登录 云防火墙控制台，在 告警中心 页面，单击攻击拦截统计，进入攻击拦截统计页面。在这里您可以查看阻断拦截趋势图和攻击拦截IP、地理位置、目的端口的天梯图，帮助您更好地分析和加固资产。

快速定位拦截信息

本节将指导您快速筛选定位您想要的拦截信息。
①选定想查看的资产和地域。
②选定入站方向、横向移动或出站方向。
③选定入侵防御策略和处置状态，您可以根据拦截记录排序、页面刷新效率和拦截频率统计等模块进行筛选。

说明：

以资产视角为例。事件视角可参考 “快速定位告警信息”。

快速处置拦截信息

1. 本节将指导您处置相应的拦截信息，对于如何筛选拦截信息请参照上节 “快速定位拦截信息” 。
   

   说明：

   用户需要修改操作，可在 入侵防御 > 拦截列表、放通列表或者隔离列表中恢复操作。

2. 在攻击拦截统计页面，可以根据入站方向、横向移动或出站方向，查询不同的资产/IP。

• 对于入站方向已封禁的访问源 IP，可以选择置顶或者放通；对于已放通的访问源 IP 可以单击更多再次进行封禁。
  
• 对于发起横向移动攻击的资产/IP，可以在这里查看拦截记录。
  
• 对于出站方向被入侵防御模块拦截的资产/IP，可以选择置顶、放通、隔离、封禁或者忽略。
  

3. 在对于不同资产/IP，可进行如下操作：

• 置顶/取消置顶：用户可置顶资产或取消资产置顶；注：用户入站方向和出站方向置顶数量最多不可超过5条。
• 放通：对于用户任务不应拦截的 IP，可单击放通，选择放通原因、方向和生效时间提交即可。在选定时间内，该 IP 会被加入 入侵防御 模块的放通列表（白名单），云防火墙会在一定时间范围内，将该 IP 地址绕过入侵防御模块检测，从而放行该 IP 地址的流量。如果用户不确定放通原因是否为：误报 ，可优先选择紧急放通，待确定后修改即可。
• 封禁：针对危险等级较高的资产，可以单击拦截，选定方向和生效时间后，将该 IP 地址添加至 入侵防御 模块的封禁列表（黑名单），云防火墙会选定时间范围内，自动拦截该 IP 地址对用户全部资产的访问。
• 隔离：单击隔离，资产实例隔离会自动下发企业安全组阻断规则，拦截选中资产的指定方向的网络访问，便于后续的定位排查，及时止损。
• 忽略：针对告警中存在重复或可能的误报，可以单击忽略，被忽略的告警事件将不会出现在告警列表和统计中，但不会删除日志。若该事件再次触发告警均不会显示，您可以在列表中选择已忽略来查看被忽略的所有事件，忽略操作不支持撤销，建议谨慎操作。
  

误报处理

您可以将该 IP 加入白名单中，在攻击拦截统计页面，选择所需资产/IP，单击操作放通，放通原因选择误报，单击确定。

查询某IP对我的所有攻击事件

您可以在资产视角下，将鼠标悬浮在访问目的/访问源或资产名称上，单击下方的在入侵防御日志中查看查询所有攻击事件。

说明：

图中以鼠标悬浮访问目的/访问源为示例。

查看某个资产的拦截统计信息

• 方法一：您可以在页面左上角选中指定资产进行筛选。
  
• 方法二：您可以在事件详情中的资产名称中，选定指定资产进行跳转查看。

查看最新拦截事件

攻击拦截统计页面具有自动刷新功能。在页面上方单击，并在拦截记录排序中勾选“最近拦截”，单击确定即可实时监控最新拦截事件。