攻击拦截统计模块是防火墙基于所有已设置规则和威胁情报等拦截记录的整合,在这里您可以对所有已拦截事件进行统计分析和处置。
攻击拦截统计可视化
1. 登录 云防火墙控制台,在左侧导航中,单击告警中心 > 攻击拦截统计,进入攻击拦截统计页面。 2. 在本模块您可以根据①个人资产、②地域和③时间(支持24小时或7天,也可以自定义)对已有的安全告警事件进行可视化分析。其中页面左侧为筛选后的近期阻断拦截事件的变化趋势曲线,横坐标代表时间,纵坐标代表各个时间点的拦截次数,同时还能看到恶意外联拦截、封禁列表拦截、暴力破解拦截、漏洞利用攻击的统计情况。右侧可根据攻击拦截 IP、地理位置和目的端口查看阻断拦截事件数量排行榜。
说明
本页面每隔一定时间会自动刷新,④自动刷新率可设置为30s或者60s。
攻击拦截统计列表
根据流量方向将拦截事件分为入站方向、横向移动和出站方向。
单击“图中②处按钮”进行筛选。
支持按照入侵防御策略、处置状态显示;
支持按照拦截时间、拦截统计、平均拦截频率排序;
支持以分钟、小时、天作为频率统计;
支持关键字搜索筛选。
单击资产视角或事件视角,可选择切换为资产视角还是事件视角。
资产视角
该视角下会以攻击者资产为视角,将相同访问源的拦截事件合并统计显示。
单击右侧置顶、放通、更多 > 隔离/封禁/忽略,可以单独置顶、放通、隔离、封禁、忽略某个 IP。
说明
由于资产的状态有所不同,因此在右侧的可操作按钮有所不同。
以下操作同时适用于批量处理和事件视角下的操作。
如果用户需要修改操作,可在入侵防御 > 封禁列表中恢复操作。 置顶/取消置顶:用户可置顶资产或取消资产置顶;注:用户入站方向和出站方向置顶数量最多不可超过5条。
放通:对于用户任务不应拦截的IP,可单击放通,选择放通原因和放通时间提交即可。在选定时间内,该 IP 会被加入访问控制白名单,不再拦截。如果用户不确定放通原因是否为:误报 ,可优先选择紧急放通,待确定后修改即可。
隔离:单击隔离,资产实例隔离会自动下发企业安全组阻断规则,拦截选中资产的指定方向的网络访问,便于后续的定位排查,及时止损。
封禁:针对危险等级较高的资产,可以单击封禁,选定封禁时间后,将该 IP 地址添加至 入侵防御 模块的封禁列表(黑名单),云防火墙会选定时间范围内,自动拦截该 IP 地址对用户全部资产的访问。 忽略:针对告警中存在重复或可能的误报,可以单击忽略,被忽略的告警事件将不会出现在告警列表和统计中,但不会删除日志。若该事件再次触发告警均不会显示,您可以在列表中选择已忽略来查看被忽略的所有事件,忽略操作不支持撤销,建议谨慎操作。
事件视角
本页内容是否解决了您的问题?