tencent cloud

文档反馈

攻击告警汇总

最后更新时间:2023-12-11 16:37:05
    攻击告警汇总模块整合了所有观察中的风险事件,您可以在这里对防火墙监测到的所有事件进行统计分析和操作处置。

    攻击告警汇总可视化

    1. 登录 云防火墙控制台,在左侧导航中,单击告警中心 > 攻击告警汇总,进入攻击告警汇总页面。
    2. 在本模块您可以根据①个人资产、②时间(支持24小时或7天,也可以自定义)对已有的安全告警事件进行可视化分析。其中页面左侧为筛选后的近期安全事件的变化趋势曲线,曲线横坐标是时间,纵坐标展示了各个时间的告警次数,除了告警曲线,还能看到已失陷主机、待处理事件、网络扫描探测和漏洞利用攻击次数的统计情况。右侧展示了攻击告警 IP 前十排行,为提前规避风险 IP 攻击提供了参考。
    

    攻击告警列表

    在本模块您可以根据①告警事件类型、②批量处理、③ 条件筛选、④自定义表头对已有的攻击告警事件进行筛选分析处理。
    
    ①告警事件类型
    ②批量处理
    ③条件筛选
    ④自定义表头
    单击“图中①处按钮”来查看不同分类下的告警信息详情。
    说明:
    当在入侵防御 以及 安全基线 模块配置好云防火墙所需的相关安全策略后,才会显示对应的安全事件类型。
    
    基于复选框可以选择单击一键拦截,以及批量放通忽略
    说明:
    没有复选情况下不可选择。
    
    单击“图中③处按钮”进行筛选。
    支持查看未处置、已封禁、已放通、已忽略的告警信息;
    支持根据告警危险等级筛选;
    支持根据安全事件类型、协议、判断来源筛选;
    支持关键字搜索筛选。
    单击“图中④按钮”可以定义表头字段,最多勾选10个。
    

    事件详情

    单击恶意 IP 旁的
    
    图标,即可快速筛选该 IP 在当前分类下的所有安全事件。
    
    
    单击左侧
    
    可以查看某条事件的详细信息。
    说明
    前往主机安全深度检测功能需要购买 主机安全
    
    单击点击查看查看威胁画像 。
    
    单击右侧封禁放通忽略,可以单独处理某条事件告警。
    说明
    以下操作同时适用于批量处理和其他类型 IP。
    如果用户需要修改操作,可在入侵防御 > 封禁列表中恢复操作。
    
    封禁:针对危险等级较高或告警次数较多的安全事件,可以单击封禁,将该 IP 地址添加至 入侵防御 模块的封禁列表(黑名单),云防火墙会在一定时间范围内,自动拦截该 IP 地址对用户全部资产的访问。
    
    
    放通:针对告警中存在重复或可能的误报,可以单击放通,将该 IP 地址加入 入侵防御 模块的忽略列表(白名单),云防火墙会在一定时间范围内,将该 IP 地址绕过入侵防御模块检测,从而放行该 IP 地址的流量。
    
    
    忽略:如果不想处理告警信息,可以单击忽略,该日志不会消失,但是在处置状态已忽略列表中可以查看记录。
    
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持