tencent cloud

文档反馈

网络攻击

最后更新时间:2024-08-13 16:29:50
    网络攻击基于腾讯云安全攻防团队技术支持,为您自动化监测恶意流量。结合入侵过程中产生的恶意行为。实时对攻击和告警进行自动化关联分析,输出攻击流量数据、通知攻击事件。本文档将为您介绍如何查看和处理网络攻击告警。

    限制说明

    检测对象:仅支持专业版/旗舰版的 Linux 主机。
    检测范围:仅检测部分出现 EXP、且在云上有攻击成功案例的热点漏洞攻击行为。
    漏洞防御:仅支持旗舰版的 Linux 主机。

    防御状态说明

    支持漏洞防御(未开启):主机安全支持防御该漏洞,但该主机未对该漏洞开启防御。
    支持漏洞防御(已开启):主机安全支持防御该漏洞,且该主机已对该漏洞开启防御。
    暂不支持漏洞防御:主机安全不支持防御该漏洞。
    注意:
    漏洞防御未开启可能原因:防御开关未开启、该主机非旗舰版或不在防御主机范围内。
    存在攻击事件表示当前有黑客利用该漏洞的攻击手法进行攻击,并不表示当前机器存在此漏洞。

    告警统计

    1. 登录 主机安全控制台,在左侧导航栏,选择高级防御 > 网络攻击
    2. 在网络攻击页面,支持查看网络攻击中漏洞防御状态,待处理告警相关数据统计及 Top5 情况。
    
    字段说明
    漏洞防御状态:体现漏洞防御开关的状态。
    待处理网络告警:当前待处理的告警数量。
    受攻击资产:当前待处理告警所涉及到的受攻击资产数。
    受攻击端口:当前待处理告警所涉及到的受攻击端口数。
    攻击来源 IP:当前待处理告警的攻击来源 IP 数。

    查看告警

    网络攻击页面,支持查看网络攻击详情,包括主机名称/实例 ID、IP 地址、模板端口等信息。
    
    字段说明:
    主机名称/实例 ID:受攻击的主机的名称和实例 ID。
    IP 地址:指受攻击主机的公网/内网IP。
    目标端口:受攻击端口。
    攻击来源 IP/地址:指攻击者的来源 IP及所在地。
    漏洞名称:指攻击者有利用某漏洞的攻击手法进行攻击,以及目前漏洞防御的开启状态。
    攻击状态:指攻击者攻击后的结果,尝试攻击(被攻击但未被攻击成功)、攻击成功(实锤攻击)。
    最近攻击时间:最近检测到攻击行为的时间。
    攻击次数:累计检测到相同攻击的次数。
    处理状态:待处理、已处理、已加白、已忽略。
    详情:支持查看告警详情、危害描述、解决方案。
    

    处理告警

    1. 网络攻击页面,选择所需告警,单击操作列的处理
    说明:
    选中一个或多个告警,可以单击左上角的标记已处理忽略删除记录,进行批量操作。
    
    2. 支持对待处理的告警标记已处理、开启漏洞防御、加入白名单、忽略、删除记录操作。
    标记已处理:人工对该告警进行处理,处理后可将告警标记为“已处理”。
    开启漏洞防御:操作后处理状态自动变为“已处理”,支持勾选将该漏洞防御覆盖到的主机相关的待处理告警均标记为“已处理”。
    加入白名单:可将攻击来源 IP 进行加白,可编辑生效主机范围;处理后状态自动变为“已加白”,支持对历史告警批量加白。
    
    忽略:选择该项后,处理状态由“待处理”变为“已忽略”,后续有相同攻击仍会告警。
    删除记录:将当前告警记录删除,无法恢复。
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持