华为云首页用户手册 H

华为乾坤-外部攻击源:操作步骤

时间：2025-04-08 15:25:57

华为乾坤

操作步骤

参考威胁事件处置入口选择一种操作入口，进入“外部攻击源”的威胁事件列表。

本章节以“安全运营中心（威胁事件）”入口为例。
筛选待处置事件，即“事件处置状态”为“未处置”、“处置失败”和“事件超时关闭”的事件。

图1 外部攻击源待处置事件
单击待处理事件的“攻击源IP”，查看威胁事件详情，根据“处置建议”以及本步骤内容，完成处置。

完成处置后，可以在“处置记录”页签查看处置记录。
- 外部攻击源详情页面可能涉及公网地址，仅用于事件信息展示以帮助用户了解威胁事件，服务不会主动发起与这些公网地址的连接。
- 若租户同时购买智能终端安全服务，并检测到终端存在异常登录或暴力破解行为，可通过华为乾坤控制台对可疑IP执行封禁操作，封禁操作与此处“封禁攻击源”等效。
  租户在智能终端安全服务处置完成后，边界防护与响应服务将此外部攻击源的“处置状态”同步为“已封禁”。
- 如果您不知如何处置，或者处置后未能有效解决，请求助对应安全云服务商或渠道商。
图2 外部攻击源威胁事件详情
- 封禁攻击源
   当确认此IP地址为外部攻击源地址，此时可在操作列单击“封禁攻击源”下发IP黑名单。
  
  华为乾坤向天关/防火墙下发IP黑名单后，由天关/防火墙对黑名单IP执行封禁操作，来自黑名单IP的请求和去往黑名单IP的请求都会被阻断。
  
  设备存在绑定热备场景。当两台设备均已成功上线并绑定热备，主设备无法正常工作时，备设备会在短时间内进行替代，完全实现主设备功能。以事件维度进行封禁攻击源操作时，会对绑定热备的两台设备同时下发IP黑名单，在历史IP黑名单中显示两条记录。
  
  图3 封禁攻击源
  
  如果外部攻击源的处置状态被打上标记，表示“封禁已解除”。
- 标记状态
  - 已人工处置
     租户根据具体的事件采取人工处置，比如根据事件的源、目的地址查找目标主机，并对目标主机执行病毒查杀。处置完成后，在操作列将外部攻击标记为“已人工处置”。
  - 忽略
     租户经过排查后发现事件无需处理或者是误报时，在操作列将外部攻击标记为“忽略”。后续就无需再关注此事件。