操作步骤

1. 参考威胁事件处置入口选择一种操作入口，进入“外部攻击源”的威胁事件列表。

   本章节以“安全运营中心（威胁事件）”入口为例。

2. 筛选待处置事件，即“事件处置状态”为“未处置”、“处置失败”和“事件超时关闭”的事件。
   图1 失陷主机待处置事件

   

3. 单击待处理事件的“失陷主机”列，查看威胁事件详情，根据“处置建议”以及本步骤内容，完成处置。

   完成处置后，可以在“处置记录”页签查看处置记录。

   

   • 失陷主机详情页面可能涉及公网地址，仅用于事件信息展示以帮助用户了解威胁事件，服务不会主动发起与这些公网地址的连接。
   • 处置建议中可能包含处置手册下载链接，可供您参考。
   • 若租户同时购买智能终端安全服务，并检测到失陷主机存在挖矿行为或感染病毒，可以在详情页面的“处置建议”区域中进行处置。
     • 一键隔离：隔离操作将会杀死该主机上的全部挖矿进程，并隔离这些进程文件。
     • 病毒查杀：根据查杀结果，手动处理病毒文件（立即终止运行进程并将病毒文件移动到隔离区，或忽略不处置）。

     若失陷主机上存在多个挖矿或病毒事件，对单个事件进行处置时，此失陷主机上的其余事件也会被同步处置。处置完成后，所有事件都会被标识为“已人工处置”状态。

   • 如果您不知如何处置，或者处置后未能有效解决，请求助对应安全云服务商或渠道商。
   图2 失陷主机威胁事件详情

   

   • 隔离主机

     当确认此失陷主机上无业务运行，或者隔离后不影响正常业务，此时可在操作列单击“隔离主机”下发IP黑名单。

     华为乾坤向天关/防火墙下发IP黑名单后，由天关/防火墙对黑名单IP执行隔离操作，来自黑名单IP的请求和去往黑名单IP的请求都会被阻断。

     

     设备存在绑定热备场景。当两台设备均已成功上线并绑定热备，主设备无法正常工作时，备设备会在短时间内进行替代，完全实现主设备功能。以事件维度进行隔离主机操作时，会对绑定热备的两台设备同时下发IP黑名单，在历史IP黑名单中显示两条记录。

     图3 隔离主机

     

     如果失陷主机的处置状态被打上标记，表示“隔离已解除”。

   • 标记状态
     • 已人工处置

       租户根据具体的事件采取人工处置，比如对失陷主机执行病毒查杀，并确认此主机已无安全风险后，在操作列将失陷主机标记为“已人工处置”。

     • 忽略

       租户经过排查后发现失陷主机无需处理或者是误报时，在操作列将失陷主机标记为“忽略”。后续就无需再关注此事件。