欺骗事件查看与处理

PDF

聚焦模式

字号

最后更新时间： 2025-12-19 16:50:17

说明：
告警中心全新版本上线，本文档仅针对旧版告警中心操作进行说明。如果您当前使用旧版告警中心，可以在告警中心右上角单击前往新版进行切换。新版告警中心相关内容请参见 攻击告警事件查看与处理。
欺骗趋势可视化
攻击欺骗事件页面可以根据可视化统计和列表式统计，对所有已设置的暴露探针和 网络蜜罐 的扫描和攻击行为进行记录和整合，从而对所有已拦截事件进行统计分析和处置，统计数据每20分钟更新一次。
1. 登录 云防火墙控制台，在左侧导航中，单击告警中心 > 攻击欺骗事件。
2. 在攻击欺骗事件页面，支持根据①探针资产、②蜜罐攻击 IP、③探针扫描 IP、④被攻击蜜罐占比和⑤时间统计并进行可视化分析，在页面左侧查看不同探针或全部探针在不同时间段的命中蜜罐数，攻击入侵事件数，网络扫描探测次数和攻击 IP 的次数。
﻿
查看欺骗事件与攻击者信息
在攻击欺骗事件页面 的事件列表中，有如下攻击欺骗事件类型：
﻿
入侵事件：攻击事件会导致主机失陷。
端口探测：攻击者对蜜罐进行的扫描攻击事件。
横向移动：在资产间横向移动的攻击欺骗事件。
说明：
对入侵事件、端口探测、横向移动的欺骗事件进行定位查看，支持对蜜罐进行筛选，其余筛选内容可参见 快速定位告警事件 页面。
捕获攻击者汇总：对欺骗事件的攻击 IP 信息进行汇总。
支持根据威胁等级、安全事件类型对攻击者进行筛选。
支持查看攻击者的威胁情报标签，支持对反制信息、发现事件、告警次数的排序统计。
单击攻击者 IP 或反制信息栏中的数字，可查看该攻击 IP 的溯源反制信息。
﻿
﻿
快速处置欺骗信息
处置单条拦截信息
在攻击欺骗事件页面，支持对单条欺骗事件信息进行处置。在事件右侧栏处，进行封禁、放通、忽略、隔离操作。
说明
由于资产的状态有所不同，因此在右侧的可操作按钮有所不同。资产间横向移动的欺骗事件，仅支持隔离、忽略操作。
以下操作同时适用于批量处理操作。
入侵事件和端口探测一般为真实攻击事件，建议封禁处理。
横向移动事件一般意味着您的资产已经失陷，建议隔离处理。
封禁：针对危险等级较高或告警次数较多的欺骗事件，可以单击封禁，将该 IP 地址添加至 入侵防御 模块的封禁列表（黑名单），并选择封禁时间，添加备注，云防火墙会在时间范围内，自动拦截该 IP 地址对用户全部资产的访问。
﻿
﻿
﻿
放通：对于欺骗事件告警中存在重复或可能的误报，可单击放通。将该 IP 地址加入 入侵防御 模块的放通列表（白名单），并选择放通时间与放通原因，填写备注，云防火墙会在一定时间范围内，将该 IP 地址绕过入侵防御模块检测，不再拦截。如果用户不确定放通原因是否为：误报 ，可优先选择紧急放通，若确定为误报，可以对误报内容进行反馈，单击确定后修改即可。
﻿
﻿
﻿
忽略：如果不想处理告警信息，可以单击忽略，该日志不会消失，但是在处置状态已忽略列表中可以查看记录。忽略操作不支持撤销，建议谨慎操作。
﻿
﻿
﻿
隔离：单击隔离，资产实例隔离会自动下发企业安全组阻断规则，拦截选中资产的指定方向的网络访问。主要用于资产间横向移动的攻击欺骗事件，便于后续的定位排查，及时止损。
﻿
说明：
隔离资产实例后，支持使用运维白名单对资产进行访问，可选手动填写 IP 或使用零信任防护两种方式。
仅支持手动填写10个 IP。
零信任防护支持基于微信或企业微信用户身份进行资产访问授权，如何接入微信或企业微信用户，详情请参见 企业安全组。
批量处置告警信息
在攻击欺骗事件页面，支持对多条拦截信息进行处置。可以选中多条拦截信息，单击一键拦截、放通、隔离或忽略。
注意：
由于资产的状态不同，因此可操作按钮有所不同。隔离操作仅针对横向移动的欺骗事件，隔离失陷主机，防止影响进一步扩大。
用户需要修改操作，可在入侵防御 > 拦截列表、放通列表或者隔离列表中恢复操作。忽略操作不支持撤销，建议谨慎操作。
超出7天告警将会失效，无法处理。