网络攻击基于腾讯云安全攻防团队技术支持,为您自动化监测恶意流量。结合入侵过程中产生的恶意行为。实时对攻击和告警进行自动化关联分析,输出攻击流量数据、通知攻击事件。本文档将为您介绍如何查看和处理网络攻击告警。
限制说明
检测对象:仅支持专业版/旗舰版的 Linux 主机。
检测范围:仅检测部分出现 EXP、且在云上有攻击成功案例的热点漏洞攻击行为。
漏洞防御:仅支持旗舰版的 Linux 主机。
防御状态说明
支持漏洞防御(未开启):主机安全支持防御该漏洞,但该主机未对该漏洞开启防御。
支持漏洞防御(已开启):主机安全支持防御该漏洞,且该主机已对该漏洞开启防御。
暂不支持漏洞防御:主机安全不支持防御该漏洞。
注意:
漏洞防御未开启可能原因:防御开关未开启、该主机非旗舰版或不在防御主机范围内。
存在攻击事件表示当前有黑客利用该漏洞的攻击手法进行攻击,并不表示当前机器存在此漏洞。
告警统计
1. 登录 主机安全控制台,在左侧导航栏,选择高级防御 > 网络攻击。
2. 在网络攻击页面,支持查看网络攻击中漏洞防御状态,待处理告警相关数据统计及 Top5 情况。
字段说明:
漏洞防御状态:体现漏洞防御开关的状态。
待处理网络告警:当前待处理的告警数量。
受攻击资产:当前待处理告警所涉及到的受攻击资产数。
受攻击端口:当前待处理告警所涉及到的受攻击端口数。
攻击来源 IP:当前待处理告警的攻击来源 IP 数。
查看告警
字段说明:
主机名称/实例 ID:受攻击的主机的名称和实例 ID。
IP 地址:指受攻击主机的公网/内网IP。
目标端口:受攻击端口。
攻击来源 IP/地址:指攻击者的来源 IP及所在地。
漏洞名称:指攻击者有利用某漏洞的攻击手法进行攻击,以及目前漏洞防御的开启状态。
攻击状态:指攻击者攻击后的结果,尝试攻击(被攻击但未被攻击成功)、攻击成功(实锤攻击)。
最近攻击时间:最近检测到攻击行为的时间。
攻击次数:累计检测到相同攻击的次数。
处理状态:待处理、已处理、已加白、已忽略。
详情:支持查看告警详情、危害描述、解决方案。
处理告警
1. 在 网络攻击页面,选择所需告警,单击操作列的处理。
说明:
选中一个或多个告警,可以单击左上角的标记已处理,忽略,删除记录,进行批量操作。
2. 支持对待处理的告警标记已处理、开启漏洞防御、加入白名单、忽略、删除记录操作。
标记已处理:人工对该告警进行处理,处理后可将告警标记为“已处理”。
开启漏洞防御:操作后处理状态自动变为“已处理”,支持勾选将该漏洞防御覆盖到的主机相关的待处理告警均标记为“已处理”。
加入白名单:可将攻击来源 IP 进行加白,可编辑生效主机范围;处理后状态自动变为“已加白”,支持对历史告警批量加白。
忽略:选择该项后,处理状态由“待处理”变为“已忽略”,后续有相同攻击仍会告警。
删除记录:将当前告警记录删除,无法恢复。