网络资产开启云防火墙开关后,主动外联活动页面向您实时展示主机的主动外联数据,帮助您及时发现可疑主机。本文介绍了主动外联活动页面展示的信息和支持的操作。

概述

为网站资产开启云防火墙开关后,您可以在云防火墙控制台网络流量分析 > 主动外联活动页面,查看以下流量分析数据:
注意 您必须先开启云防火墙开关,主动外联活动页面才会展示相应的流量分析数据。关于如何开启云防火墙开关,请参见开启防火墙
您可以使用右上角的时间选择器设置要查看的时间范围。您可以直接选择查看最近1小时最近24小时最近7日的数据,或者自定义时间范围。自定义时间范围时,您可以选择查看任意7天内的数据。
说明 选择的时间范围如果超过7天,会弹出警告,提示您选择7天以内的时间。
时间选择器

外联数据统计

外联数据统计模块位于主动外联活动页面上方,为您展示以下统计数据:外联数据统计
  • 外联域名:存在风险的外联域名的数量和全部外联域名的数量。

    单击该区域可以跳转到外联明细下的外联域名记录,查看详细信息。

  • 外联目的IP:存在风险的外联目的IP的数量和全部外联目的IP的数量。

    单击该区域可以跳转到外联明细下的外联目的IP记录,查看详细信息。

  • 外联资产:发起有风险外联的资产的数量和发起外联的全部资产的数量。

    单击该区域可以跳转到外联明细下的外联资产记录,查看详细信息。

  • 外联协议分析:外联协议分析结果,包括未识别协议的外联的占比和外联中用到的全部协议的数量。

    单击该区域可以跳转到可视分析模块,查看IP流量统计外联协议分析的详细信息。

外联明细

外联明细页签下包含外联域名外联目的IP外联资产列表,您可以单击对应页签,查看相关的外联明细。不同外联明细的具体说明如下:

  • 外联域名外联记录

    每条记录包含以下信息:外联域名访问流量请求次数分类标签建议操作分类标签是云防火墙根据外联域名的公网信息添加的网站属性,供您参考。关于标签的详细介绍,请参见网络流量分析相关问题

    您可以单击列表右上角的下载图标,将外联域名列表(CSV格式)下载到本地计算机进行查看和分析。

    您可以在外联域名列表中执行以下操作:
    • 加白:单击某个域名记录下的加白,将当前外联域名添加到白名单目的域名记录中。
      加白后如何取消:您可以单击右上角的白名单,并在目的域名记录中取消加白取消加白
    • 关注:选择某个域名记录下的更多 > 关注,将当前外联域名添加到关注名单目的域名记录中。
      关注后如何取消:您可以单击右上角的关注名单,并在目的域名记录中取消关注取消关注
    • 日志:选择某个域名记录下的更多 > 日志,可以跳转到日志审计下的流量日志审计页面,查看相关的流量日志记录。更多信息,请参见日志审计
    • 访问详情:选择某个域名记录下的更多 > 访问详情,可以查看当前外联域名的访问详情,例如,外联该域名的ECS实例、外联发生时间、访问流量、请求次数等。外联域名的访问详情如下图所示。访问详情
  • 外联目的IP外联目的IP

    每条记录包括以下信息:目的IP应用/端口数访问流量会话数分类地址簿标签建议操作分类标签是云防火墙根据外联域名的公网信息添加的网站属性,供您参考。关于标签的详细介绍,请参见网络流量分析相关问题地址簿表示收录当前目的IP的地址簿。更多信息,请参见地址簿管理

    您可以单击列表右上角的下载图标,将外联目的IP列表(CSV格式)下载到本地计算机进行查看和分析。

    您可以在外联目的IP列表中执行以下操作:
    • 加白:单击某个目的IP记录下的加白,将当前外联目的IP添加到白名单目的IP记录中。
      加白后如何取消:您可以单击右上角的白名单,并在目的IP记录中取消加白白名单
    • 关注:选择某个目的IP记录下的更多 > 关注,将当前外联目的IP添加到关注名单目的IP记录中。
      关注后如何取消:您可以单击右上角的关注名单,并在目的IP记录中取消关注关注名单
    • 日志:选择某个目的IP记录下的更多 > 日志,可以跳转到日志审计下的流量日志审计页面,查看当前目的IP的流量日志记录。更多信息,请参见日志审计
    • 访问详情:选择某个目的IP记录下的更多 > 访问详情,可以查看当前外联目的IP的访问详情,例如,外联该IP的ECS实例、外联发生时间、访问流量、请求次数等信息。外联目的IP的访问详情如下图所示。外联目的IP访问详情
  • 外联资产外联资产

    每条记录包括以下信息:资产IP资产类型实例ID/名称地域访问流量请求次数安全风险操作安全风险是云防火墙根据外联记录为当前资产添加的安全状态属性,供您参考。

    您可以单击列表右上角的下载图标,将外联资产列表(CSV格式)下载到本地计算机进行查看和分析。

    您可以对资产IP记录执行以下操作:
    • 关注:选择某个资产IP记录下的更多 > 关注,将当前资产IP添加到关注名单资产IP记录中。
      关注后如何取消:您可以单击右上角的关注名单,并在资产IP记录中取消关注取消关注(资产IP)
    • 日志:选择某个资产IP记录下的更多 > 日志,可以跳转到日志审计下的流量日志审计页面,查看当前资产IP(即发起外联的源IP)的流量日志记录。更多信息,请参见日志审计
    • 查看资产IP的外联明细:单击某个资产IP记录前的加号图标,可以查看当前资产的外联明细。

      资产外联明细包括以下信息:外联域名/外联公网IP请求次数分类标签建议操作分类标签是云防火墙根据外联域名的公网信息添加的网站属性,供您参考。关于标签的详细介绍,请参见网络流量分析相关问题

      您可以对资产外联明细执行以下操作:
      • 加白:单击某个外联域名或公网IP记录下的加白,将当前外联域名或公网IP添加到白名单目的域名目的IP记录中。

        加白后如何取消:您可以单击右上角的白名单,并在目的域名目的IP记录中取消加白

      • 关注:选择某个外联域名或公网IP记录下的更多 > 关注,将当前外联域名或公网IP添加到关注名单目的域名目的IP记录中。

        关注后如何取消:您可以单击右上角的关注名单,并在目的域名目的IP记录中取消关注

      • 日志:选择某个外联域名或公网IP记录下的更多 > 日志,可以跳转到日志审计下的流量日志审计页面,查看相关的流量日志记录。更多信息,请参见日志审计

可视分析

可视分析页签从上到下包含IP流量统计外联协议分析两个模块,具体说明如下:

  • IP流量统计
    IP流量统计模块包括左侧的IP流量排序表和右侧的全部流量趋势图。排序表和趋势图支持联动操作。流量统计
    IP流量表:展示某一时刻所有私网IP或公网IP的响应流量大小排序,按照响应流量从高到低排序。
    • 单击私网IP公网IP页签,切换展示私网IP、公网IP流量排序。
    • 单击全部流量趋势图横轴上任意时刻,刷新IP流量表,查看当前时刻的IP流量排序。
    • 单击某个IP地址后的更多 > 查看日志,跳转到日志审计下的流量日志审计页面,查看指定IP地址的流量日志记录。更多信息,请参见日志审计查看日志
    全部流量趋势图:实时展示全部或者指定的网络资产上的总请求和响应峰值流量趋势。光标悬置在图上任意时刻,展示当前时刻的请求和响应峰值流量。
    • 设置时间范围:默认展示近7日的数据。使用IP流量表右上角的时间选择器,可以设置要查看的时间范围。时间选择器
      支持设置的时间范围包括:
      • 1日排行:展示近1日的数据。
      • 7日排行:展示近7日的数据。
      • 30日排行:展示近30日的数据。
    • 设置数据范围:默认展示全部开启防护的网络资产的总流量趋势。使用IP流量表可以设置展示指定资产的流量趋势,操作方法如下:
      • 在IP流量表中单击任意一个IP,或者选择某个IP下的更多 > 查看趋势,刷新全部流量趋势图,查看指定IP的流量趋势。查看趋势
      • 使用IP流量表右上角的IP搜索工具,指定一个公网IP或私网IP,刷新全部流量趋势图,查看指定IP的流量趋势。
        说明 执行该操作后,IP流量表不再显示IP排序数据。
        查询IP
      设置数据范围后,全部流量趋势图上方显示设置的过滤条件。过滤条件
  • 外联协议分析
    外联协议分析模块包括左侧的应用占比饼状图和右侧的外联协议详情表。外联协议

    应用占比图:展示外联活动中使用的不同应用协议的分布占比。

    外联协议详情表:展示外联活动中使用的应用协议的详情。您可以在操作列,单击某个应用的日志,跳转到流量日志审计页面,查看指定应用的流量日志记录。

相关文档