在服务器受到入侵时,云防火墙失陷感知功能可以帮助您及时发现并识别入侵事件,避免业务遭受重大损失。本文介绍如何查看服务器是否存在安全威胁及配置防护模式。
前提条件
操作步骤
登录云防火墙控制台。
在左侧导航栏,选择。
在失陷感知页面,查看入侵事件详细信息。
在失陷感知页面,您可以根据需要执行以下操作。
查看事件列表
在入侵事件列表,查看入侵事件的详细信息,包括风险级别、受影响资产IP和UID、处理状态等信息。
查找目标事件
在上方菜单栏,筛选风险级别、时间类型、处理状态、检测时间范围,或输入实例IP、ID、名称或UID进行模糊搜索,查找目标入侵事件。
开启拦截模式的威胁引擎开关
开启互联网边界防火墙后,威胁引擎默认启用拦截模式。如果您关闭拦截模式后,失陷感知页面只能检测到您的风险事件,无法对风险事件进行拦截。您可以在操作列单击一键防御,开启防护配置的威胁引擎的拦截模式。
重要一键防御开关不对单个事件进行控制。开启或关闭一键防御将会开启或关闭整个云防火墙的入侵防御功能。
忽略入侵事件
如果判断入侵事件为正常活动,可定位到需要忽略的事件,在操作列单击忽略。
说明标记为忽略的入侵事件将从入侵事件列表中移除,云防火墙后续不会再对该事件进行告警。
查看事件详情
定位到需要查看详情的事件,在操作列单击详情,查看入侵事件的详细信息和对应的安全建议。
AI辅助分析事件:单击AI分析列下的
图标,即可利用安全AI助手快速辅助失陷告警分析。内容包含:
Payload内容分析:包含关于选中告警的简要描述和AI对其分析的结果。
攻击者意图:AI分析得出的攻击者行为预测。
防御建议:提供云墙防护配置(ACL策略、IPS配置等)和资产排查的建议。
相关文档
该文章对您有帮助吗?