文档

失陷感知

更新时间:

在服务器受到入侵时,云防火墙失陷感知功能可以帮助您及时发现并识别入侵事件,避免业务遭受重大损失。本文介绍如何查看入侵事件和开启一键防御能力。本文介绍如何查看服务器是否存在安全威胁及配置防护模式。

前提条件

  • 已开启互联网边界防火墙。具体操作,请参见开启防火墙开关

  • 已开启威胁引擎的拦截模式。具体操作,请参见IPS配置

操作步骤

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择检测响应 > 失陷感知

  3. 失陷感知页面,查看入侵事件详细信息。

    失陷感知页面,您可以根据需要执行以下操作。

    • 查看事件列表

      在入侵事件列表,查看入侵事件的详细信息,包括风险级别、受影响资产IP和UID、处理状态等信息。

    • 查找目标事件

      在上方菜单栏,筛选风险级别、时间类型、处理状态、检测时间范围,或输入实例IP、ID、名称或UID进行模糊搜索,查找目标入侵事件。

    • 开启拦截模式的威胁引擎开关

      开启互联网边界防火墙后,威胁引擎默认启用拦截模式。如果您关闭拦截模式后,失陷感知页面只能检测到您的风险事件,无法对风险事件进行拦截。您可以在操作列单击一键防御,开启防护配置的威胁引擎的拦截模式。

      重要

      一键防御开关不对单个事件进行控制。开启或关闭一键防御将会开启或关闭整个云防火墙的入侵防御功能。

    • 忽略入侵事件

      如果判断入侵事件为正常活动,可定位到需要忽略的事件,在操作列单击忽略

      说明

      标记为忽略的入侵事件将从入侵事件列表中移除,云防火墙后续不会再对该事件进行告警。

    • 查看事件详情

      定位到需要查看详情的事件,在操作列单击详情,查看入侵事件的详细信息和对应的安全建议。

相关文档