华为乾坤-事件概览:背景信息

时间:2024-09-03 11:52:37

背景信息

华为乾坤可以防护外部攻击、内部失陷主机、恶意文件下载等事件。

华为乾坤识别出告警事件后,经过进一步智能处置形成威胁事件,威胁事件分为外部攻击源、失陷主机和恶意文件三种类型。

威胁事件页面默认显示近30天的数据。租户可以单击右上角的威胁周期页签,指定页面显示某个特定时间段内的数据。当租户选定“更多”页签时,页面将显示近6个月的数据。

某些特殊场景下的威胁事件,会在参数列打上对应标签:

  • 攻击成功的威胁事件在“事件名称”栏打上“攻击成功”标签。
  • 不同站点间的资产发生攻击时(比如:A站点的资产A攻击B站点的资产B),在威胁事件的“事件名称”栏打上“站点间扩散”标签。
  • 若租户已购买重保套餐,在网络安全演练期间,如果威胁事件匹配到攻方IP,则在“事件名称”栏打上“重保”标签。同时威胁事件支持按标签进行筛选,以便让租户清楚了解哪些威胁事件是与网络安全演练相关的。
  • 采用旁路模式上线的设备检测到的威胁事件,“攻击状态”栏将打上“旁路”标签。旁路模式的设备无法对流量进行阻断。

某些检测类型事件,只有在符合条件的场景下才会呈现:

  • 蜜罐:购买并开通了云蜜罐服务套餐后,蜜罐类事件才能被检测并呈现在威胁事件列表中。

威胁事件支持“按事件类型”“按站点”查看。两种方式呈现维度不同,但涉及的威胁事件相同。如果没有特殊说明,以下章节对外部攻击源、失陷主机、恶意文件的详细介绍均以“按事件类型”查看为例。

高等级租户享有对自身及下级租户威胁事件的查看、处置权限。

support.huaweicloud.com/qiankunbpr-qiankuncs/qiankuncs_bpr_03_0025.html