华为乾坤-失陷主机:背景信息

时间：2024-11-04 10:28:15

华为乾坤处置威胁事件

华为乾坤按照以下顺序判定威胁事件是否为失陷主机。

如果是信任域内的主机存在攻击行为，判定为失陷主机。信任域的具体信息请参见配置设备安全域。
如果是全局白名单内的IP地址存在攻击行为，判定为失陷主机。全局白名单的具体信息请参见配置全局白名单。
如果是在不可信内网地址内的主机存在攻击行为，不判定为失陷主机。不可信内网地址的具体信息请参见配置不可信内网地址。
如果是缺省私网网段内的IP地址存在攻击行为，判定为失陷主机。缺省私网网段指10.0.0.0～10.255.255.255、172.16.0.0～172.31.255.555、192.168.0.0～192.168.255.255。

根据失陷类型的不同，安全运营专家可以为失陷主机打上“勒索”、“挖矿”、“蠕虫”、“远控”、“漏洞攻击”、“不安全配置”等标签，暂未识别失陷类型的归入“其他”。

针对失陷主机，华为乾坤向租户发送短信和邮件告警，失陷主机的状态置为“未处置”。租户需要进一步确认和处置，处置方法包括隔离主机和标记状态（已人工处置、忽略）。

USG6000F-C系列天关、USG6000F系列防火墙、USG12000系列防火墙暂不支持下发域名黑名单功能；USG6000E-C系列天关、USG6000E系列防火墙支持自动下发域名黑名单功能，并且开通如下版本时，才能使用自动下发域名黑名单功能。