通过部署蜜罐,实时监听攻击者对蜜罐端口的扫描行为,若发现异常扫描行为,系统会向您提供实时告警。
使用限制
请先购买旗舰版配额并绑定主机后,才能正常使用。
设置蜜罐防护规则
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“入侵检测 > 端口蜜罐”,进入端口蜜罐页面。
-
单击告警列表右上角的设置按钮,进入防护设置页面。
参数说明:
参数 说明 启用蜜罐防护 可开启或关闭蜜罐防护功能。 设置蜜罐端口 输入需要开启的蜜罐端口,多个以英文逗号隔开, 最多支持10个端口。
注意设置的端口请确保未被占用,若端口被占用会导致蜜罐防护功能开启失败。
设置生效范围 可选择全部服务器和部分服务器。 -
当所有字段都选择完成后,单击“确认”,完成配置。
查看端口蜜罐告警
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“入侵检测 > 端口蜜罐”,进入端口蜜罐页面。
-
查看端口蜜罐告警。
-
查看统计数据
页面上方展示端口蜜罐告警事件的统计情况,包括待处理告警事件数和存在风险的服务器数。默认统计最近一周的数据,还可以统计最近一月和最近三月的时间维度。
-
查看告警列表
页面下方展示端口蜜罐告警列表,告警事件列表展示字段包括服务器、攻击源IP、扫描端口、扫描类型、首次发现时间、最后发现时间、状态。
告警事件支持按发现时间、处理状态、服务器名称、服务器IP、攻击源IP进行搜索。
-
处理端口蜜罐告警
标记为已处理
若您已手动处理告警,可将其“标记为已处理”,标记后,告警的状态将从“未处理”变为“已处理”。
具体操作步骤如下:
-
在端口蜜罐告警列表中,找到目标告警,单击操作列的“标记已处理”,或勾选目标告警,单击列表上方的“标记已处理”进行批量处理。
-
在弹出的对话框中单击“确认”。
加入白名单
经过分析后确认为误告警,可将此告警加入白名单,后续检测到相同攻击行为后不再进行告警。
具体操作步骤如下:
-
在端口蜜罐告警列表中,找到目标告警,单击操作列的“加入白名单”,或勾选目标告警,单击列表上方的“加入白名单”进行批量处理。
-
在弹出的对话框中单击“确定”。
该告警会生成一条白名单规则,显示在白名单列表中。
白名单管理
将告警进行加白操作后,可进入白名单管理页面对白名单规则进行管理,支持删除白名单规则。
同时白名单规则列表可根据服务器名称、服务器IP、连接进程或目标主机端口进行搜索,若该规则中包含该台服务器、IP、连接进程或目标主机端口,即进行显示。
移除白名单
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“入侵检测 > 端口蜜罐”,进入端口蜜罐页面。
-
单击页面右上角的“白名单管理”,进入白名单管理页面。
-
单击白名单操作列中的“删除”,或勾选目标告警,单击列表上方的“移除白名单”进行批量处理。
-
在弹出的提示框中单击“确定”,所选白名单规则将被删除。