更新时间:2023-12-20
封禁地址是指网络中将某个不安全的地址(如恶意网站、恶意IP地址等)加入黑名单,禁止访问。XDR联动AF下发网络侧封堵策略,封堵对象IP地址、URL、域名;支持提高安全运营响应效率。
:
-
需要注意的封禁地址中源IP为受害IP,手动填写IP、IP类型、端口、封禁时长等,支持解除封禁和再次封禁。
例如需要对经过AF设备的流量中禁止内网主机对域名www.360se[.]net的访问。
步骤一:点击响应管理->封禁地址导航栏,点击“新增”按钮,规则名称为禁止内网主机对域名www.360se.net的访问,封禁类型为域名,封禁时长为永久封禁,联动设备为已跟XDR对接的全部AF设备。
在XDR平台上封禁地址成功后,手动添加的封禁地址,关联告警跟关联时间均为手动,登录对应的AF设备控制台,在安全运营->黑白名单->黑名单->永久封锁名单看到XDR联动AF下发的封禁地址。
:
-
如果封禁时长非永久封禁,在安全运营->黑白名单->黑名单->临时封锁名单看到XDR联动AF下发的封禁地址。
XDR检测出安全事件,您需要对该事件中的攻击者以及实现主机恶意外联的域名进行快速封禁,实现对事件中威胁实体(外网IP/域名)的一键遏制。
点击安全事件处理导航栏,勾选需要处置的安全事件,点击一键遏制,在弹出窗口中默认网侧设备全选AF设备进行封堵,点击确定实现威胁的一键遏制。当前支持有AF或EDR其中一种安全设备即能通过XDR进行威胁遏制,补齐E侧遏制效果,在客户拥有深信服设备时能将XDR成为全网统一的运维平台。
一键遏制成功之后,安全事件状态变更为【已遏制】,通过响应管理->封禁地址查看封堵详情。如下图所示,一键遏制新增封禁地址会关联对应告警以及事件。
一键遏制的外网IP以及域名会被AF设备永久封禁,登录对应的AF设备控制台,在安全运营->黑白名单->黑名单->永久封锁名单看到XDR联动AF下发的封禁外网IP以及域名。