残余攻击是指部署在防御体系之后的探针所检测到的攻击，存在此类攻击，说明相应防御设备的防御能力需要升级，或者防护策略有疏漏，需要进一步加固。SIP平台可通过部署在防火墙后的探针进行残余攻击检测与分析。

探针定义

为保障残余攻击分析精准，需手动定义部署在防火墙后的探针。当该探针检测到的外网攻击行为时，则攻击行为即为残余攻击。管理员可在[分析中心/威胁专项分析/残余攻击]页面，点击<配置探针>进行防火墙之后的探针配置。

整体展示

在[威胁专项分析/残余攻击]页签下，管理员可查看以下TOP5数据：

• 遭受攻击最多的服务器TOP5：遭受到残余攻击最多的排名服务器前五；

• 攻击源TOP5：可点击<更多>查看全部攻击来源，并支持数据导出；

• 攻击源地区TOP5：发起攻击最多的国家或地区排名前五；

• 攻击类型TOP5：可点击<更多>查看攻击类型对应的受害者IP等详细信息，并支持数据导出。

同时，页面支持通过最近7天、最近30天、今天以及最近24小时进行数据统计，同时，可点击<更多筛选>，对[攻击者所属地]及[攻击类型]进行筛选，页面如下图所示。

管理员点击页面左上角的<导出>可将所有的残余攻击导出为excel表格进行查看。

详情分析

在[威胁专项分析/残余攻击]页签下，管理员可查看攻击详情，主要包括攻击者IP、攻击者所属地、检测设备、受害者、受害者所属资产组织、域名、攻击类型、攻击时间及日志数等详细信息，支持通过“资产组织”及“关键字”进行检索，如下图所示。

点击<攻击者IP>会跳转至[潜伏威胁黄金眼]页面，展示该IP的风险情况，如下图所示。

点击<攻击类型>或<日志数>会跳转至[分析中心/日志检索]页面，展示该攻击类型的详细日志信息，如下图所示。

危害和处理建议

在[威胁专项分析/残余攻击]页签下，管理员可查看残余攻击的“危害和处理建议”，点击<查看更多>可查看完整建议，如下图所示。