华为云用户手册

背景信息 为保障漏洞扫描服务能够访问企业内部资产，并执行扫描任务，需要在华为乾坤和天关（部署在企业内部）之间建立VPN隧道。VPN隧道会在执行扫描任务前，自动下发配置进行创建，并会在扫描结束后自动断开。 建立VPN隧道前需要配置VPN接口，配置VPN接口目前支持以下两种方式： 自动配置：天关/防火墙上线后，当用户创建资产发现或漏洞扫描任务时，漏洞扫描服务自动获取上行接口作为与华为乾坤创建VPN隧道的接口（简称：VPN接口）。 人工配置：当自动配置存在获取数据不准确的情况时，需要人工检查和重新配置。

背景信息 域名黑名单管理是边界防护的重要环节，通过安全策略关联DNS过滤配置文件，可以有效避免内部资产对恶意域名的持续访问。 域名黑名单主要来源于以下几种情况： 华为乾坤对威胁事件进行智能分析后，由华为乾坤自动下发。 租户在控制台手动创建并下发域名黑名单。 域名黑名单包括以下几种状态： 已生效：域名黑名单保存在华为乾坤，已经成功下发到天关设备，并已经生效。 部署中：域名黑名单保存在华为乾坤，但未下发到天关设备。 部署失败：已部署下发指令，但由于其他原因导致下发失败。 高等级租户享有对自身及下级租户的域名黑名单的查看权限。

背景信息 每台终端均有一个黑白名单策略。云端会根据EDR Agent上报的进程信息，与黑白名单策略进行比对，用于判断该终端上是否存在恶意进程，并对相关进程进行管控。 如果进程在白名单中，表示用户认可该进程不存在潜在风险，系统将忽略其可能触发的风险行为，不会再上报给云端进行检测和处置。 如果进程在黑名单中，表示用户不希望该进程继续运行，如果检测到该进程启动，用户可以选择手动处置或开启自动处置功能，系统将在进程启动后自动关闭该进程。

背景信息 天关的奇数编号接口（属于untrust区域）用于连接上行设备，偶数编号接口（属于trust区域）用于连接下行局域网设备，如果上下行连接错误，将影响华为乾坤威胁事件通知及展示。 华为乾坤根据过去24小时聚合的IPS事件和CDE事件，判断天关上下行接口连线接反的概率，例如CDE事件的概率为100%，则表示根据CDE事件判断，天关上下行接口连线100%接反。 华为乾坤将判断的结果提供给安全运营专家，安全运营专家根据IPS事件和CDE事件综合判断是否接反，如果确认接反，则在此界面提示用户存在设备安全域接反的情况。

背景信息 华为乾坤按照以下规则判定威胁事件是否为外部攻击源。 非信任域或混合域内的主机存在攻击行为，同时发生攻击行为的主机IP不在全局白名单内，且发生攻击行为的主机IP不在缺省私网网段内，此时判定此威胁事件为外部攻击源。 非信任域或混合域的具体信息请参见配置设备安全域。全局白名单的具体信息请参见配置全局白名单。缺省私网网段指10.0.0.0～10.255.255.255、172.16.0.0～172.31.255.555、192.168.0.0～192.168.255.255。 非信任域或混合域的内网地址存在攻击行为，同时主机IP地址在不可信内网地址内，判定为外部攻击源。不可信内网地址的具体信息请参见配置不可信内网地址。 针对外部攻击源，华为乾坤有如下几种处置方式： 华为乾坤智能分析后成功下发IP黑名单，其状态显示为“已封禁”。 华为乾坤智能分析后无法下发IP黑名单，由安全运营专家进一步分析后手动成功下发IP黑名单，其状态显示为“已封禁”。 华为乾坤智能分析和安全运营专家根据现有信息无法处置或者下发失败时，需要租户进行人工处置，其状态显示为“未处置”。 租户需要对“未处置”的外部攻击源进行处置，处置方法包括封禁攻击源和标记状态（已人工处置、已忽略）。 开通如下版本时，才能使用华为乾坤自动下发IP黑名单。 同时购买边界防护与响应服务标准版+自动阻断 边界防护与响应服务专业版 边界防护与响应服务高级版 边界防护与响应服务试用版

后续处理 外部攻击源的攻击源IP前显示攻击源IP所在国家国旗，鼠标悬停在国旗上可显示国名。您可以单击外部攻击源列表中的攻击源IP，查看此外部攻击源详情页面。 您可以在高级搜索中设置筛选条件，单击“导出”，导出符合筛选条件的外部攻击源列表（Excel格式文件）；或勾选预导出的外部攻击源，单击“导出”，导出选中的外部攻击源列表。 图3 外部攻击源列表 外部攻击源详情页面包含处置建议、处置记录、外部攻击源分析、关联告警事件列表等信息。 您可以单击“导出详情”，导出包含外部攻击源详细信息的Word格式文件。 图4 外部攻击源详情页面 导出完成后，请单击右上角帐号，选择“下载”，下载对应文件。 图5 下载中心 您可以单击外部攻击源详情页面中关联威胁事件列表中的事件名称，查看此事件的详情页面。 图6 事件详情页面 外部攻击源详情页面可能涉及公网地址，仅用于事件信息展示以帮助用户了解威胁事件，服务不会主动发起与这些公网地址的连接。

背景信息 华为乾坤根据设备提供的日志判断威胁事件的检测类型，如果检测类型为AV/CDE，则此威胁事件被识别为恶意文件。 如果设备检测到恶意文件时已拦截，则恶意文件事件的状态为“已拦截”，如果设备检测到恶意文件时未拦截，则恶意文件事件的状态为“未处置”。 针对“已拦截”、“未处置”的恶意文件，华为乾坤可以向租户发送短信和邮件告警通知租户或者下发IP黑名单。 租户需要对“未处置”的恶意文件进行处置，处置后将其状态标记为“已人工处置”或“已忽略”。

后续处理 您可以单击恶意文件列表中的事件名称，查看此恶意文件详情页面。 图2 恶意文件列表 恶意文件详情页面包含处置建议、处置记录、威胁分析等。 若租户同时购买终端防护与响应服务，并检测到终端资产存在恶意文件，可以在详情页面的“处置建议”区域进行处置。 华为乾坤对恶意文件取证后，将资产信息和文件信息发送到对应终端Agent，Agent根据文件HASH快速查找文件路径，租户可选择将恶意文件隔离或删除。 图3 恶意文件详情页面 恶意文件详情界面中的事件名称以及恶意文件详情可能涉及公网地址，仅用于事件信息展示以帮助用户了解威胁事件，服务不会主动发起与这些公网地址的连接。

场景说明 边界防护与响应服务、漏洞扫描服务、云日志审计服务支持配套USG6000F防火墙。 本文介绍USG6000F防火墙的上线操作，以及边界防护与响应服务、漏洞扫描服务、云日志审计服务所需的配置。 各服务配套的设备如表1所示。 表1 配套设备 服务 配套的防火墙型号 边界防护与响应服务 防火墙USG63xxF：USG6303F/USG6306F/USG6307F-D/USG6308F/USG6311F-D/USG6315F/USG6325F/USG6331F-D/USG6355F 防火墙USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6585F-B/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL 防火墙USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K 防火墙USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 防火墙USG6000F-Exx：USG6000F-E01/USG6000F-E03/USG6000F-E05/USG6000F-E07/USG6000F-E09/USG6000F-E12/USG6000F-E15/USG6000F-E20 漏洞扫描服务 防火墙USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL 防火墙USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K 防火墙USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 云日志审计服务 防火墙USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL 防火墙USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K 防火墙USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 父主题： USG6000F防火墙上线

套餐扣减方式 云日志审计服务的套餐扣减方式为每天凌晨2:00定时在当前套餐余额的基础上扣减前一天的日志量。 具体扣减方式如下： 计算前一天所有资产上报的平均日志量。平均日志量不足0.6GB/天，按0.6GB扣减，超过0.6GB/天，按实际扣减。 公式：前一天的平均日志量=前一天总日志量/前一天上报日志的资产数 计算剩余套餐余额。 公式：剩余套餐余额 = 当前剩余的套餐余额 - 前一天上报日志的资产数*平均日志量 举例说明： 以线下购买“20个资产，1年”套餐为例，介绍详细扣减方式。 假设第5天时，剩余套餐余额为4320GB，当天有20个资产上报日志，日志总量为20GB，则平均日志量为1GB/天（超过0.6GB/天，按实际进行扣减），扣减量为20*1GB=20GB。第6天凌晨2:00，系统会对第5天的套餐余额进行扣减，则扣减后，第6天剩余套餐余额 =第5天的总套餐余额-第5天的扣减量=4320GB-20GB=4300GB。 当剩余套餐余额不足时，系统会发送告警，提醒用户追加购买套餐。 当剩余套餐余额为0时，将不再接收审计日志。 若套餐达到服务期限，但剩余套餐余额仍大于0的情况下，如果到期前未续购套餐，系统将不再接收审计日志，并清空剩余套餐余额。如果到期前及时续购套餐，则可以继续使用剩余套餐余额。 当一段时间内每天的平均日志上报量超过资产数*0.6G，则可能出现归档日志剩余存储容量为0，但剩余套餐余额大于0的情况，此时新的日志将会覆盖最早的日志。此情况下，客户的归档日志存储时间将达不到180天。

约束与限制 表1 约束与限制 类别 约束与限制描述 天关型号 USG65xxE-C：USG6501E-C/USG6502E-C/USG6503E-C USG66xxF-C：USG6603F-C/USG6606F-C 说明： USG66xxF-C从V600R022C10SPC100版本开始支持。 防火墙型号 USG65xxE：USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E USG65xxE-K：USG6520E-K/USG6560E-K/USG6590E-K USG66xxE：USG6610E/USG6620E/USG6630E/USG6650E/USG6680E/USG6605E-B/USG6620E-K/USG6640E-K USG67xxE：USG6712E/USG6716E USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 防火墙双机热备场景，暂不支持漏洞扫描。 说明： USG6530E从V600R007C20SPC600版本开始支持。 USG66xxE、USG67xxE从V600R007C20SPC603版本开始支持。 USG65xxF、USG66xxF、USG67xxF从V600R022C10SPC100版本开始支持。 其他型号从V600R007C20SPC500版本开始支持。 USG66xxF、USG67xxF在使用资产主动发现功能时，可能出现主机发现资产数小于实际资产数的情况，请参见FAQ进行处置。 漏洞扫描 针对非网站类型的资产：只支持对IP地址格式为IPv4的资产进行漏洞扫描。 针对网站类型的资产：只支持对“URL”格式为“http(s)://IP地址:端口号”的资产进行漏洞扫描。 可扫描资产的IP地址需为非云上保留IP。 云上保留IP：10.252.0.64/26，10.252.0.0/28，172.27.0.0/23，172.28.0.0/23。 单个扫描任务最多支持添加20个资产。 资产发现 目前仅适用于A类/B类/C类私有IP地址网段和资产IP白名单范围内的资产发现。 可发现资产的IP地址需为非云上保留IP。 云上保留IP：10.252.0.64/26，10.252.0.0/28，172.27.0.0/23，172.28.0.0/23。 规格类 所有租户最多支持200个资产同时扫描。 对于款型为USG66xxF-C、USG65xxF、USG66xxF、USG67xxF的设备，如需正常使用漏洞扫描服务，设备上线后、服务启用前请执行以下配置代码：install feature-software WEAKEA 父主题： 产品介绍

后续处理 在“扫描任务”界面中，针对某一个历史扫描任务，您还可以做如下操作： 停止任务 您可以单击操作栏中的“停止”按钮，将扫描任务取消。仅“扫描状态”为“扫描中”的扫描任务支持此项功能。 删除任务 您可以单击操作栏中的“删除”按钮，将扫描任务删除。“扫描状态”为“扫描中”的扫描任务不支持此项功能。 重新扫描 您可以单击操作栏中的“扫描”按钮，重新执行扫描任务。定时扫描任务不支持此项功能。 下载报告 您可以单击“任务详情”页面中的“打印报告”按钮，下载扫描任务报告。“扫描状态”为“扫描成功”、“部分成功”、“已取消”的扫描任务均支持此项功能，报告仅包含任务中已完成扫描资产的漏洞信息。 若您已订阅“漏洞扫描任务结束通知”，在漏洞扫描任务执行完成后，云端会将扫描结果通过邮件发送到您指定的邮箱；若您没有添加该主题订阅，将不会收到相关通知。

背景信息 如果某些资产上运行的业务非常重要，或者用户确定某些资产不存在安全风险，则可以将这些资产的IP地址配置到全局白名单中，以防止这些资产的IP地址被错误下发IP黑名单。 某资产的IP地址被配置为全局白名单后，华为乾坤（包括自动下发、安全运营专家下发）不能将此IP地址当做IP黑名单下发给天关。用户在华为乾坤通过封禁攻击源、隔离主机或配置IP黑名单策略将此IP地址当作IP黑名单下发时，华为乾坤将提示用户是否要继续下发，租户根据实际情况选择是否需要继续下发。

场景描述 根据日志存储方式的不同，将云端存储空间划分为实时数据存储空间和归档数据存储空间两种。 实时数据存储空间：存储空间小，存储不超过当前套餐容量的最新日志；可以进行实时全文检索，查询速度快。 归档数据存储空间：存储空间大，可以存储符合等保要求的日志存储量；可以进行全量查询，但查询速度较慢。 考虑到日志的存储量大，存储周期长，如果使用热存储方式存储全部数据会造成用户使用成本过高。因此，当用户日志存储容量超过套餐内可用实时数据（热存储方式）存储空间时，会将实时数据存储空间内最早存储的日志数据存储到归档数据（冷存储方式）存储空间中。

背景信息 高级威胁事件是指因终端上的恶意进程产生的威胁事件，包括异常登录、暴力破解、异常事件等非法入侵行为。 针对高级威胁事件，云端有如下几种处置方式： 云端智能分析后推荐处置规则，并成功终止进程和隔离相关文件，其状态显示为“处置成功”。 云端智能分析后无法推荐处置规则，由安全运营专家进一步分析后手动下发处置规则，成功终止进程和隔离相关文件，其状态显示为“处置成功”。 云端智能分析和安全运营专家根据现有信息无法处置，需要租户进行人工处置时，其状态显示为“未处置”。 租户需要对“未处置”的高级威胁事件进行处置，处置方法包括“快速处置”和“标记状态”。 快速处置：使用系统推荐的快速处置方式，租户需核实确认并进行处置下发。处置过程中高级威胁事件显示为“处置中”，处置成功则返回状态“处置成功”，处置失败则返回状态“处置失败”。 标记状态：租户可手动对高级威胁事件进行标记，标记后处置状态分别显示为“忽略”、“已人工处置”。

背景信息 IP黑名单是一种阻断措施，华为乾坤将IP黑名单下发给设备后，设备会丢弃命中IP黑名单的报文。 从威胁事件维度看，下发IP黑名单有如下几种方式。 外部攻击源：包括华为乾坤自动下发、安全运营专家下发、用户执行“封禁攻击源”下发。 失陷主机：用户可以执行“隔离主机”下发。 此外，用户还可以根据实际的网络环境或业务需要，从设备维度（针对某设备）手动下发IP黑名单，作为上述IP黑名单下发的补充手段，以提高安全防护的灵活性。 IP白名单是一种放通措施，华为乾坤将IP白名单下发给设备后，设备会放通命中IP白名单的报文。 高等级租户享有对自身及下级租户的IP黑白名单的创建、修改权限。 用户手动下发黑白名单时，如果设备黑白名单数量超规格，则会提示下发失败。 华为乾坤自动下发黑名单时，如果设备黑名单数量超过规格，华为乾坤将滚动删除之前自动下发的黑名单，以保证本次下发成功。当剩余的黑名单都由用户手动下发时，华为乾坤自动下发也会失败。

背景信息 表1 设备说明 设备型号 说明 USG65xxF USG6525F/USG6555F/USG6565F/USG6585F/USG6585F-B/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL USG66xxF USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K USG67xxF USG6710F/USG6715F/USG6725F/USG6710F-K 无需激活设备即可使用其功能 USG6000F-Exx USG6000F-E01/USG6000F-E03/USG6000F-E05/USG6000F-E07/USG6000F-E09/USG6000F-E12/USG6000F-E15/USG6000F-E20 需要激活设备后才能使用其功能

背景信息 为进一步分析病毒特征，提高病毒查杀能力，为您提供更专业的安全防护能力，当您在使用本服务病毒查杀功能时，您可以授权我们接收由终端设备EDR Agent软件收集的病毒样本文件并上传至终端防护与响应服务进行分析。病毒样本文件仅涉及可执行类型的威胁文件上传，不涉及终端设备用户的个人信息，也不包括终端设备用户基于使用这些文件、网址和软件所产生的任何数据（例如软件的存档、文档、图片等）。 如果取消威胁分析授权，您仍可以正常使用病毒查杀功能，但终端防护与响应服务将无法获取病毒样本的下载权限，这可能会降低本服务对终端资产的防护能力。 为了更好地排查解决故障根因，消减威胁风险，当您在使用本服务的故障分析功能时，您可以选择授权我们收集和上传终端设备生成的故障定位数据，以帮助我们定位故障并提供相关支持。故障定位数据包括已安装软件列表、全量进程列表、系统错误日志、软件错误日志、蓝屏Dump采集以及位于Agent安装目录下的文件。为生成故障定位数据，需要修改系统注册表的对应设置。 华为乾坤将为病毒样本文件、故障定位数据采取必要的安全措施。您享有删除病毒样本文件、故障定位数据的权利。对于您权利的行使，如有疑问请通过工单联系我们。

MSP基础操作 表1 MSP基础操作 操作任务 使用场景 操作入口 详细参考链接 登录控制台 当您使用服务时，需要使用MSP帐号登录控制台。 访问华为乾坤商城，单击右上角“登录”进行登录。 注册并登录控制台 个人中心设置 当您需要对个人帐号信息进行个性化设置，包括用户名、密码、邮箱、头像等修改。 单击控制台右上角个人帐号，选择“个人中心”。 个人中心设置 分权分域 支持分权分域管理。您可以根据组织结构划分不同的工作组，并为不同的工作组创建MSP帐号。 单击控制台右上角个人帐号，选择“权限管理”。 帐号管理 管理租户 支持MSP创建、查询、修改、导出租户信息。 单击控制台右上角“租户”。 租户管理 创建工单 当您使用服务时，一旦发现问题可立即创建工单。随后，华为乾坤工程师根据工单记录进行问题分析和处理。 单击控制台右上角个人帐号，选择“我的工单”。 工单管理 查看日志 日志主要包括操作日志和安全日志。 单击控制台右上角个人帐号，选择“日志”。 日志查看 查看公告 当您需要了解服务最新消息，如产品公告、安全公告、升级公告等，可以查看。 单击控制台右上角个人帐号，选择“公告”。 查看公告 父主题： 更多操作

背景信息 重保服务，即重要敏感时期从网络层面、服务器层面、数据层面为用户构建全方面安全保障服务。 在网络安全演练期间，攻击方使用的攻击主机多数是非恶意IP，在威胁信息库中收录较少甚至没有。针对此类IP，运维人员仅凭现有的威胁信息，难以进行有效地分析处置。威胁信息中心需要及时生产和更新内生威胁信息，以辅助运维人员对抗网络安全演练。 重保威胁信息有以下几种生产方式： 利用AI算法，近实时生产即时网络安全演练数据，并更新到威胁信息中心。 利用威胁信息生产系统，生产通用网络安全演练数据，并更新到威胁信息中心。 安全运营专家手动创建。 租户手动创建。 安全运营专家可以创建重保威胁信息，也可以修改、删除来源于AI算法、威胁生产系统、安全运营专家创建的重保威胁信息，但不能修改、删除租户创建的重保威胁信息。 一级租户可以创建重保威胁信息，也可以修改、删除一级租户创建的重保威胁信息，但不能修改、删除来源于AI算法、威胁信息生产系统、安全运营专家创建的重保威胁信息。非一级租户仅可查看各类重保威胁信息。 威胁信息中心每日执行定时任务，自动删除已过期的来源于AI算法、租户创建、安全运营专家创建的威胁信息。 AI算法和威胁信息生产系统生产的重保威胁信息，如果关联IP地址相同，按IP地址维度归并为一条，在重保威胁信息详情的“来源”中标注其多源头。

配置天关/防火墙上线 本服务需要客户侧部署天关或防火墙才能正常使用。本服务配套的天关或防火墙的型号，如表1所示。 表1 天关或防火墙的型号 设备类型 设备型号 支持版本 天关 USG65xxE-C：USG6501E-C/USG6502E-C/USG6503E-C USG66xxF-C：USG6603F-C/USG6606F-C USG65xxE-C：V600R007C20SPC300及其后续版本。针对云日志审计服务，支持的版本为V600R007C20SPC500及其后续版本。 USG66xxF-C：V600R022C10及其后续版本 防火墙 USG65xxE：USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E USG65xxE-K：USG6520E-K/USG6560E-K/USG6590E-K USG66xxE：USG6610E/USG6620E/USG6630E/USG6650E/USG6680E/USG6605E-B/USG6620E-K/USG6640E-K USG67xxE：USG6712E/USG6716E USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K USG6530E：V600R007C20SPC600及其后续版本 USG66xxE、USG67xxE：V600R007C20SPC603及其后续版本 USG65xxF、USG66xxF、USG67xxF：V600R022C10 及其后续版本 说明： USG66xxF、USG67xxF在使用资产主动发现功能时，可能出现主机发现资产数小于实际资产数的情况，请参见FAQ进行处置。 其他型号：V600R007C20SPC500及其后续版本 由于边界防护与响应服务、漏洞扫描服务和云日志审计服务均需要使用天关或防火墙，故共用一套上线指南，具体操作请参见《天关和防火墙上线指南》。 父主题： 部署指南

前提条件 已确认待安装EDR Agent的终端满足安装要求，具体要求如表1所示。 表1 终端约束与限制 终端类型 硬件要求 操作系统要求 CPU 内存 硬盘 PC 2核CPU 4GB及以上 可用磁盘空间不少于10GB Windows 7 专业版、旗舰版、企业版 (32/64位) Windows 10（32位/64位） Windows 11（64位） 服务器 2核CPU 4GB及以上 可用磁盘空间不少于10GB Windows Server 2012 R2及以上（64位）

背景信息 华为乾坤按照以下顺序判定威胁事件是否为失陷主机。 如果是信任域内的主机存在攻击行为，判定为失陷主机。信任域的具体信息请参见配置设备安全域。 如果是全局白名单内的IP地址存在攻击行为，判定为失陷主机。全局白名单的具体信息请参见配置全局白名单。 如果是在不可信内网地址内的主机存在攻击行为，不判定为失陷主机。不可信内网地址的具体信息请参见配置不可信内网地址。 如果是缺省私网网段内的IP地址存在攻击行为，判定为失陷主机。缺省私网网段指10.0.0.0～10.255.255.255、172.16.0.0～172.31.255.555、192.168.0.0～192.168.255.255。 根据失陷类型的不同，安全运营专家可以为失陷主机打上“勒索”、“挖矿”、“蠕虫”、“远控”、“漏洞攻击”、“不安全配置”等标签，暂未识别失陷类型的归入“其他”。 针对失陷主机，华为乾坤向租户发送短信和邮件告警，失陷主机的状态置为“未处置”。租户需要进一步确认和处置，处置方法包括隔离主机和标记状态（已人工处置、忽略）。 此外，对于恶意域名检测类型事件分析后产生的失陷主机，除了向租户发送短信和邮件告警，华为乾坤还会自动下发域名黑名单，用户再次访问域名黑名单中的域名将被阻断。 USG6000F-C天关、USG6000F防火墙、USG12000防火墙从V600R023C10支持下发域名黑名单功能。USG6000E-C天关、USG6000E防火墙支持自动下发域名黑名单功能，并且开通如下版本时，才能使用自动下发域名黑名单功能。 同时购买边界防护与响应服务标准版+自动阻断 边界防护与响应服务试用版 边界防护与响应服务高级版

后续处理 您可以单击失陷主机列表中的“录入资产”按钮，将失陷主机录入云平台。 使用IPv6地址的失陷主机不支持录入资产，资产录入的参数说明请参见《租户操作指南》中“资产录入”章节。 对于已录入的资产，您可以单击失陷主机列表中的资产名称，对资产信息进行编辑。 您可以单击失陷主机列表中的失陷主机IP，查看此失陷主机详情页面。 图3 失陷主机列表 失陷主机详情页面包含处置建议、处置记录、失陷类型分析和关联告警事件列表等信息。 您可以单击“导出详情”，导出包含失陷主机详细信息的Word格式文件。 图4 失陷主机详情页面 若租户同时购买终端防护与响应服务，并检测到失陷主机存在挖矿行为或感染病毒，可以在详情页面的“处置建议”区域中进行处置。 一键隔离：隔离操作将会杀死该主机上的全部挖矿进程，并隔离这些进程文件。 病毒查杀：根据查杀结果，手动处理病毒文件（立即终止运行进程并将病毒文件移动到隔离区，或忽略不处置）。 若失陷主机上存在多个挖矿或病毒事件，对单个事件进行处置时，此失陷主机上的其余事件也会被同步处置。处置完成后，所有事件都会被标识为“已人工处置”状态。 导出完成后，请单击右上角帐号，选择“下载”，下载对应文件。 图5 下载中心 您可以单击失陷主机详情页面中关联威胁事件列表中的事件名称，查看此事件的详情页面。 图6 事件详情页面 失陷主机详情页面可能涉及公网地址，仅用于事件信息展示以帮助用户了解威胁事件，服务不会主动发起与这些公网地址的连接。

背景信息 勒索事件是指因勒索软件产生的威胁事件，包括文件篡改、漏洞利用等。 针对勒索事件，云端有如下几种处置方式： 云端智能分析后推荐处置规则，并成功终止进程和隔离相关文件，其状态显示为“处置成功”。 云端智能分析后无法推荐处置规则，由安全运营专家进一步分析后手动下发处置规则，成功终止进程和隔离相关文件，其状态显示为“处置成功”。 云端智能分析和安全运营专家根据现有信息无法处置，需要租户进行人工处置时，其状态显示为“未处置”。 租户需要对“未处置”的勒索事件进行处置，处置方法包括“快速处置”和“标记状态”。 快速处置：使用系统推荐的快速处置方式，租户需核实确认并进行处置下发。处置过程中勒索事件显示为“处置中”，处置成功则返回状态“处置成功”，处置失败则返回状态“处置失败”。 标记状态：租户可手动对勒索事件进行标记，标记后处置状态分别显示为“忽略”、“已人工处置”。

背景信息 华为乾坤需要识别攻击的发出区域、到达区域属于的安全域类型用于分析威胁事件。 华为乾坤提供以下几种类型的安全域： 信任域：用户信任的安全区域，通常用来定义用户的内部网络，华为乾坤不会对该区域发起的“威胁流量”进行封禁。 混合域：介于信任域和非信任域之间安全区域，属于一个特殊的网络，华为乾坤不会对该区域发起的“威胁流量”进行封禁。 非信任域：属于用户不信任的安全区域，通常用来定义Internet等不安全的网络，华为乾坤会自动封禁从该区域发起的“威胁流量”。 华为乾坤默认将trust区域和DMZ区域添加到信任域中，untrust区域添加到混合域中。同时华为乾坤根据威胁事件判断，将其他区域添加到相应的安全域中（非信任域除外）。

背景信息 病毒文件会产生恶意进程，给终端造成了很大的安全隐患。终端防护与响应服务支持对终端上的文件进行检测，筛查出病毒文件。 创建病毒扫描任务，是检测和处置病毒文件的前提。目前支持的病毒扫描任务创建模式为“快速查杀”、“全盘查杀”、“自定义查杀”。 快速查杀：建立节约时间的病毒扫描任务，使用系统默认的查杀策略对终端执行基本的病毒扫描。 全盘查杀：建立对于全磁盘的病毒扫描任务，对终端执行最彻底的病毒扫描。 自定义查杀：根据租户实际需求，使用针对性的查杀策略对终端执行病毒扫描任务。

背景信息 挖矿木马是指因挖矿软件产生的威胁事件，包括恶意域名访问、恶意样本创建、恶意IP连接等。 针对挖矿木马，云端有如下几种处置方式： 云端智能分析后推荐处置规则，并成功终止进程和隔离相关文件，其状态显示为“处置成功”。 云端智能分析后无法推荐处置规则，由安全运营专家进一步分析后手动下发处置规则，成功终止进程和隔离相关文件，其状态显示为“处置成功”。 云端智能分析和安全运营专家根据现有信息无法处置，需要租户进行人工处置时，其状态显示为“未处置”。 租户需要对“未处置”的挖矿木马事件进行处置，处置方法包括“快速处置”和“标记状态”。 快速处置：使用系统推荐的快速处置方式，租户需核实确认并进行处置下发。处置过程中挖矿木马事件显示为“处置中”，处置成功则返回状态“处置成功”，处置失败则返回状态“处置失败”。 标记状态：租户可手动对挖矿木马事件进行标记，标记后处置状态分别显示为“忽略”、“已人工处置”。

背景信息 终端防护与响应服务会根据配置的异常登录策略判断终端上是否存在非法登录行为，对不在该策略内的登录行为进行告警，并提供处置方式。租户通过配置异常登录策略，管理相应终端的登录行为。 当终端安装EDR Agent后，用户首次成功登录终端，如果此时未配置异常登录策略，EDR Agent不会触发告警，并且首次成功登录的IP地址及该时间点往后顺延24小时内的所有公网登录地址都会被云端识别为合法登录地址；如果已配置异常登录策略，未配置在异常登录策略中的登录行为均被认为是非法登录行为。

背景信息 当病毒扫描任务执行完成后，检出的病毒文件均不被自动处置，状态显示为“未处置”。租户需要在“防病毒中心”对检出的病毒文件进行人工处置，处置方法包括处置方法包括“快速处置”和“标记状态”。 快速处置：使用系统推荐的快速处置方式，租户需核实确认并进行处置下发。处置过程中病毒文件事件显示为“处置中”，处置成功则返回状态“处置成功”，处置失败则返回状态“处置失败”。 标记状态：租户可手动对病毒文件事件进行标记，标记后处置状态分别显示为“忽略”、“已人工处置”。 此外，租户还可通过“威胁分析”获得与该病毒文件有关的威胁信息。