文档中心

云防火墙CFW用户指南（下）

最近更新时间：

7 处置中心

处置中心的功能包括人工处置、失陷主机、风险主机和应急响应。其中人工处置是通过人工方式创建或天眼、NGSOC 下发的处置策略，对异常或威胁进行处置；失陷主机或风险主机是通过威胁情报检测的结果；应急响应是对利用云端大数据发现最新的 IPS 漏洞或威胁情报信息并及时通知防火墙进行配置检查和修复、升级等处理。防火墙未购买威胁情报检测功能，但配置了天眼联动或 NGSOC 联动，也可以在天眼或 NGSOC 分析平台进行威胁情报检测后下发处置策略到防火墙。其中人工处置策略的优先级高于威胁情报，如果要把威胁情报库中的某一条动作为“阻断”的情报动作配置成“放行”，可以通过添加人工处置中威胁事件类型的处置对象去配置，添加这条情报的ID，动作配置为放行。

7.1 失陷主机

防火墙上开启了威胁情报检测，可以接收来自威胁检测结果，将用户网络中确认失陷的主机详情推送到“处置中心”的“失陷主机”页面。防火墙购买了本地威胁情报检测功能时可以进行本地威胁情报检测。请将本地威胁情报库升级到最新版本。用户可以在“失陷主机”页面中查看失陷主机列表，获取失陷时间、失陷主机情报的来源、受害 IP、IOC、处置状态等信息。管理员可以对失陷主机执行相应的处置、忽略等操作。

(1) 选择“处置中心 > 失陷主机”。

(2) 选择要查看的失陷主机情报的来源、时间、状态。防火墙支持通过来源、时间和状态进行失陷主机过滤。

(3) 查询特定条件的失陷主机。在查询框中输入要查看的内容。支持对失陷主机信息中的受害 IP、IOC、简介内容进行查询，在查询框中输入受害者 IP 地址、IOC中的信息、简介中的关键字可以对失陷主机进行查询。

(4) 查看失陷主机信息。

(5) 选择“处置中心 > 失陷主机”。对失陷主机进行处置。

对受害 IP、IOC 内容进行处置，处置动作分为阻断、日志，处置时间分为永久、90 天、30 天、7天、1 天。忽略该条失陷主机情报，不对失陷主机及 IOC 内容做任何处置。已忽略、已处置的失陷主机情报可以通过撤销，撤销之前处置。

(6) 查看命中详情数。单击，查看命中数详情。

7.2 人工处置

防火墙支持直接对日志中对应的异常行为进行处置，处置结果会在“处置中心”的“人工处置”中列出。用户可以在“人工处置”中查看到处置的源信息、目的信息、创建时间、生效时间、失效时间、命中数、处置动作和状态，并可对已处置或尚未处置的对象进行撤销处置、忽略、处置等操作。用户也可以在人工处置页面添加处置对象进行处置。

7.2.1 添加网络连接类型处置对象

当某个网络连接确定为威胁时，可以手工添加网络类型处置对象，并设置合适的处置动作。

(1) 选择“处置中心 > 人工处置”。

(2) 单击“添加”。

(3) 处置类型选择“网络连接”。

(4) 配置处置参数。