暴力破解用于发现用户主机上各类阻止各类关键应用被暴力破解,尝试登录的行为,防止登录账户被爆破。目前支持rdp、ssh和winrm三种服务。
具体操作:
攻击记录查看:列表中根据服务类型、攻击来源和攻击目标聚合所有的攻击记录。点击累计攻击次数的按钮,可查看当前攻击来源对这台主机上的该服务已经进行的攻击记录;
自动封停:功能具备自动封停机制,会对达到封停条件的入侵告警进行封停操作,封停后攻击来源在封停时间内无法再次暴力破解该主机上的该服务;
手动封停按钮:点击后可对上报的攻击来源进行手动封停操作,手动封停为永久封停,如需解除封停需要手动解封;
手动解封按钮:点击后可解封已被封停的攻击来源;
加入白名单按钮:用户可以选择手动将一条暴力破解记录加入白名单。加入以后这条记录将成为一条规则,这条规则由该暴力破解的登录时间、登录IP、登录区域三个条件以与关系结合成规则。该规则的适用范围为这条记录的主机IP。
服务设置
进入服务设置列表,可以根据需要选择rdp、ssh和winrm服务的开启关闭状态。
查看白名单
选择“白名单规则”进入白名单规则列表。暴力破解白名单是为了将某些登录认定为正常登录行为而非上报为暴力破解,防止一些不必要的上报和封停。
| 规则 | 条件列表 | 规则范围 |
|---|
| 说明 | 条件列表是具体的条件详细内容,条件之间为“与”关系。
攻击来源:设置某个IP、IP段或系统已有的IP组为正常登录IP,添加方式包括手动添加、常用IP组导入;
攻击时间:设置一个或多个时间点为正常登录时间,登录时间设置方式星期加上起止时间;
攻击使用账号:用户手动填写一个或者多个账号。 | 全部主机:指的是所以装有Agent的主机;
自定义范围:可以选择业务组与自己输入单台主机IP的复合结果。 |
查看白名单受影响记录:对于已经保存的单条规则,用户可以点击“查看详情”,查看受白名单影响的记录列表
编辑白名单:对于已经保存的单条规则,用户可以选择对其进行修改。 白名单规则修改后,对后续上报的事件进行生效。 遍历数据的限制条件同新建白名单
删除白名单: 对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除
自动封停设置
开启该功能后,非内网的攻击主机会被自动封停,需要手动解封。
导出
暴力破解的数据导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。选择的方式有手动选择和全部导出两种。
例如:用户会导出暴力破解数据用于特定的统计处理,对近期的检测数据进行存档等。
