最近更新时间:2022-04-01
各类入侵检测的处置方式类似,以下以暴力破解为例。
已经获取紫光云平台的账号和密码。
已购买并登录主机安全平台。
在“主机安全”首页,依次选择左侧导航栏中的“入侵检测 > 暴力破解”,进入暴力破解页面。
在“暴力破解”页面,可以完成如下配置。
攻击记录查看:点击“累计攻击次数”,可查看当前攻击来源对这台主机上的该服务已经进行的攻击记录。
自动封停:点击“自动封停设置”,会对达到封停条件的入侵告警进行封停操作,封停后攻击来源在封停时间内无法再次暴力破解该主机上的该服务。
手动封停按钮:点击
,可对上报的攻击来源进行手动封停操作,手动封停为永久封停, 如需解除封停需要手动解封。
加入白名单按钮:点击
,可以选择手动将一条暴力破解记录加入白名单。加入以后这条记录将成为一条规则,这条规则由该暴力破解的登录时间、登录IP、登录区域三个条件以与关系结合成规则。
服务设置:单击“服务设置”,进入服务设置列表,可以根据需要选择 vsftpd 或者 sshd 两个服务的开启关闭状态。
查看白名单:选择“白名单规则”,进入白名单规则列表,进入白名单规则设置。暴力破解白名单是为了将某些登录认定为正常登录行为。
主机配置检测:检测各个服务在主机上的配置情况,可以根据需要导出主机配置信息进行处理。
