如下图所示,上方展示暴力破解事件的统计情况,下方展示暴力破解事件列表。
1.统计情况包括待处理告警事件数和存在风险的服务器数,都默认统计最近一周的时间,还可以统计最近一月和最近三月的时间维度。待处理告警事件:统计事件列表中的事件数,存在风险的服务器:统计有暴力破解事件的服务器数量,如果同一台服务器有不同的事件需要进行去重。
2.事件列表包括服务器、攻击源IP、攻击源IP位置、攻击次数、最后攻击时间、描述、阻断状态和操作,默认按照最后攻击时间进行排序,最新的事件排在最上方,并默认展示一周内的事件列表。阻断状态分为阻断成功和未阻断两种情况。事件列表可按照时间、状态、攻击源IP、服务器名称、服务器IP进行搜索。
3.操作为加入白名单,点击后弹出如下对话框,在对话框中点击“确认”后,事件列表中该事件状态变更为“已加白”。该事件的服务器和攻击源IP加入白名单,成为一条白名单策略。
4.若您需要将加入白名单的策略进行移除,请点击暴力破解主页的“白名单管理”,如下图所示:
5.白名单管理中可对暴力破解的白名单规则进行设置,包括白名单规则的新增、编辑和删除。白名单规则列表可根据服务器名称和服务器IP进行搜索,若该规则中包含该台服务器,即进行显示。
6.点击“新增白名单”时,弹出如下对话框,可填写来源IP、描述,并填写服务器分类。登录IP支持单个IP(示例:1.1.1.1)、IP范围(示例:1.1.1.1-1.1.1.10)和IP段(示例:172.168.34.1/20)。多个IP之间用英文, 隔开。服务器可选择全部服务器和部分服务器。登录IP和服务器均为必填选项。
7.当所有字段都选择完成后,会生成白名单规则,显示在白名单列表中,如下图所示:
8.可在操作中,对该白名单规则进行编辑和删除。当点击操作中的“编辑”时,弹出如下对话框,可编辑登录IP和描述,点击确定后,该白名单规则编辑完成。
9.当点击操作中的“删除”时,弹出如下对话框,点击确定后,该白名单规则将被删除。