受感染主机的配置

阻止的威胁级别阈值

设置全局威胁级别以阻止受感染的主机。当发现主机受到威胁时，系统会为其分配一个威胁级别。根据您在此处设置的全局威胁级别 （1-10，其中 10 为最高威胁），具有已设置威胁级别及以上的受损主机将被添加到受感染的主机列表中，随后可通过 SRX 系列防火墙上配置的策略进行阻止。有关详细信息，请参阅 主机概述 和 配置 SRX 系列防火墙以阻止受感染的主机 。

您可以将瞻博网络 ATP 云配置为在感染主机达到特定威胁级别时发送电子邮件。例如，当达到阈值 5 时，您可以向 IT 部门发送电子邮件，当阈值达到阈值 9 时，可以向上报部门发送电子邮件。

您可以向任何帐户发送电子邮件;您不限于在“用户”窗口中定义的管理员电子邮件。Web UI 不会验证电子邮件帐户是否有效。

配置阻止和电子邮件警报的威胁级别阈值

全球受感染主机警报的好处

• 当可能出现网络安全问题时，受感染主机的电子邮件警报会立即引起管理员的注意。

• 只能为特定管理员配置电子邮件警报，而不能为 Web 门户的所有用户配置电子邮件警报，从而更窄地定位警报。

1. 选择配置>受感染的主机。

2. （仅限高级许可证）设置默认威胁级别阈值。

3. 单击加号以创建电子邮件警报，或单击铅笔图标以编辑现有警报。配置下表中描述的字段。

4. 单击 “确定”。

表 1：受感染主机的电子邮件警报字段

设置	指引
威胁级别	选择介于 1 到 10 之间的威胁级别。当达到此级别时，将向您提供的地址发送一封电子邮件。
电子邮件	输入电子邮件地址。

自动使被阻止的主机过期

当主机被标记为已感染并将其添加到受感染的主机源时，系统会通过 SRX 系列防火墙上配置的策略阻止该主机访问网络。瞻博网络 ATP 云 Web 门户的主机详细信息页面上提供了取消对单个主机的阻止的选项。有关信息，请参阅主机概述。如果要根据时间段和威胁级别取消阻止多个主机 IP 地址，则可以使用 Web 门户中“受感染的主机”页上的“自动使阻止的主机过期”功能。

在“全局受感染主机”页面中，您可以根据最小和最高威胁级别将受感染的主机设置为在配置的时间后过期。到达该时间段后，被阻止的 IP 地址将不再标记为已感染，因此不再被阻止。

可以使用此功能的一个示例是，如果按设定的计划使用 DHCP 寻址和重新分配地址。在这种情况下，您可能需要为受感染的主机设置过期时间（基于 IP 地址租用时间），在此时间之后，地址将不再标记为已感染。

配置受感染主机的自动过期

1. 选择配置>受感染的主机。

2. （仅限系统管理员和操作员）启用 自动使被阻止的主机过期 ，然后选择以下选项之一：

   • 使所有主机过期

   • 使一系列主机过期 - 输入 IPv4 或 IPv6 地址范围。

     以下任何 IPv4 格式均有效： 1.2.3.4/30, or 1.2.3.4-1.2.3.6

     以下任何 IPv6 格式均有效： 1111::1-1111::9, or 1111:1::0/64

     注意：

     接受的 /16 IPv4 地址和 /48 IPv6 地址块最多。例如， 10.0.0.0-10.0.255.255 有效，但 10.0.0.0-10.1.0.0 不有效。

     位掩码：IPv4 的子网记录中位掩码覆盖的最大 IP 地址数为 16 个，IPv6 为 48 个。例如， 10.0.0.0/15 和 1234::/47 无效。也接受 CIDR 表示法。

3. 对于“ 使所有主机过期 ”或“使 一系列主机过期”，还必须设置过期时间和威胁级别。单击加 号 + 号以创建新条目，并在“ 到期时间 ”表中设置以下内容。

   表 2：到期时间字段

   设置	指引
   设置最低威胁级别	单击 “最低威胁级别” 下的表条目以访问下拉菜单。选择最低威胁级别 （1-10）。您选择的级别包含在最低设置中。
   设置最高威胁级别	单击 “最大威胁级别” 下的表条目以访问下拉菜单。选择最高威胁级别 （1-10）。您选择的级别包含在最大设置中。
   设置解锁时间	单击 “要取消阻止的小时数”下的表条目。您可以选择从不、6、12、18 或 24 小时。在设定的小时数之后，受感染的标签将过期，并且主机不再被阻止。
   例如，如果将最小值设置为 6，将最大值设置为 8，解锁小时数为 24，则会发生以下情况。威胁级别为 6 及以上和 8 及以下的所有受感染主机都将在 24 小时后过期。 注意： 您可以在此表中创建多个条目，为不同的威胁级别设置不同的到期时间。 在表中输入取消阻止设置后，您可以使用该表更改现有设置或删除设置。

4. 您必须单击 “保存” ，否则您的设置将丢失。