受感染主机的配置

阻止的威胁级别阈值

设置全局威胁级别以阻止受感染的主机。当发现主机遭到入侵时，会为其分配威胁级别。根据您在此处设置的全球威胁级别（1-10（其中 10 为最高威胁），具有设置的威胁级别及以上的受损主机将添加到受感染主机列表中，随后可通过 SRX 系列防火墙上配置的策略阻止。有关详细信息 ，请参阅主机概述 和 配置 SRX 系列防火墙以阻止受感染的主机 。

您可以将瞻博网络 ATP 云配置为在受感染主机达到特定威胁级别时发送电子邮件。例如，可以在达到阈值 5 时向 IT 部门发送电子邮件，在达到阈值 9 时向升级部门发送电子邮件。

您可以向任何帐户发送电子邮件;您不限于在“用户”窗口中定义的管理员电子邮件。Web UI 不会验证电子邮件帐户是否有效。

配置阻止和电子邮件警报的威胁级别阈值

全局受感染主机警报的好处

• 当可能出现的网络安全问题时，受感染主机的电子邮件警报会立即引起管理员的注意。

• 可以仅为特定管理员配置电子邮件警报，而不是为 Web 门户的所有用户配置电子邮件警报，从而更窄地定位警报。

1. 选择 配置 > 受感染的主机。

2. （仅限高级许可证）设置默认威胁级别阈值。

3. 单击加号以发送电子邮件通知，或单击铅笔图标以编辑现有通知。配置下表中所述的字段。

4. 单击“确定”。

表 1：受感染主机的电子邮件警报字段

设置	指引
威胁级别	选择 1 到 10 之间的威胁级别。达到此级别时，将向您提供的地址发送电子邮件。
电子邮件	输入电子邮件地址。

自动使被阻止的主机过期

当主机被标记为受感染并添加到受感染主机源时，系统会通过 SRX 系列防火墙上配置的策略阻止该主机进入网络。在瞻博网络 ATP 云 Web 门户的“主机详细信息”页面上提供了用于取消阻止单个主机的选项。有关信息，请参阅主机概述。如果要根据时间段和威胁级别取消阻止多个主机 IP 地址，可以使用 Web 门户中“受感染的主机”页上的“自动使阻止的主机过期”功能。

在“全局受感染的主机”页面中，可以根据最小和最大威胁级别将受感染的主机设置为在配置的时间后过期。达到该时间段后，阻止的 IP 地址不再标记为受感染，因此不再被阻止。

例如，如果您按照设定的计划使用 DHCP 寻址和重新分配地址，则可以使用此功能。在这种情况下，您可能需要为受感染的主机设置一个过期时间（基于 IP 地址租用时间），在此时间之后，地址将不再标记为受感染。

配置受感染主机的自动过期

1. 选择 配置 > 受感染的主机。

2. （仅限系统管理员和操作员）启用 自动过期被阻止的主机 ，然后选择以下选项之一：

   • 使所有主机过期

   • 使一系列主机过期 - 输入 IPv4 或 IPv6 地址范围。

     以下任一 IPv4 格式均有效： 1.2.3.4/30, or 1.2.3.4-1.2.3.6

     以下任何 IPv6 格式均有效： 1111::1-1111::9, or 1111:1::0/64

     注意：

     接受的 /16 IPv4 地址和 /48 IPv6 地址不超过一个块。例如，有效 10.0.0.0-10.0.255.255 ，但 10.0.0.0-10.1.0.0 无效。

     位掩码：IPv4 子网记录中位掩码覆盖的最大 IP 地址数为 16，IPv6 为 48。例如， 10.0.0.0/15 和 1234::/47 无效。CIDR 符号也被接受。

3. 对于 “使所有主机过期 ”或“ 使一系列主机过期”，还必须设置过期时间和威胁级别。单击加号 + 创建新条目，并在 到期时间 表中设置以下内容。

   表 2：过期时间字段

   设置	指引
   设置最低威胁级别	单击 “最小威胁级别 ”下的表条目以访问下拉菜单。选择最低威胁级别 （1-10）。您选择的级别包含在最小设置中。
   设置最大威胁级别	单击 “最大威胁级别” 下的表条目以访问下拉菜单。选择最大威胁级别 （1-10）。您选择的级别包含在最大设置中。
   设置要取消阻止的小时数	单击 要取消阻止的小时数下的表条目。可以选择从不、6、12、18 或 24 小时。在设定的小时数后，受感染的标签将过期，并且不再阻止主机。
   例如，如果将最小值设置为 6，将最大值设置为 8，并将要取消阻止的小时数设置为 24，则会发生以下情况。威胁级别为 6 及以上和 8 及以下的所有受感染主机都将在 24 小时后过期。 注意： 您可以在此表中创建多个条目，为不同的威胁级别设置不同的过期时间。 在表中输入取消阻止设置后，您可以使用该表更改现有设置或删除设置。

4. 您必须单击 保存 ，否则您的设置将丢失。