Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建受感染主机配置文件

受感染的主机表示本地设备可能受到威胁,因为它们似乎是C&C网络的一部分或表现出其他症状。创建受感染主机配置文件以配置源和威胁分数,以列出受感染主机的 IP 地址或 IP 子网。

要创建受感染主机配置文件,请执行以下操作:

  1. 单击 SRX >安全订阅 > SecIntel >配置文件
    此时将显示“SecIntel 配置文件”页面。
  2. 选择创建>受感染的主机
    此时将显示“创建受感染主机配置文件”页面。
  3. 根据表 1 中提供的指南完成配置。
  4. 单击 “确定 ”保存更改。要放弃更改,请单击 取消

    创建受感染主机配置文件后,可以将其与 SecIntel 配置文件组相关联。

    表 1:创建受感染主机配置文件页面上的字段
    现场 操作

    名字

    输入“受感染主机”配置文件的名称。

    名称必须是字母数字和特殊字符的唯一字符串;最多 63 个字符。不允许使用特殊字符,如 < 和 >。

    描述

    输入“受感染主机”配置文件的描述。

    所有源的默认操作

    拖动滑块以更改要针对所有 Feed 类型执行的操作。操作包括 “允许 ”(1 - 4)、 日志 (5-6) 和 “阻止 ”(7 - 10)。

    日志将具有允许操作并记录事件。

    针对 Feed 的具体操作

    执行以下操作:

    1. 单击 + 定义受感染主机配置文件的源和威胁分数。

      将出现 “添加源 ”窗口。

    2. 输入以下详细信息:

      1. 源 - 从可用列中选择一个或多个源,然后将其移动到选定列以与受感染主机配置文件关联。

      2. 威胁分数 - 拖动滑块以根据威胁分数更改要采取的措施。

    3. 单击“确定”。

    阻止操作

    从列表中选择以下阻止操作之一:

    • 丢弃数据包 — 设备以静默方式丢弃会话的数据包,会话最终超时。

    • 关闭会话 — 设备向客户端和服务器发送 TCP RST 数据包,会话会立即被丢弃。

    关闭会话选项

    从列表中选择以下选项之一:“无”、“重定向 URL”或“重定向邮件”。

    重定向网址

    输入远程文件 URL,以便在连接关闭时重定向用户。

    重定向消息

    输入要在连接关闭时发送给用户的自定义消息。