最近更新时间:2021-03-12
异常登录用于发现系统成功登录的信息中,包含非正常IP,非正常区域,非正常时间、非正常账号的登录信息。
手动封停按钮:点击后可对上报的攻击来源进行手动封停操作,手动封停为永久封停,如需解除封停需要手动解封;
手动解封按钮:点击后可解封已被封停的攻击来源
单击新建正常登录规则按钮,进入到新建正常登录规则页面。
注意:异常登录功能需要您设置正常登录规则后才能生效使用。在不配置正常登录规则的情况下,系统不会进行检测和记录。
新建正常登录规则:
规则类型 | 规则的条件列表 | 规则的适用范围 |
---|---|---|
说明 | 条件列表是具体的条件详细内容,条件之间为“与”关系。 登录IP:设置某个IP、IP段或系统已有的IP组为正常登录IP,添加方式包括手动添加、常用IP组导入; 登录时间:设置一个或多个时间点为正常登录时间,登录时间设置方式星期加上起止时间; 登录区域:设置一些登录区域为正常登录区域,对于非中国地区只到国家层面,对于中国地区可以设置国家级、省级和市级。例子:中国、中国湖北、中国湖北武汉、美国、俄罗斯; 登录账号:设置一个或多个认为是正常的登录账号,添加方式为手动输入 | 规则范围是指以上条件的适用范围。规则范围有是以下两种方式里选择其中一种,且仅可以选择一种: 全部主机:指的是所以装有Agent的主机 自定义范围:可以选择业务组与自己输入单台主机IP的复合结果 |
查看正常登录记录:对于已经保存的单条规则,用户可以查看正常登录的记录列表
编辑正常登录规则:对于已经保存的单条规则,用户可以选择对其进行修改
删除正常登录规则:对于已经保存的单条或者多条规则,用户可以选择对其进行删除。删除操作要有确认提示,用户确认后方可删除
提供内网异常登录的开关,可控制是否上报内网异常登录记录。
与暴力破解的主机配置检测为同一功能,仅提供功能入口。详见暴力破解功能中的主机配置检测功能说明。
异常登录的数据导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。
手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据
全部导出:单击列表右上方的“全部导出”按钮