您可以配置域名情报库和终端防护,通过网关和终端防火墙对访问恶意域名进行拦截和告警,防范远控服务器、矿池地址、木马、恶意软件、僵尸网络、蠕虫、 APT 攻击、钓鱼地址等威胁,为企业网络安全保驾护航。
域名情报功能可有效防止员工设备在日常办公中意外访问恶意域名。例如,在员工进行业务操作时,可能会因误点击链接而面临恶意软件感染的风险,该功能可以及时拦截恶意域名访问,避免企业数据被窃取或企业网络系统遭受破坏。
对于企业中处理重要业务数据的特定部门或关键岗位员工的设备,可以针对性地设置终端防火墙,从终端侧对恶意域名进行精准拦截,为企业核心业务的安全运行提供坚实保障。
- 登录飞连管理后台。
- 在左侧导航栏,选择威胁情报。
- 在域名情报页面,单击右上角的配置域名情报库。
- 在域名情报库配置页面,在情报配置区域,选择威胁类型。
- (可选)如果某个域名是误报,您可以将该域名添加至情报白名单中,操作如下:
在情报白名单区域,单击添加白名单,根据页面提示配置白名单,单击确定。 - 单击确定。
登录飞连管理后台。
在左侧导航栏,选择威胁情报。
在域名情报页面的终端防护区域,单击配置。
在终端防护配置页面,设置相关参数,参数说明如下表所示。
区域
配置项
说明
模式
拦截模式,禁止访问
禁止访问对应的域名,并在飞连客户端提示消息通知。
在飞连管理后台的域名情报页面展示对应告警。观察模式,允许访问
允许访问对应的域名。
在飞连管理后台的域名情报页面展示对应告警。消息通知
您可以开启或关闭消息通知,拦截模式时,建议开启消息通知。
开启消息通知时,单击修改配置,可以设置消息通知的内容。
如果设置为拦截模式,且开启消息通知时,当终端触发恶意域名时,会在飞连客户端或桌面提示对应的消息通知。生效操作系统
选择终端防护功能生效的操作系统,根据需要选择 Windows 或 macOS。Windows 不需要额外权限,macOS 需要额外权限。
说明
对于 macOS 客户端,确保已授予必要的网络扩展权限,否则可能会收到弹窗提示。
生效对象
按员工生效
选择终端防护功能生效的部门或角色。建议仅对需要进行终端防护的部门或角色生效。
- 如果想要对某个部门及其子部门的所有员工都生效,请单击部门页签,选择对应的部门。
- 如果想要对所有部门的某些角色生效,请单击角色页签,选择对应的角色。
- 如果想要对某个部门的某些角色生效,请选择对应的部门,并选择对应的角色。
按设备生效
选择终端防护功能生效的设备。
- 如果想要对某些操作系统的设备生效,请单击操作系统页签,选择 Windows、Mac、Linux、iOS 或 Android。
- 如果只想对某几台设备生效,请单击设备页签,选择对应的设备。
- 如果想要对某些设备分组生效,请单击分组页签,选择对应的分组。如果没有您想要的分组,请参见管理终端分组新增分组。
单击确定。
配置完成后,在域名情报页面,单击终端防护右侧的开关开启终端防护。
- 登录飞连管理后台。
- 在左侧导航栏,选择威胁情报。
- 在域名情报页面查看威胁类型、威胁趋势和详细的威胁告警列表。
在威胁类型区域,默认展示最近 7 天域名威胁的威胁类型,及其数量和占比。
在威胁趋势区域,默认展示最近 7 天域名威胁告警的趋势。
单击右上角的日期范围,您可以选择查看近 3 天、近 7 天、近14 天或近 30 天的数据,您也可以自定义日期范围。
您可以单击自定义列,自定义告警列表展示的列。
您可以单击自定义筛选,设置筛选条件,通过筛选条件查找特定条件的告警。
在告警列表区域,您可以查看告警详情,包括告警时间、上报时间、用户信息、设备信息、操作系统、风险类型等,各字段的详细说明如下表所示。
信息项
说明
告警时间
显示事件被系统检测到的时间。
上报时间
事件被系统记录并上报的时间。
用户信息
提供与事件相关的用户信息。将鼠标悬停在用户信息上,可以查看该用户的更多详细信息。
设备信息
列出与事件关联的设备资料。将鼠标悬停在设备信息上,可以查看该设备的完整详细信息。
操作系统
标识记录事件的操作系统,例如 Windows 或 Mac。
风险类型
展示命中的威胁情报类型,例如“木马”、“恶意软件”等。
响应动作
系统对事件采取的措施,包括“禁止”、“允许”。
设备 IP 地址
显示发起网络请求的源 IP 地址。
目的地址
展示命中的威胁情报域名。
飞连版本
记录事件时所使用的飞连软件版本号。