本帖最后由 prelover 于 2019-12-11 14:31 编辑
IPS配置邮件报警后总是有邮件提示:
事件名称:僵尸网络攻击:僵尸网络
事件描述:僵尸网络攻击:僵尸网络。来源:192.168.xx.xx/51746 目的:117.177.223.177/80 系统动作:允许 请求URL:dl_dir.qq.com/qqfile/ims/qqdoctor/tssafeedit.dat
事件危险级别:2
原始事件:<134>Dec 11 13:12:43 localhost fwlog: 日志类型:僵尸网络日志, 策略名称:入侵防护, 特征ID:0, 源IP:1192.168.xx.xx, 源端口:51746, 目的IP:117.177.223.177, 目的端口:80, 攻击类型:僵尸网络, 严重级别:低, 系统动作:允许, URL:dl_dir.qq.com/qqfile/ims/qqdoctor/tssafeedit.dat
事件ID:5279667330219200257
查看数据中心的确有记录,但是点击添加例外时报错:
恶意地址或木马行为识别地址:dl_dir.qq.com 将被添加例外,可以从“策略->安全策略->入侵防护策略->高级配置->僵尸网络高级设置->排除域名或IP”中解除例外. 按照以上提示做,也不能添加dl_dir.qq.com例外,只能是qq.com或www.qq.com,但这两种都试了,还是会有报警邮件,而且僵尸网络日志中还能查到严重级别低的记录,不是说启用例外后就不检测了吗?
另外告警邮件也没有选中低告警的,求助! |