版本限制說明

僅云安全中心的高級版、企業版、旗艦版支持該功能，其他版本不支持。購買和升級云安全中心服務的具體操作，請參見購買云安全中心和升級與降配。

操作步驟

1. 登錄云安全中心控制臺。在控制臺左上角，選擇需防護資產所在的區域：中國或全球（不含中國）。

2. 在左側導航欄，選擇防護配置 > 主機防護 > 主機規則管理。

3. 在惡意行為防御頁簽的自定義防御規則子頁簽下，單擊新建規則。

4. 在新建規則面板，根據如下誤攔截告警場景，配置加白規則，單擊下一步。

   說明

   • 配置項支持字符串相等（例如'a' = 'a'）或使用*（星號）匹配任意字符串或空字符，建議您的規則配置格式為：*特征字符串*、*特征字符串、特征字符串*。

   • 配置項支持使用邏輯運算符|（或） 、 &（與） 、 !（非） ，例如&!*特征字符串*，但不支持|!*特征字符串*。

   • 配置項父進程路徑和父命令行支持為空。

   • 進程hash告警加白規則配置：收到如下圖所示的MD5誤攔截告警，則加白規則配置參考下表。

     說明

     系統通過惡意文件md5字段判斷，攔截惡意文件MD5。

     配置項	說明
     規則名稱	建議按照誤攔截告警規則命名，例如誤報的挖礦程序加白。
     規則類型	選擇進程hash。
     進程MD5	填寫為誤攔截告警詳情中的惡意文件md5字段值。例如d2f295a89555579c39a0507e96XXXXXX。
     動作	選擇加白。

   • 命令行告警加白規則配置：收到如下圖所示的進程啟動、命令行誤攔截告警，則加白規則配置參考下表。

     說明

     系統通過執行命令的進程、執行命令字段判斷，攔截進程啟動、命令行。

     配置項	說明
     規則名稱	建議按照誤攔截告警規則命名，例如進程啟動加白規則。
     規則類型	選擇命令行。
     系統類型	根據實際系統類型選擇，本示例選擇linux。
     進程路徑	填寫為誤攔截告警詳情中的執行命令的進程字段的路徑。例如*/pkill。
     命令行	填寫為誤攔截告警詳情中的執行命令字段中的特征字符。例如*AliYunDun*。
     動作	選擇加白。

   • 進程網絡告警加白規則配置：收到如下圖所示的進程網絡誤攔截告警，則加白規則配置參考下表。

     說明

     系統通過IP、端口、網絡通信的進程路徑字段判斷，攔截進程網絡。

     配置項	說明
     規則名稱	建議按誤攔截告警規則命名，例如進程網絡加白規則。
     規則類型	選擇進程網絡。
     系統類型	根據實際系統類型選擇，本示例選擇windows。
     進程路徑	填寫誤攔截告警詳情中的網絡通信的進程路徑字段路徑。例如*/powershell.exe。
     命令行	填寫誤攔截告警詳情中的網絡通信的進程命令字段中的特征字符。例如*dAByAhADQAKAHsADQAkACXXXXXX*。
     IP	填寫誤攔截告警詳情中IP字段值。例如45.117.XX.XX。
     端口	填寫誤攔截告警詳情中端口字段值。例如14XX。
     動作	選擇加白。

   • 文件讀寫告警加白規則配置：收到如下圖所示的文件讀寫誤攔截告警，則加白規則配置參考下表。

     說明

     系統通過讀寫的目標文件字段判斷，攔截文件。

     配置項	說明
     規則名稱	建議按誤攔截告警規則命名，例如文件讀寫加白規則。
     規則類型	選擇文件讀寫。
     系統類型	根據實際系統類型選擇，本示例選擇linux。
     進程路徑	填寫誤攔截告警詳情中執行命令的進程字段路徑。例如*/java。
     命令行	填寫誤攔截告警詳情中執行命令字段的特征字符。例如*weaver*。
     文件路徑	填寫誤攔截告警詳情中讀寫的目標文件字段路徑。例如*/console_login.jsp。
     動作	選擇加白。

   • 注冊表防護告警加白規則配置。

     • 場景一：收到如下圖所示的注冊表誤攔截告警，則加白規則配置參考下表。

       說明

       系統通過注冊表路徑、注冊表值字段判斷，攔截的注冊表。

       配置項	說明
       規則名稱	建議按誤攔截告警規則命名，例如注冊表防護加白規則。
       規則類型	選擇操作注冊表。
       系統類型	默認為windows，不支持修改。
       進程路徑	填寫誤攔截告警詳情中執行命令的進程字段路徑。例如*/iexplore.exe。
       命令行	填寫誤攔截告警詳情中執行命令字段的特征字符。例如*iexplore.exe*。
       注冊表鍵	填寫誤攔截告警詳情中注冊表路徑字段中的特征字符。例如*currentversion*。
       注冊表值	填寫誤攔截告警詳情中注冊表值字段中的特征字符。例如*svch0st.exe*。
       動作	選擇加白。

     • 場景二：收到如下圖所示的注冊表誤攔截告警，則加白規則配置參考下表。

       說明

       系統通過被劫持的進程路徑、惡意的so文件路徑字段判斷，攔截注冊表。

       配置項	說明
       規則名稱	建議按誤攔截告警規則命名，例如注冊表防護加白規則。
       規則類型	選擇加載動態鏈接庫。
       系統類型	根據實際系統類型選擇，本示例選擇linux。
       進程路徑	填寫誤攔截告警詳情中被劫持的進程路徑字段路徑。例如*/python*。
       命令行	填寫誤攔截告警詳情中被劫持的進程命令字段中的特征字符。例如*python*。
       文件路徑	填寫誤攔截告警詳情中惡意的so文件路徑字段路徑。例如/usr/local/lib/kswapd0.so。
       動作	選擇加白。

   • 重命名文件告警加白規則配置：收到如下圖所示的文件誤攔截告警，則加白規則配置參考下表。

     說明

     系統通過誘餌目錄文件保護、讀寫的目標文件字段判斷，攔截文件。

     配置項	說明
     規則名稱	建議按誤攔截告警規則命名，例如文件重命名加白規則。
     規則類型	選擇文件重命名。
     系統類型	默認為windows，不支持修改。
     進程路徑	填寫誤攔截告警詳情中執行命令的進程字段路徑。例如*/cdgregedit.exe。
     命令行	填寫誤攔截告警詳情中執行命令字段中的特征字符。例如*CDGRegedit.exe*。
     文件路徑	填寫誤攔截告警詳情中讀寫的目標文件字段路徑。例如c:/programdata/hipsdata/private/*。
     新文件路徑	填寫誤攔截告警詳情中讀寫的目標文件字段路徑。例如c:/programdata/hipsdata/private/*。
     動作	選擇加白。

5. 在選擇資產面板，選擇規則生效的資產，單擊完成。

   新建的自定義規則默認為開啟狀態，并且支持編輯和管理生效的服務器。