攻擊告警處置
RASP通過獲取應(yīng)用運(yùn)行上下文及hook函數(shù)的參數(shù)內(nèi)容,結(jié)合語義分析、行為基線等技術(shù),判斷應(yīng)用行為是否存在危險(xiǎn)。因此RASP的告警誤報(bào)率較低,大部分告警都為真實(shí)攻擊。應(yīng)用防護(hù)功能提供了詳細(xì)的攻擊信息,包括攻擊者IP、惡意特征、傳入?yún)?shù)、調(diào)用堆棧等,建議您參考告警詳情頁的信息及時(shí)處理告警。本文介紹處理攻擊告警的具體方法。
查看并處理攻擊告警
下文以處理惡意文件上傳告警為例,介紹查看和處理攻擊告警的具體操作。
登錄云安全中心控制臺(tái)。在控制臺(tái)左上角,選擇需防護(hù)資產(chǎn)所在的區(qū)域:中國或全球(不含中國)。
在左側(cè)導(dǎo)航欄,選擇。
在攻擊告警頁簽,單擊目標(biāo)告警操作列的詳情。
在告警詳情頁面,查看告警信息。
您需要重點(diǎn)關(guān)注詳細(xì)信息中的以下字段,并結(jié)合告警分析使用AI大模型提供的告警解析和判斷依據(jù)等內(nèi)容,判斷該告警是否為正常告警。
信息類型
字段名
說明
處理方法
基礎(chǔ)告警
攻擊者IP
訪問應(yīng)用的來源IP。
確定該IP是否為訪問業(yè)務(wù)的正常IP。
漏洞名稱
該訪問行為利用的漏洞名稱。僅利用漏洞進(jìn)行的攻擊會(huì)存在漏洞名稱。
建議您及時(shí)處理應(yīng)用漏洞,縮小服務(wù)器的可被利用的攻擊面。單擊漏洞編號(hào)可查看漏洞的詳細(xì)信息。
進(jìn)階告警
惡意特征
攻擊者發(fā)送到應(yīng)用程序中的惡意數(shù)據(jù)。
查看進(jìn)階告警信息,判斷該告警是否為業(yè)務(wù)正常調(diào)用行為。
在此示例中判斷在/usr/local/tomcat/webapps/upload/addservlet.jsp路徑上傳的可執(zhí)行文件addservlet.jsp是否為業(yè)務(wù)的正常行為。
如果是正常行為,可以將惡意特征信息加入白名單;加入白名單后,應(yīng)用防護(hù)將不會(huì)對(duì)此類正常行為產(chǎn)生告警。
如果是非正常行為,則可能是攻擊試探或者真實(shí)攻擊。
如果該告警的處理方式是監(jiān)控,則該惡意文件已經(jīng)可能被執(zhí)行了,您需要盡快手動(dòng)刪除該文件;
如果處理方式是阻斷,則應(yīng)用防護(hù)功能已阻斷此次攻擊,該文件未成功存儲(chǔ)在您的服務(wù)器中。
觸發(fā)函數(shù)
應(yīng)用行為觸發(fā)告警的關(guān)鍵埋點(diǎn)函數(shù)。RASP在監(jiān)控到此類函數(shù)調(diào)用時(shí),會(huì)進(jìn)行檢查和處理,以判斷是否存在安全風(fēng)險(xiǎn)。
傳入?yún)?shù)
應(yīng)用在處理用戶請(qǐng)求時(shí)產(chǎn)生的行為和事件日志。傳入?yún)?shù)是包含一個(gè)鍵值對(duì)的JSON對(duì)象。
調(diào)用堆棧
事件發(fā)生時(shí)的應(yīng)用程序調(diào)用堆棧,記錄了函數(shù)調(diào)用的序列。
更多信息
請(qǐng)求URL
訪問應(yīng)用的請(qǐng)求信息。
查看該事件訪問應(yīng)用的請(qǐng)求信息,確定訪問入口是否為合法來源。如果不合法,阻止或限制對(duì)該入口的訪問。
將告警加入白名單
如果確認(rèn)攻擊告警為正常的業(yè)務(wù)訪問,您可以將該告警加入白名單,以免后續(xù)再產(chǎn)生類似告警。支持根據(jù)惡意特征、傳入?yún)?shù)和請(qǐng)求URL進(jìn)行加白,加白前請(qǐng)獲取告警詳情中的惡意特征、傳入?yún)?shù)和請(qǐng)求URL數(shù)據(jù)。
根據(jù)惡意特征、傳入?yún)?shù)加白需將RASP探針升級(jí)到0.5.2及以上版本。重啟應(yīng)用后探針可自動(dòng)升級(jí)到最新版本。關(guān)于RASP探針版本的更多信息,請(qǐng)參見查看探針版本。
下文為您介紹基于單個(gè)告警進(jìn)行加白的操作流程。如果需要同時(shí)對(duì)多個(gè)應(yīng)用分組進(jìn)行加白,您可以單擊告警列表上方的白名單列表,通過配置白名單入口進(jìn)行操作。
登錄云安全中心控制臺(tái)。在控制臺(tái)左上角,選擇需防護(hù)資產(chǎn)所在的區(qū)域:中國或全球(不含中國)。
在左側(cè)導(dǎo)航欄,選擇。
在攻擊告警頁簽,單擊目標(biāo)告警操作列的。
在加入白名單面板,配置白名單的規(guī)則,并單擊確定。
配置說明如下:
您可以在惡意特征、傳入?yún)?shù)和請(qǐng)求URL中任選一種加白模式進(jìn)行加白。應(yīng)用防護(hù)功能默認(rèn)會(huì)獲取告警詳情頁的數(shù)據(jù),填充對(duì)應(yīng)加白模式下的加白字段。默認(rèn)填充的字段可以對(duì)觸發(fā)當(dāng)前告警的行為進(jìn)行精準(zhǔn)加白。
您可以通過調(diào)整匹配方式和匹配內(nèi)容等字段來擴(kuò)大加白的范圍。
例如,惡意文件上傳告警的惡意特征為/usr/local/tomcat/webapps/upload/1.jsp。如果您確認(rèn)訪問惡意特征路徑下的行為均為正常業(yè)務(wù)行為,您可以進(jìn)行如下設(shè)置:
匹配方式修改為:前綴匹配
匹配內(nèi)容修改為:/usr/local/tomcat/webapps/upload/
白名單支持的匹配方式說明如下:
完全匹配:傳輸內(nèi)容與匹配內(nèi)容中的字符串完全一致時(shí),不會(huì)觸發(fā)告警。
部分匹配:當(dāng)傳輸內(nèi)容包含匹配內(nèi)容中的字符串時(shí),不會(huì)觸發(fā)告警。
前綴匹配:傳輸內(nèi)容以匹配內(nèi)容設(shè)置的字符串開始時(shí),不會(huì)觸發(fā)告警。
后綴匹配:傳輸內(nèi)容以匹配內(nèi)容設(shè)置的字符串結(jié)束時(shí),不會(huì)觸發(fā)告警。
說明配置白名單規(guī)則后,您可以在白名單列表頁面查看并管理對(duì)應(yīng)的白名單規(guī)則。具體操作,請(qǐng)參見管理白名單規(guī)則。
管理白名單規(guī)則
查看白名單規(guī)則列表
登錄云安全中心控制臺(tái)。在控制臺(tái)左上角,選擇需防護(hù)資產(chǎn)所在的區(qū)域:中國或全球(不含中國)。
在左側(cè)導(dǎo)航欄,選擇。
在攻擊告警頁簽,單擊白名單列表。
在白名單列表頁面,查看白名單規(guī)則列表。
支持通過以下操作管理白名單:
開啟或關(guān)閉:打開或關(guān)閉目標(biāo)白名單規(guī)則的規(guī)則開關(guān)列的開關(guān),可以開啟或關(guān)閉白名單規(guī)則。
編輯或刪除:單擊目標(biāo)白名單規(guī)則操作列的編輯或刪除,可修改或刪除白名單規(guī)則。
新增白名單規(guī)則:單擊配置白名單,可新增白名單規(guī)則。具體操作,請(qǐng)參見新增白名單規(guī)則。
新增白名單規(guī)則
新增白名單規(guī)則可以為多個(gè)應(yīng)用分組中的多個(gè)檢測類型設(shè)置白名單。
登錄云安全中心控制臺(tái)。在控制臺(tái)左上角,選擇需防護(hù)資產(chǎn)所在的區(qū)域:中國或全球(不含中國)。
在左側(cè)導(dǎo)航欄,選擇。
在攻擊告警頁簽,單擊白名單列表。
在白名單列表頁面,單擊配置白名單。
在配置白名單面板,配置白名單的規(guī)則,并單擊確定。
配置項(xiàng)
說明
規(guī)則名稱
輸入規(guī)則的名稱。
加白模式
選擇加白模式,可選項(xiàng):
惡意特征
傳入?yún)?shù)
請(qǐng)求URL
檢測類型
選擇白名單生效的檢測類型。單擊選擇,可前往檢測類型面板選擇白名單規(guī)則生效的檢測類型。
匹配方式
選擇白名單規(guī)則的匹配方式,可選項(xiàng):
完全匹配:傳輸內(nèi)容與匹配內(nèi)容中的字符串完全一致時(shí),不會(huì)觸發(fā)告警。
部分匹配:當(dāng)傳輸內(nèi)容包含匹配內(nèi)容中的字符串時(shí),不會(huì)觸發(fā)告警。
前綴匹配:傳輸內(nèi)容以匹配內(nèi)容設(shè)置的字符串開始時(shí),不會(huì)觸發(fā)告警。
后綴匹配:傳輸內(nèi)容以匹配內(nèi)容設(shè)置的字符串結(jié)束時(shí),不會(huì)觸發(fā)告警。
匹配內(nèi)容
根據(jù)選擇的加白模式設(shè)置匹配內(nèi)容。可參考告警詳情頁惡意特征、傳入?yún)?shù)或請(qǐng)求URL的值,設(shè)置匹配內(nèi)容。
生效應(yīng)用分組
選擇白名單生效的應(yīng)用分組。單擊選擇,可前往生效應(yīng)用分組面板選擇白名單規(guī)則生效的應(yīng)用分組。
相關(guān)文檔
針對(duì)內(nèi)存馬攻擊,云安全中心應(yīng)用防護(hù)功能提供了內(nèi)存馬防御能力。您可以開啟內(nèi)存馬檢測,以獲取更全面的檢測能力。更多信息,請(qǐng)參見內(nèi)存馬防御。