惡意行為防御
惡意行為防御是一種針對(duì)網(wǎng)絡(luò)安全威脅的防御機(jī)制,旨在識(shí)別、阻止和應(yīng)對(duì)各種惡意活動(dòng)。本文主要介紹如何有效利用惡意行為防御功能,以幫助您保護(hù)云主機(jī)免受攻擊和威脅。
應(yīng)用場(chǎng)景
惡意行為防御功能支持系統(tǒng)防御規(guī)則和自定義防御規(guī)則。兩種防御規(guī)則的應(yīng)用場(chǎng)景如下:
自定義防御規(guī)則生效的優(yōu)先級(jí)高于系統(tǒng)防御規(guī)則。
規(guī)則類型 | 適用場(chǎng)景 |
系統(tǒng)防御規(guī)則 |
|
自定義防御規(guī)則 | 如果您需要放行或重點(diǎn)攔截某些確定的行為,您可以使用自定義防御規(guī)則功能,自定義適合自己業(yè)務(wù)場(chǎng)景的精細(xì)規(guī)則。更多場(chǎng)景化的配置示例,請(qǐng)參見惡意行為防御自定義規(guī)則最佳實(shí)踐。 |
管理系統(tǒng)防御規(guī)則
云安全中心高級(jí)版支持進(jìn)程防御、企業(yè)版及旗艦版用戶可啟用全部系統(tǒng)防御規(guī)則。
登錄云安全中心控制臺(tái)。在控制臺(tái)左上角,選擇需防護(hù)資產(chǎn)所在的區(qū)域:中國(guó)或全球(不含中國(guó))。
在左側(cè)導(dǎo)航欄,選擇。
在惡意行為防御頁(yè)簽系統(tǒng)防御規(guī)則子頁(yè)簽下的規(guī)則列表中,查找并管理目標(biāo)系統(tǒng)防御規(guī)則。
查看目標(biāo)規(guī)則
在系統(tǒng)防御規(guī)則子頁(yè)簽的搜索框中,輸入系統(tǒng)防御規(guī)則的名稱,快速查找目標(biāo)系統(tǒng)防御規(guī)則。
在系統(tǒng)防御規(guī)則頁(yè)簽的左側(cè)的ATT&CK攻擊階段菜單中,通過告警的ATT&CK攻擊階段篩選目標(biāo)系統(tǒng)防御規(guī)則。
管理目標(biāo)規(guī)則
啟用或停用規(guī)則
如果在日常業(yè)務(wù)場(chǎng)景當(dāng)中,您發(fā)現(xiàn)某個(gè)系統(tǒng)防御規(guī)則不適合您的業(yè)務(wù)場(chǎng)景,并且會(huì)影響您資產(chǎn)的安全評(píng)分,您可以停用該系統(tǒng)防御規(guī)則。
重要停用某個(gè)系統(tǒng)防御規(guī)則后,云安全中心將不會(huì)檢測(cè)并上報(bào)該規(guī)則對(duì)應(yīng)的安全風(fēng)險(xiǎn),并且安全告警處理頁(yè)面的告警列表中也不會(huì)再顯示與該規(guī)則相關(guān)的告警事件。請(qǐng)您謹(jǐn)慎操作。
選中(支持多選)目標(biāo)規(guī)則。
單擊規(guī)則列表下方的啟用或停用。
管理主機(jī)
重要將資產(chǎn)從規(guī)則中移除后,該資產(chǎn)將不會(huì)再受到此系統(tǒng)防御規(guī)則的防護(hù)。請(qǐng)您謹(jǐn)慎操作。
選中要管理的系統(tǒng)防御規(guī)則,單擊操作列的管理主機(jī)。
在主機(jī)管理面板,添加或刪除該規(guī)則防御的資產(chǎn),然后單擊確定。
自定義防御規(guī)則
如果云安全中心安全告警功能對(duì)您正常的業(yè)務(wù)行為產(chǎn)生了誤告警,您可以通過自定義防御規(guī)則加白相應(yīng)的行為(例如命令行、進(jìn)程Hash等),避免產(chǎn)生誤告警。
登錄云安全中心控制臺(tái)。在控制臺(tái)左上角,選擇需防護(hù)資產(chǎn)所在的區(qū)域:中國(guó)或全球(不含中國(guó))。
在左側(cè)導(dǎo)航欄,選擇。
在惡意行為防御頁(yè)簽自定義防御規(guī)則子頁(yè)簽下,單擊新建規(guī)則。
在新建規(guī)則面板上,按照您的業(yè)務(wù)需求選擇不同的規(guī)則類型完成相關(guān)參數(shù)配置、設(shè)置規(guī)則的動(dòng)作,然后單擊下一步。
您選擇的不同的規(guī)則類型時(shí),需要配置不同的參數(shù)。支持加白以下規(guī)則類型:
進(jìn)程Hash
命令行
進(jìn)程網(wǎng)絡(luò)
文件讀寫
操作注冊(cè)表
加載動(dòng)態(tài)鏈接庫(kù)
文件重命名
更多配置示例,請(qǐng)參見惡意行為防御自定義規(guī)則最佳實(shí)踐。
在新建規(guī)則面板上的服務(wù)器列表中,選擇規(guī)則生效的資產(chǎn),單擊完成。
新建的自定義規(guī)則默認(rèn)為開啟狀態(tài),支持編輯和管理生效的服務(wù)器。
查看并處理安全告警事件
配置惡意行為防御規(guī)則后,云安全中心會(huì)根據(jù)已設(shè)置的規(guī)則自動(dòng)攔截相應(yīng)的行為并產(chǎn)生告警。您可以參考以下步驟查看并處理相關(guān)安全告警事件。
登錄云安全中心控制臺(tái)。在控制臺(tái)左上角,選擇需防護(hù)資產(chǎn)所在的區(qū)域:中國(guó)或全球(不含中國(guó))。
在左側(cè)導(dǎo)航欄,選擇。
在安全告警頁(yè)面,選擇云工作負(fù)載保護(hù)平臺(tái)(CWPP)頁(yè)簽,單擊精準(zhǔn)防御下方的數(shù)字。
在下方的告警事件列表中,查看云安全中心自動(dòng)攔截的安全告警事件。如果有誤報(bào)的事件,您可以單擊該安全告警事件操作列的詳情,參考以下內(nèi)容處理該事件。
以下以處理可疑蠕蟲腳本行為的告警事件為例,為您介紹如何處理誤報(bào)的安全告警事件。
在告警詳情面板上,您需要獲取并記錄以下信息,用于后續(xù)處理該告警事件。
記錄檢測(cè)并上報(bào)該告警事件的系統(tǒng)防御規(guī)則的名稱。本案例中為惡意破壞客戶端進(jìn)程。
記錄該告警事件的攻擊階段。本案例中為影響破壞。
記錄受該告警事件影響的資產(chǎn)的名稱和IP。
在左側(cè)導(dǎo)航欄,選擇。
在系統(tǒng)防御規(guī)則列表中,查找檢測(cè)上報(bào)該告警事件的系統(tǒng)防御規(guī)則。
您可以在惡意搜索框中輸入規(guī)則名稱可疑蠕蟲腳本行為查找系統(tǒng)防御規(guī)則。
您也可以在左側(cè)的攻擊階段菜單中,單擊影響破壞查找系統(tǒng)防御規(guī)則。
在系統(tǒng)防御規(guī)則列表中定位到規(guī)則名稱為可疑蠕蟲腳本行為,管理該系統(tǒng)防御規(guī)則。
如果該系統(tǒng)防御規(guī)則不適合您的業(yè)務(wù)場(chǎng)景,您不想云安全中心再上報(bào)這個(gè)系統(tǒng)防御規(guī)則檢測(cè)出的安全告警事件,您可以單擊該規(guī)則開關(guān)列的
圖標(biāo),關(guān)閉該系統(tǒng)防御規(guī)則。重要關(guān)閉某個(gè)系統(tǒng)防御規(guī)則后,云安全中心將不會(huì)檢測(cè)并上報(bào)該規(guī)則對(duì)應(yīng)的安全風(fēng)險(xiǎn)到安全告警處理頁(yè)面的告警列表中,請(qǐng)您謹(jǐn)慎操作。
如果您僅想處理這一個(gè)誤報(bào)的安全告警事件,您可以單擊操作列的管理主機(jī),將受該告警事件影響的資產(chǎn)從該系統(tǒng)規(guī)則防御的資產(chǎn)列表中移除即可。
您也可以安全告警處理頁(yè)面,定位到誤報(bào)的安全告警進(jìn)行處理。具體操作,請(qǐng)參見查看和處理安全告警。
重要如果您僅想處理該系統(tǒng)防御規(guī)則上報(bào)的這一次安全告警事件,并且后續(xù)還需要云安全中心的系統(tǒng)防御規(guī)則繼續(xù)防護(hù)該資產(chǎn),您可以在惡意行為防御頁(yè)面的系統(tǒng)防御規(guī)則中,將該資產(chǎn)添加回規(guī)則防御的資產(chǎn)列表中。