前提條件

已將Java應用接入應用防護，且應用實例狀態為已授權。具體操作，請參見接入應用防護。

查看并處理內存馬告警

應用防護功能默認為所有應用分組開啟內存馬檢測。將應用接入應用防護后，您可以參考下述步驟查看并處理內存馬告警。

1. 登錄云安全中心控制臺。在控制臺左上角，選擇需防護資產所在的區域：中國或全球（不含中國）。

2. 在左側導航欄，選擇防護配置 > 應用防護。

3. 在應用防護頁面的內存馬防御頁簽下，設置需查看的應用分組和時間范圍。

4. 查看內存馬告警趨勢、內存馬類型分布和內存馬告警列表。

   • 內存馬檢測告警：展示內存馬檢測引擎檢測出的靜態內存馬文件。以下是內存馬檢測告警處理狀態的說明：

     • 未處理：表示內存馬檢測引擎已檢測到該內存馬文件，您需要盡快手動處理該告警。

     • 自動處理已阻斷：表示內存馬注入引擎已檢測到導致告警的內存馬文件的運行，并阻斷了對應內存馬的運行行為。RASP可精準防御該內存馬，后續該內存馬的運行行為也會被阻斷，您可以稍后再通過重啟應用清除內存馬文件。

     • 未處理已監控：表示內存馬注入引擎已檢測到導致告警的內存馬文件的運行，根據應用分組的防護模式設置未阻斷對應內存馬的運行行為。您可以通過一鍵開啟防護，為對應的應用分組開啟內存馬防護能力。

     下述內容是對告警活躍和失活狀態的說明：

     • 活躍：觸發告警的應用實例狀態為在線。

     • 失活：觸發告警的應用實例狀態為離線。

   • 內存馬注入告警：展示內存馬注入模型檢測出的告警事件。

5. 單擊目標告警操作列的詳情，查看檢測出的內存馬告警的詳細信息和告警分析，分析是否需要處理內存馬告警。

   • 在詳細信息頁簽，如需查看內存中運行的Java程序的源代碼，您需要打開反編譯Java文件開關。關閉該開關后，云安全中心不會展示反編譯代碼。

   • 告警分析頁簽通過使用AI大模型為您提供了內存中運行的代碼的解析結果，以及被認定存在內存馬的確切依據等信息，使您更精準地評估當前檢測到的內存馬是否確實構成實質性威脅，從而提升您的安全判斷力與響應效率。

     重要

     您需要打開反編譯Java文件開關，才能查看告警分析頁簽中的內容。告警分析功能會分析反編譯后的Java文件。

   

6. 處理內存馬告警。

   • 手動處理內存馬：在業務低峰期，重啟應用清除內存馬。處理完成后，在控制臺將處理方式設置為標記已處理。

   • 一鍵開啟防護：將告警服務器所在的應用分組的防護模式切換為防護。切換為防護后，后續該應用分組中檢測出的內存馬注入或執行行為均會被自動攔截。

   • 忽略：如果無需處理當前告警，您可以在控制臺將處理方式設置為忽略。

   • 加白名單：前往攻擊告警頁簽，單擊目標內存馬注入告警操作列的處理，將該告警加入白名單。具體操作，請參見將告警加入白名單。

     說明

     內存馬檢測告警不支持加入白名單。

開啟或關閉內存馬防御

應用防護以應用分組為單位控制內存馬防御的開啟或關閉。您可以參考下文開啟或關閉應用分組的內存馬防御。

1. 登錄云安全中心控制臺。在控制臺左上角，選擇需防護資產所在的區域：中國或全球（不含中國）。

2. 在左側導航欄，選擇防護配置 > 應用防護。

3. 在應用防護頁面的應用配置頁簽，單擊目標應用分組操作列的防護策略。

4. 在防護策略面板的防護策略頁簽下，選擇或取消選擇檢測類型包含內存馬注入的防護策略組。

   選擇包含檢測類型內存馬注入的防護策略后，會開啟內存馬注入引擎的檢測。防護模式為監控時，只上報告警不執行阻斷操作。防護模式為防護時，上報告警并阻斷內存馬注入或調用行為。

   

5. 在防護策略面板的檢測策略頁簽下，打開或關閉內存馬檢測開關，并單擊確定。

   打開內存馬檢測開關后，會為該應用分組開啟內存馬檢測。