云安全中心提供对主机的恶意行为防御功能,您可以根据业务需要自定义防御规则。本文介绍在不同误拦截告警场景下,如何自定义配置加白规则。
业务场景说明
在日常运维或业务运行中,云安全中心可能会将一些正常的系统操作或应用程序行为(例如,特定的运维脚本执行、合法的服务间通信)误判为恶意行为,从而产生告警。这些误报不仅会干扰安全监控,还可能影响正常业务。
此时,需要创建一条精准的自定义加白规则,以告知云安全中心该特定行为是可信的,避免未来再次产生相同的误报。本方案的目标是指导用户完成从分析误报告警到创建并验证一条安全、有效的加白规则的全过程。
适用范围
版本限制
方案架构
恶意行为防御的自定义规则功能,通过在云安全中心内置的检测引擎中增加一个用户定义的策略层,实现了对特定行为的豁免。其工作流程如下:
行为监控:安装在主机上的云安全中心Agent实时监控系统中的进程创建、网络连接、文件读写等行为。
规则匹配:Agent将捕获的行为与云安全中心的规则引擎进行匹配。首先匹配用户自定义规则,再匹配系统默认规则。
决策与执行:
如果一个行为匹配到已配置的加白规则,引擎将直接放行该操作,不产生告警。
如果行为未匹配任何加白规则,但匹配到系统内置的恶意行为检测规则,引擎将判定其为潜在威胁,生成
告警并根据配置进行拦截。
持续优化:用户根据业务产生的告警,持续创建和优化自定义加白规则,以提高检测的准确性。
实施步骤
步骤一:分析告警并选择规则类型
创建有效规则的第一步是准确分析误报告警的详细信息。
登录云安全中心控制台。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
说明如果已开通Agentic SOC服务,左侧导航栏入口将变更为。
在安全告警页面云工作负载保护平台(CWPP)页签上方,单击精准防御,查看所有被恶意主机行为防御功能自动拦截病毒告警。
根据告警详情中的关键字段,可以选择最适合的规则类型。
建议规则类型 | 告警关键字段 | 适用场景 |
进程hash | 恶意文件md5 | 针对特定文件(通过其MD5值识别)的执行行为进行加白。 |
命令行 | 执行命令的进程、执行命令 | 针对特定进程执行特定命令行参数的行为进行加白。 |
进程网络 | 网络通信的进程路径、IP、端口 | 针对特定进程发起的、访问特定IP和端口的网络连接行为进行加白。 |
文件读写 | 读写的目标文件 | 针对特定进程对特定文件或目录的读写操作进行加白。 |
操作注册表 | 注册表路径、注册表值 | 针对特定进程对特定注册表键值的操作进行加白(仅限Windows)。 |
加载动态链接库 | 被劫持的进程路径、恶意的so文件路径 | 针对特定进程加载特定动态链接库(.so或.dll)的行为进行加白。 |
文件重命名 | 诱饵目录文件保护 | 针对特定进程对文件进行重命名的操作进行加白(仅限Windows)。 |
步骤二:配置规则
访问云安全中心控制台-防护设置-主机防护-主机规则管理,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
在恶意行为防御页签的自定义防御规则子页签下,单击新建规则。
在新建规则面板,参考如下说明完成基础配置:
规则名称:建议按照误拦截告警规则命名,例如进程启动加白规则。
规则类型:根据步骤一的说明,选择对应的规则类型。
动作:选择加白。
配置规则类型的专属相关参数:
说明规则语法请参见附录:规则语法。
进程hash
配置项
说明
进程MD5
填写为误拦截告警详情中的恶意文件md5字段值。例如d2f295a89555579c39a0507e96XXXXXX。
命令行
配置项
说明
进程路径
填写为误拦截告警详情中的执行命令的进程字段的路径。例如
*/pkill。命令行
填写为误拦截告警详情中的执行命令字段中的特征字符。例如
*AliYunDun*。进程网络
配置项
说明
进程路径
填写误拦截告警详情中的网络通信的进程路径字段路径。例如
*/powershell.exe。命令行
填写误拦截告警详情中的网络通信的进程命令字段中的特征字符。例如
*dAByAhADQAKAHsADQAkACXXXXXX*。IP
填写误拦截告警详情中IP字段值。例如45.117.XX.XX。
端口
填写误拦截告警详情中端口字段值。例如14XX。
文件读写
配置项
说明
进程路径
填写误拦截告警详情中执行命令的进程字段路径。例如
*/java。命令行
填写误拦截告警详情中执行命令字段的特征字符。例如
*weaver*。文件路径
填写误拦截告警详情中读写的目标文件字段路径。例如
*/console_login.jsp操作注册表
配置项
说明
进程路径
填写误拦截告警详情中执行命令的进程字段路径。例如
*/iexplore.exe。命令行
填写误拦截告警详情中执行命令字段的特征字符。例如
*iexplore.exe*。注册表键
填写误拦截告警详情中注册表路径字段中的特征字符。例如
*currentversion*。注册表值
填写误拦截告警详情中注册表值字段中的特征字符。例如
*svch0st.exe*。加载动态链接库
配置项
说明
进程路径
填写误拦截告警详情中被劫持的进程路径字段路径。例如
*/python*。命令行
填写误拦截告警详情中被劫持的进程命令字段中的特征字符。例如
*python*。文件路径
填写误拦截告警详情中恶意的so文件路径字段路径。例如
/usr/local/lib/kswapd0.so。文件重命名
配置项
说明
进程路径
填写误拦截告警详情中执行命令的进程字段路径。例如
*/cdgregedit.exe。命令行
填写误拦截告警详情中执行命令字段中的特征字符。例如
*CDGRegedit.exe*。文件路径
填写误拦截告警详情中读写的目标文件字段路径。例如
c:/programdata/hipsdata/private/*。新文件路径
填写误拦截告警详情中读写的目标文件字段路径。例如
c:/programdata/hipsdata/private/*。在选择资产面板,选择规则生效的资产,单击完成。
说明新建的自定义规则默认为开启状态,并且支持编辑和管理生效的服务器。
步骤三:验证规则与故障排查
验证方法:观察在已应用规则的主机上,是否不再产生新的相同告警。
故障排查:如果规则未生效,告警依然产生,请按以下步骤排查:
检查资产应用:在规则列表中,确认目标主机已包含在规则的“生效范围”内。
核对匹配条件:仔细比对新
告警的详情与规则的配置项。确保所有字符串完全匹配,包括路径、文件名的大小写、空格等。建议直接从告警详情中复制字段值到规则配置中。简化规则测试:尝试创建一个条件更宽泛的规则(例如,仅使用
进程路径)进行测试。如果宽泛规则生效,则说明原规则的多个条件组合或某个特定字段值存在问题。逐步增加条件,定位问题所在。
附录:规则语法
规则的字段配置支持通配符和逻辑运算符,以实现灵活的匹配。
通配符:
*(星号):匹配任意数量的字符,包括零个字符。这是最常用的通配符。*keyword*:匹配任何包含 "keyword" 的字符串。keyword*:匹配任何以 "keyword" 开头的字符串。*keyword:匹配任何以 "keyword" 结尾的字符串。
逻辑运算符:
重要为防止产生过于宽泛的排除规则,当前语法解析器支持x s
&!*特征字符串*,但不支持|!*特征字符串*&(与):表示多个条件必须同时满足。|(或):表示多个条件中只需满足一个。!(非):表示排除某个条件。