恶意行为防御自定义规则最佳实践

版本限制说明

仅云安全中心的高级版、企业版、旗舰版支持该功能，其他版本不支持。购买和升级云安全中心服务的具体操作，请参见购买云安全中心和升级与降配。

操作步骤

1. 登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。

2. 在左侧导航栏，选择防护配置 > 主机防护 > 主机规则管理。

3. 在恶意行为防御页签的自定义防御规则子页签下，单击新建规则。

4. 在新建规则面板，根据如下误拦截告警场景，配置加白规则，单击下一步。

   说明

   • 配置项支持字符串相等（例如'a' = 'a'）或使用*（星号）匹配任意字符串或空字符，建议您的规则配置格式为：*特征字符串*、*特征字符串、特征字符串*。

   • 配置项支持使用逻辑运算符|（或） 、 &（与） 、 !（非） ，例如&!*特征字符串*，但不支持|!*特征字符串*。

   • 配置项父进程路径和父命令行支持为空。

   • 进程hash告警加白规则配置：收到如下图所示的MD5误拦截告警，则加白规则配置参考下表。

     说明

     系统通过恶意文件md5字段判断，拦截恶意文件MD5。

     配置项	说明
     规则名称	建议按照误拦截告警规则命名，例如误报的挖矿程序加白。
     规则类型	选择进程hash。
     进程MD5	填写为误拦截告警详情中的恶意文件md5字段值。例如d2f295a89555579c39a0507e96XXXXXX。
     动作	选择加白。

   • 命令行告警加白规则配置：收到如下图所示的进程启动、命令行误拦截告警，则加白规则配置参考下表。

     说明

     系统通过执行命令的进程、执行命令字段判断，拦截进程启动、命令行。

     配置项	说明
     规则名称	建议按照误拦截告警规则命名，例如进程启动加白规则。
     规则类型	选择命令行。
     系统类型	根据实际系统类型选择，本示例选择linux。
     进程路径	填写为误拦截告警详情中的执行命令的进程字段的路径。例如*/pkill。
     命令行	填写为误拦截告警详情中的执行命令字段中的特征字符。例如*AliYunDun*。
     动作	选择加白。

   • 进程网络告警加白规则配置：收到如下图所示的进程网络误拦截告警，则加白规则配置参考下表。

     说明

     系统通过IP、端口、网络通信的进程路径字段判断，拦截进程网络。

     配置项	说明
     规则名称	建议按误拦截告警规则命名，例如进程网络加白规则。
     规则类型	选择进程网络。
     系统类型	根据实际系统类型选择，本示例选择windows。
     进程路径	填写误拦截告警详情中的网络通信的进程路径字段路径。例如*/powershell.exe。
     命令行	填写误拦截告警详情中的网络通信的进程命令字段中的特征字符。例如*dAByAhADQAKAHsADQAkACXXXXXX*。
     IP	填写误拦截告警详情中IP字段值。例如45.117.XX.XX。
     端口	填写误拦截告警详情中端口字段值。例如14XX。
     动作	选择加白。

   • 文件读写告警加白规则配置：收到如下图所示的文件读写误拦截告警，则加白规则配置参考下表。

     说明

     系统通过读写的目标文件字段判断，拦截文件。

     配置项	说明
     规则名称	建议按误拦截告警规则命名，例如文件读写加白规则。
     规则类型	选择文件读写。
     系统类型	根据实际系统类型选择，本示例选择linux。
     进程路径	填写误拦截告警详情中执行命令的进程字段路径。例如*/java。
     命令行	填写误拦截告警详情中执行命令字段的特征字符。例如*weaver*。
     文件路径	填写误拦截告警详情中读写的目标文件字段路径。例如*/console_login.jsp。
     动作	选择加白。

   • 注册表防护告警加白规则配置。

     • 场景一：收到如下图所示的注册表误拦截告警，则加白规则配置参考下表。

       说明

       系统通过注册表路径、注册表值字段判断，拦截的注册表。

       配置项	说明
       规则名称	建议按误拦截告警规则命名，例如注册表防护加白规则。
       规则类型	选择操作注册表。
       系统类型	默认为windows，不支持修改。
       进程路径	填写误拦截告警详情中执行命令的进程字段路径。例如*/iexplore.exe。
       命令行	填写误拦截告警详情中执行命令字段的特征字符。例如*iexplore.exe*。
       注册表键	填写误拦截告警详情中注册表路径字段中的特征字符。例如*currentversion*。
       注册表值	填写误拦截告警详情中注册表值字段中的特征字符。例如*svch0st.exe*。
       动作	选择加白。

     • 场景二：收到如下图所示的注册表误拦截告警，则加白规则配置参考下表。

       说明

       系统通过被劫持的进程路径、恶意的so文件路径字段判断，拦截注册表。

       配置项	说明
       规则名称	建议按误拦截告警规则命名，例如注册表防护加白规则。
       规则类型	选择加载动态链接库。
       系统类型	根据实际系统类型选择，本示例选择linux。
       进程路径	填写误拦截告警详情中被劫持的进程路径字段路径。例如*/python*。
       命令行	填写误拦截告警详情中被劫持的进程命令字段中的特征字符。例如*python*。
       文件路径	填写误拦截告警详情中恶意的so文件路径字段路径。例如/usr/local/lib/kswapd0.so。
       动作	选择加白。

   • 重命名文件告警加白规则配置：收到如下图所示的文件误拦截告警，则加白规则配置参考下表。

     说明

     系统通过诱饵目录文件保护、读写的目标文件字段判断，拦截文件。

     配置项	说明
     规则名称	建议按误拦截告警规则命名，例如文件重命名加白规则。
     规则类型	选择文件重命名。
     系统类型	默认为windows，不支持修改。
     进程路径	填写误拦截告警详情中执行命令的进程字段路径。例如*/cdgregedit.exe。
     命令行	填写误拦截告警详情中执行命令字段中的特征字符。例如*CDGRegedit.exe*。
     文件路径	填写误拦截告警详情中读写的目标文件字段路径。例如c:/programdata/hipsdata/private/*。
     新文件路径	填写误拦截告警详情中读写的目标文件字段路径。例如c:/programdata/hipsdata/private/*。
     动作	选择加白。

5. 在选择资产面板，选择规则生效的资产，单击完成。

   新建的自定义规则默认为开启状态，并且支持编辑和管理生效的服务器。