云安全中心提供对主机的恶意行为防御功能,您可以根据业务需要自定义防御规则。本文介绍在不同误拦截告警场景下,如何自定义配置加白规则。

版本限制说明

仅云安全中心的高级版、企业版、旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

操作步骤

  1. 登录云安全中心控制台在左侧导航栏选择防护配置 > 主机防护 > 恶意行为防御
  2. 自定义防御规则页签,单击新建规则
  3. 新建规则面板,根据如下误拦截告警场景,配置加白规则,单击下一步
    说明
    • 配置项支持字符串相等(例如'a' = 'a')或使用*(星号)匹配任意字符串或空字符,建议您的规则配置格式为:*特征字符串**特征字符串特征字符串*
    • 配置项支持使用逻辑运算符|(或) 、 &(与) 、 !(非) ,例如&!*特征字符串*,但不支持|!*特征字符串*
    • 配置项父进程路径父命令行支持为空。
    • 进程hash告警加白规则配置:收到如下图所示的MD5误拦截告警,则加白规则配置参考下表。告警详情MD5
      说明 系统通过恶意文件md5字段判断,拦截恶意文件MD5。
      配置项 说明
      规则名称 建议按照误拦截告警规则命名,例如误报的挖矿程序加白。
      规则类型 选择进程hash
      进程MD5 填写为误拦截告警详情中的恶意文件md5字段值。例如d2f295a89555579c39a0507e96XXXXXX。
      动作 选择加白
    • 命令行告警加白规则配置:收到如下图所示的进程启动、命令行误拦截告警,则加白规则配置参考下表。进程启动命令行
      说明 系统通过执行命令的进程执行命令字段判断,拦截进程启动、命令行。
      配置项 说明
      规则名称 建议按照误拦截告警规则命名,例如进程启动加白规则。
      规则类型 选择命令行
      系统类型 根据实际系统类型选择,本示例选择linux
      进程路径 填写为误拦截告警详情中的执行命令的进程字段的路径。例如*/pkill
      命令行 填写为误拦截告警详情中的执行命令字段中的特征字符。例如*AliYunDun*
      动作 选择加白
    • 进程网络告警加白规则配置:收到如下图所示的进程网络误拦截告警,则加白规则配置参考下表。进程网络
      说明 系统通过IP端口网络通信的进程路径字段判断,拦截进程网络。
      配置项 说明
      规则名称 建议按误拦截告警规则命名,例如进程网络加白规则。
      规则类型 选择进程网络
      系统类型 根据实际系统类型选择,本示例选择windows
      进程路径 填写误拦截告警详情中的网络通信的进程路径字段路径。例如*/powershell.exe
      命令行 填写误拦截告警详情中的网络通信的进程命令字段中的特征字符。例如*dAByAhADQAKAHsADQAkACXXXXXX*
      IP 填写误拦截告警详情中IP字段值。例如45.117.XX.XX。
      端口 填写误拦截告警详情中端口字段值。例如14XX。
      动作 选择加白
    • 文件读写告警加白规则配置:收到如下图所示的文件读写误拦截告警,则加白规则配置参考下表。文件读写
      说明 系统通过读写的目标文件字段判断,拦截文件。
      配置项 说明
      规则名称 建议按误拦截告警规则命名,例如文件读写加白规则。
      规则类型 选择文件读写
      系统类型 根据实际系统类型选择,本示例选择linux
      进程路径 填写误拦截告警详情中执行命令的进程字段路径。例如*/java
      命令行 填写误拦截告警详情中执行命令字段的特征字符。例如*weaver*
      文件路径 填写误拦截告警详情中读写的目标文件字段路径。例如*/console_login.jsp
      动作 选择加白
    • 注册表防护告警加白规则配置。
      • 场景一:收到如下图所示的注册表误拦截告警,则加白规则配置参考下表。注册表防护
        说明 系统通过注册表路径注册表值字段判断,拦截的注册表。
        配置项 说明
        规则名称 建议按误拦截告警规则命名,例如注册表防护加白规则。
        规则类型 选择操作注册表
        系统类型 默认为windows,不支持修改。
        进程路径 填写误拦截告警详情中执行命令的进程字段路径。例如*/iexplore.exe
        命令行 填写误拦截告警详情中执行命令字段的特征字符。例如*iexplore.exe*
        注册表键 填写误拦截告警详情中注册表路径字段中的特征字符。例如*currentversion*
        注册表值 填写误拦截告警详情中注册表值字段中的特征字符。例如*svch0st.exe*
        动作 选择加白
      • 场景二:收到如下图所示的注册表误拦截告警,则加白规则配置参考下表。注册表防护
        说明 系统通过被劫持的进程路径恶意的so文件路径字段判断,拦截注册表。
        配置项 说明
        规则名称 建议按误拦截告警规则命名,例如注册表防护加白规则。
        规则类型 选择加载动态链接库
        系统类型 根据实际系统类型选择,本示例选择linux
        进程路径 填写误拦截告警详情中被劫持的进程路径字段路径。例如*/python*
        命令行 填写误拦截告警详情中被劫持的进程命令字段中的特征字符。例如*python*
        文件路径 填写误拦截告警详情中恶意的so文件路径字段路径。例如/usr/local/lib/kswapd0.so
        动作 选择加白
    • 重命名文件告警加白规则配置:收到如下图所示的文件误拦截告警,则加白规则配置参考下表。重命名文件
      说明 系统通过诱饵目录文件保护读写的目标文件字段判断,拦截文件。
      配置项 说明
      规则名称 建议按误拦截告警规则命名,例如文件重命名加白规则。
      规则类型 选择文件重命名
      系统类型 默认为windows,不支持修改。
      进程路径 填写误拦截告警详情中执行命令的进程字段路径。例如*/cdgregedit.exe
      命令行 填写误拦截告警详情中执行命令字段中的特征字符。例如*CDGRegedit.exe*
      文件路径 填写误拦截告警详情中读写的目标文件字段路径。例如c:/programdata/hipsdata/private/*
      新文件路径 填写误拦截告警详情中读写的目标文件字段路径。例如c:/programdata/hipsdata/private/*
      动作 选择加白
  4. 选择资产面板,选择规则生效的资产,单击完成
    新建的自定义规则默认为开启状态,并且支持编辑和管理生效的服务器。