基于阿里云安全团队沉淀的威胁情报数据,对域名做威胁情报数据分类,支持用户开启不同类别的威胁域名、常用域名的检测及拦截机制。功能层面与 自定义防护规则 的运行原理类似,区别在于它通过用户选择需要启用的情报数据分类,替代 自定义防护规则 中的域名数据。
添加规则
切换到 威胁情报防护规则 页签,单击 添加规则 按钮。
在 添加规则 弹框中完成各项配置参数后,提交表单。
配置参数
说明
威胁情报类型
威胁情报分类,例如病毒木马、远控、APT高级持续性威胁、漏洞利用、异常通信、供应链攻击、勒索攻击、挖矿行为、钓鱼攻击、合规风险。默认选择 所有类型。
威胁等级
表示该域名与恶意活动的关联程度或潜在危害的严重性。分为 高危、中危及以上、低危及以上 多个级别,反映该域名可能涉及的攻击类型和影响范围。默认选择 高危。
置信度
表示威胁情报库对该域名威胁判断的可信程度。高置信度意味着情报来源可靠、证据充分;低置信度则可能因数据不足或存在争议。分为 低及以上、 中及以上、 高,默认选择 高。
解析请求来源
支持可以填写IP集合,定义解析请求来源,拦截规则针对特定的请求来源生效:
0.0.0.0/0表示所有请求来源;
支持IP地址加掩码形式,例如192.168.1.1/24;
支持单个IP地址形式,例如 192.168.2.20;
多个IP段需要分行输入,IP地址段允许重叠;
拦截处置动作
在识别到符合条件的DNS流量后,需要进行拦截处置。支持的处置动作如下:
放行:即允许解析,但会产生一条处置日志,并且记录解析应答明细日志。
丢弃:丢弃请求,不对此请求做应答。
应答NXDOMAIN:应答NXDOMAIN,表示对应的域名不存在
应答指定地址:进行DNS解析应答并返回特定地址,支持按权重、轮询设置返回的地址。记录值类型需要和拦截记录类型一致。当拦截记录类型为任意类型时,记录值只能是IPv4、IPv6或域名,但是域名和IP地址不可共存。
应答NOERROR(NoData):应答状态为NOERROR,但是记录值为空。
规则优先级
对于第一个添加的规则,无论如何指定优先级数值,始终为1。
若指定优先级数值被占用,排序规则为:对余下的规则重新排序,将目标规则设置为指定优先级数值,原优先级及之后规则优先级+1。
若指定优先级数值未被占用,排序规则为:对余下的规则重新排序,将目标规则优先级设置为排序后的最大数值。例如:总规则数量为5,对目标规则设置优先级数值为7,则最后设置的优先级数值为5。
规则启用状态
用于控制规则是否生效,默认开启状态。
规则生效范围
用于控制规则生效的范围,即哪些域名查询流量可命中本规则。在内网DNS中,通常按用户的VPC来设置生效范围。支持跨账号关联VPC,具体请参考跨账号关联VPC。
备注
规则的备注说明字段,方便区分记忆不同的规则。
添加完成后,可查看规则列表。
修改规则
可通过修改规则的方式对 威胁情报类型、 威胁等级、 置信度、解析请求来源、拦截处置动作 进行调整。
页签切换到 威胁情报防护规则,单击目标规则后方操作列的 修改 按钮。
在弹框中对各项参数进行修改后,提交表单。
生效范围设置
可指定规则在指定VPC范围生效。
点击 威胁情报防护规则 页签,单击目标规则后方操作列的 生效范围设置 按钮。
在 生效范围设置 弹窗中,选择当前账号或统管的其他阿里云账号下的VPC。
优先级排序
对于第一个添加的规则,无论如何指定优先级数值,始终为1。
若指定优先级数值被占用,排序规则为:对余下的规则重新排序,将目标规则设置为指定优先级数值,原优先级及之后规则优先级+1。
若指定优先级数值未被占用,排序规则为:对余下的规则重新排序,将目标规则优先级设置为排序后的最大数值。例如:总规则数量为5,对目标规则设置优先级数值为7,则最后设置的优先级数值为5。
页签切换到 威胁情报防护规则,单击目标规则操作列的 优先级排序。
弹出 优先级排序 调整弹窗,修改顺序号。
停用/删除规则
若不打算继续使用 威胁情报防护规则,可停用/删除规则。
点击 威胁情报防护规则 页签,找到目标规则。
停用规则:不打算继续使用规则,但是想要保留规则。
重要解析请求不会命中已经处于停用状态的规则,但会继续收取规则保有费用,详见产品计费。
点击目标规则 启用状态 栏的切换按钮,可停用规则。
删除规则:想彻底删除规则。
单击目标规则后方操作列的 删除 按钮。
弹窗二次确认后,删除规则。
