RASP检测出的告警误报率较低,大部分告警都为真实攻击。应用防护功能提供了详细的攻击信息,包括攻击者IP、Payload、行为数据、堆栈信息等,建议您参考告警详情页的信息及时处理告警。本文介绍处理攻击告警的具体方法。
查看并处理攻击告警
下文以处理恶意文件上传告警为例,介绍查看和处理攻击告警的具体操作。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在攻击告警页签,单击目标告警操作列的详情。
在告警详情页面,查看告警信息。
您需要重点关注以下字段,以判断该告警是否为正常告警。
字段名
说明
处理方法
攻击者IP
访问应用的来源IP。
确定该IP是否为访问业务的正常IP。
漏洞编号
该访问行为利用的漏洞编号。仅利用漏洞发起的攻击存在漏洞编号。
建议您及时处理应用漏洞,缩小服务器的可被利用的攻击面。单击漏洞编号可查看漏洞的详细信息。
Payload
攻击者发送到应用程序中的恶意数据。
查看此类信息,判断该告警是否为业务正常调用行为。
在此示例中判断在/usr/local/tomcat/webapps/upload/1.jsp路径上传的可执行文件1.jsp是否为业务的正常行为。
如果是正常行为,可将Payload信息加入白名单;加入白名单后,应用防护将不会对此类正常行为产生告警。
如果有非正常行为,则可能是攻击试探或者真实攻击。
如果该告警的处理方式是监控,则该恶意文件已经可能被执行了,您需要尽快手动删除该文件;
如果处理方式是阻断,则应用防护功能已阻断此次攻击,该文件未成功存储在您的服务器中。
行为数据
应用在处理用户请求时产生的行为和事件日志。
堆栈信息
事件发生时的应用程序调用堆栈,记录了函数调用的序列。
请求URL
访问应用的请求信息。
查看该事件访问应用的请求信息,确定访问入口是否为合法来源。如果不合法,对该入口进行访问控制等操作。
将告警加入白名单
如果确认攻击告警为正常的业务访问,您可以将该告警加入白名单,以免后续再产生类似告警。支持根据Payload、行为数据和请求URL进行加白,加白前请获取告警详情中的Payload、行为数据和请求URL数据。
根据Payload、行为数据加白需将RASP探针升级到0.5.2及以上版本。关于RASP探针版本的更多信息,请参见应用防护。
下文为您介绍基于单个告警进行加白的操作流程。如果需要同时对多个应用分组进行加白,您可以单击告警列表上方的白名单列表,通过配置白名单入口进行操作。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在攻击告警页签,单击目标告警操作列的。
在加入白名单面板,配置白名单的规则,并单击确定。
配置说明如下:
您可以在Payload、行为数据和请求URL中任选一种加白模式进行加白。应用防护功能默认会获取告警详情页的数据,填充对应加白模式下的加白字段。默认填充的字段可以对触发当前告警的行为进行精准加白。
如果需要扩大加白的范围,您可以调整匹配方式和匹配内容等字段。
例如,恶意文件上传告警的Payload为/usr/local/tomcat/webapps/upload/1.jsp。如果您确认访问upload路径下的行为均为正常业务行为,您可以进行如下设置:
匹配方式修改为:前缀匹配
匹配内容修改为:/usr/local/tomcat/webapps/upload/
白名单支持的匹配方式说明如下:
完全匹配:传输内容与匹配内容中的字符串完全一致时,不会触发告警。
部分匹配:当传输内容包含匹配内容中的字符串时,不会触发告警。
前缀匹配:传输内容以匹配内容设置的字符串开始时,不会触发告警。
后缀匹配:传输内容以匹配内容设置的字符串结束时,不会触发告警。
- 本页导读