AI 助理
备案控制台
文档
输入文档关键字查找
首页 云安全中心 操作指南 主机防护 主机规则管理 恶意行为防御

恶意行为防御

更新时间:
产品详情
我的收藏

恶意行为防御是一种针对网络安全威胁的防御机制,旨在识别、阻止和应对各种恶意活动。本文主要介绍如何有效利用恶意行为防御功能,以帮助您保护云主机免受攻击和威胁。

应用场景

恶意行为防御功能支持系统防御规则和自定义防御规则。两种防御规则的应用场景如下:

重要

自定义防御规则生效的优先级高于系统防御规则。

规则类型

适用场景

系统防御规则

  • 常见恶意攻击行为防御

    自动拦截常见恶意行为。支持通过停用系统防御规则或修改系统防御规则的生效服务器为您的资产定制防御规则,最大程度减少告警误报。

  • 安全告警事件误报处理

    在处理告警类型为精准防御的告警事件时,如果您发现云安全中心的系统防御规则检测出的安全告警事件,在经过您识别后为正常的业务进程,您可以在恶意行为防御页面的系统防御规则页签下关闭该系统防御规则,或者将告警事件中的受影响服务器,从系统防御规则防御的资产的列表中移除。

自定义防御规则

如果您需要放行或重点拦截某些确定的行为,您可以使用自定义防御规则功能,自定义适合自己业务场景的精细规则。更多场景化的配置示例,请参见恶意行为防御自定义规则最佳实践

管理系统防御规则

云安全中心高级版支持进程防御、企业版及旗舰版用户可启用全部系统防御规则。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择防护配置 > 主机防护 > 主机规则管理

  3. 恶意行为防御页签系统防御规则子页签下的规则列表中,查找并管理目标系统防御规则。

    查看目标规则

    • 系统防御规则子页签的搜索框中,输入系统防御规则的名称,快速查找目标系统防御规则。

    • 系统防御规则页签的左侧的ATT&CK攻击阶段菜单中,通过告警的ATT&CK攻击阶段筛选目标系统防御规则。

    管理目标规则

    • 启用或停用规则

      如果在日常业务场景当中,您发现某个系统防御规则不适合您的业务场景,并且会影响您资产的安全评分,您可以停用该系统防御规则。

      重要

      停用某个系统防御规则后,云安全中心将不会检测并上报该规则对应的安全风险,并且安全告警处理页面的告警列表中也不会再显示与该规则相关的告警事件。请您谨慎操作。

      1. 选中(支持多选)目标规则。

      2. 单击规则列表下方的启用停用

    • 管理主机

      重要

      将资产从规则中移除后,该资产将不会再受到此系统防御规则的防护。请您谨慎操作。

      1. 选中要管理的系统防御规则,单击操作列的管理主机

      2. 主机管理面板,添加或删除该规则防御的资产,然后单击确定

自定义防御规则

如果云安全中心安全告警功能对您正常的业务行为产生了误告警,您可以通过自定义防御规则加白相应的行为(例如命令行、进程Hash等),避免产生误告警。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择防护配置 > 主机防护 > 主机规则管理

  3. 恶意行为防御页签自定义防御规则子页签下,单击新建规则

  4. 新建规则面板上,按照您的业务需求选择不同的规则类型完成相关参数配置、设置规则的动作,然后单击下一步

    您选择的不同的规则类型时,需要配置不同的参数。支持加白以下规则类型:

    • 进程Hash

    • 命令行

    • 进程网络

    • 文件读写

    • 操作注册表

    • 加载动态链接库

    • 文件重命名

    更多配置示例,请参见恶意行为防御自定义规则最佳实践

  5. 新建规则面板上的服务器列表中,选择规则生效的资产,单击完成

    新建的自定义规则默认为开启状态,支持编辑和管理生效的服务器。

查看并处理安全告警事件

配置恶意行为防御规则后,云安全中心会根据已设置的规则自动拦截相应的行为并产生告警。您可以参考以下步骤查看并处理相关安全告警事件。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择威胁分析与响应 > 安全告警

  3. 安全告警页面,选择云工作负载保护平台(CWPP)页签,单击精准防御下方的数字。

    image

  4. 在下方的告警事件列表中,查看云安全中心自动拦截的安全告警事件。如果有误报的事件,您可以单击该安全告警事件操作列的详情,参考以下内容处理该事件。

    以下以处理可疑蠕虫脚本行为的告警事件为例,为您介绍如何处理误报的安全告警事件。

    在告警详情面板上,您需要获取并记录以下信息,用于后续处理该告警事件。

    • 记录检测并上报该告警事件的系统防御规则的名称。本案例中为恶意破坏客户端进程

    • 记录该告警事件的攻击阶段。本案例中为影响破坏

    • 记录受该告警事件影响的资产的名称和IP。

    image

  5. 在左侧导航栏,选择防护配置 > 主机防护 > 主机规则管理

  6. 在系统防御规则列表中,查找检测上报该告警事件的系统防御规则。

    • 您可以在恶意搜索框中输入规则名称可疑蠕虫脚本行为查找系统防御规则。

    • 您也可以在左侧的攻击阶段菜单中,单击影响破坏查找系统防御规则。

  7. 在系统防御规则列表中定位到规则名称为可疑蠕虫脚本行为,管理该系统防御规则。

    • 如果该系统防御规则不适合您的业务场景,您不想云安全中心再上报这个系统防御规则检测出的安全告警事件,您可以单击该规则开关列的开关图标,关闭该系统防御规则。

      重要

      关闭某个系统防御规则后,云安全中心将不会检测并上报该规则对应的安全风险到安全告警处理页面的告警列表中,请您谨慎操作。

    • 如果您仅想处理这一个误报的安全告警事件,您可以单击操作列的管理主机,将受该告警事件影响的资产从该系统规则防御的资产列表中移除即可。

      您也可以安全告警处理页面,定位到误报的安全告警进行处理。具体操作,请参见查看和处理安全告警

      重要

      如果您仅想处理该系统防御规则上报的这一次安全告警事件,并且后续还需要云安全中心的系统防御规则继续防护该资产,您可以在恶意行为防御页面的系统防御规则中,将该资产添加回规则防御的资产列表中。

上一篇:主机规则管理下一篇:防暴力破解
文档推荐