All Products
Search

This Product

    Security Center:Praktik terbaik untuk aturan allowlist kustom

    Document Center

    Security Center:Praktik terbaik untuk aturan allowlist kustom

    Last Updated:Mar 25, 2026

    Fitur Malicious Behavior Defense dari Security Center melindungi host Anda dengan mendeteksi dan memblokir perilaku sistem yang mencurigakan. Anda dapat membuat aturan allowlist kustom untuk mengecualikan operasi yang diketahui aman dari deteksi, sehingga mengurangi peringatan false positive sambil tetap mempertahankan visibilitas keamanan. Topik ini menjelaskan cara menganalisis peringatan keamanan dan mengonfigurasi aturan allowlist yang efektif untuk lingkungan spesifik Anda.

    Mengapa menggunakan aturan allowlist

    Aturan allowlist menawarkan beberapa keunggulan dibandingkan menonaktifkan seluruh kategori deteksi:

    • Kontrol granular: Buat filter kustom untuk menyempurnakan perilaku mana yang dikecualikan dari pemberitahuan.

    • Pertahankan visibilitas: Perilaku yang dimasukkan dalam allowlist tetap dipantau—deteksi tetap terjadi di latar belakang, tetapi peringatan ditekan. Hal ini mempertahankan jejak audit dan memungkinkan Anda mengevaluasi ulang aturan di kemudian hari.

    • Kontinuitas bisnis: Cegah operasi sah (skrip O&M, komunikasi antar-layanan, tool pengembangan) memicu alarm palsu yang mengganggu alur kerja.

    Kapan menggunakan aturan allowlist:

    • Security Center menandai tool atau skrip internal tepercaya sebagai berbahaya.

    • Koneksi jaringan lintas layanan yang sah memicu peringatan berulang.

    • Aktivitas pengembangan atau pengujian (misalnya, tool debugging, framework pengujian) menghasilkan kebisingan.

    • Anda memerlukan pengecualian sementara selama jendela pemeliharaan.

    Kapan TIDAK Menggunakan Aturan Daftar Izin:

    • Perilaku yang terdeteksi sebenarnya mencurigakan meskipun berasal dari sumber tepercaya (pertimbangkan untuk meningkatkan postur keamanan sebagai gantinya).

    • Anda ingin sepenuhnya menonaktifkan jenis deteksi tertentu (gunakan pengaturan fitur sebagai gantinya—tetapi pahami bahwa Anda akan kehilangan visibilitas).

    Cara kerja

    Fitur aturan allowlist menyediakan lapisan kebijakan yang ditentukan pengguna di atas mesin deteksi Security Center. Berikut adalah alur kerja evaluasi:

    1. Pemantauan perilaku: Agen Security Center terus-menerus memantau aktivitas sistem (pembuatan proses, koneksi jaringan, operasi file, perubahan registri).

    2. Pencocokan aturan (urutan evaluasi):

    3. Keputusan dan eksekusi:

      • Jika suatu perilaku cocok dengan aturan allowlist: Operasi diizinkan, tidak ada peringatan yang dihasilkan. Deteksi tetap terjadi di latar belakang (jejak audit dipertahankan).

        • Jika tidak cocok dengan allowlist, tetapi cocok dengan aturan deteksi: Peringatan dihasilkan dan perilaku diblokir (berdasarkan pengaturan Protection Mode Anda: Monitor Only atau Block).

    4. Optimalisasi berkelanjutan: Sempurnakan aturan berdasarkan peringatan baru untuk meningkatkan akurasi deteksi dari waktu ke waktu.

    Catatan

    Saat beberapa aturan allowlist cocok dengan perilaku yang sama, Security Center menerapkan semua aturan yang cocok (bukan hanya kecocokan pertama). Artinya, aturan yang tumpang tindih tidak saling bertentangan—setiap aturan secara independen menekan peringatan untuk kondisi yang ditentukannya.

    Alur status peringatan:

    1. Perilaku terdeteksi: Agen Security Center mendeteksi perilaku sistem (misalnya, eksekusi proses, koneksi jaringan).

    2. Periksa aturan allowlist: Agen memeriksa apakah perilaku tersebut cocok dengan aturan allowlist yang ditentukan pengguna.

    3. Keputusan:

      • Jika ditemukan kecocokan: Peringatan ditekan (tidak ada peringatan yang dihasilkan). Perilaku diizinkan, dan jejak audit dipertahankan untuk kepatuhan.

      • Jika tidak ada kecocokan: Perilaku diperiksa terhadap aturan deteksi bawaan. Jika cocok dengan pola berbahaya, peringatan dihasilkan dengan status "Active" dan perilaku diblokir atau dipantau berdasarkan pengaturan Protection Mode Anda.

    Sebelum memulai

    Pastikan persyaratan berikut terpenuhi:

    • Persyaratan Edisi:

      • Langganan (disarankan): Anda harus telah membeli Security Center Advanced Edition, Enterprise Edition, atau Ultimate Edition. Setelah pembelian, pastikan edisi perlindungan server Anda diatur ke tingkat edisi yang telah dibeli.

        Catatan

        Jika edisi perlindungan server Anda diatur ke tingkat yang lebih rendah daripada edisi yang telah dibeli, fitur Malicious Behavior Defense tidak akan tersedia. Buka System Settings > Feature Settings untuk memverifikasi bahwa edisi perlindungan Anda sesuai dengan edisi yang telah dibeli.

      • Pay-as-you-go: Anda harus mengaktifkan fitur Vulnerability Fixing, Security Configuration Assessment, atau Container Intrusion Detection dengan tingkat perlindungan diatur ke Malicious Behavior Defense atau lebih tinggi.

    • Agen: Agen Security Center telah diinstal pada host target dan berjalan normal.

    • Peringatan: Terdapat setidaknya satu peringatan false positive di Konsol Malicious Behavior Defense (untuk mengekstrak parameter aturan dari detail peringatan).

    Prosedur

    Langkah 1: Analisis peringatan dan pilih jenis aturan

    Untuk membuat aturan yang efektif, pertama-tama analisis detail peringatan false positive tersebut.

    1. Masuk ke Konsol Security Center.

    2. Di panel navigasi sebelah kiri, pilih Detection and Response > Alert. Di pojok kiri atas konsol, pilih wilayah tempat aset yang ingin Anda lindungi berada: Chinese Mainland atau Outside Chinese Mainland.

      Catatan

      Jika Anda telah mengaktifkan layanan Agentic SOC, jalur navigasi berubah menjadi Agentic SOC > Manage > Alert.

    3. Di halaman Alert, pada tab CWPP, klik Precise Defense untuk melihat semua peringatan ancaman yang secara otomatis diblokir oleh fitur Malicious Behavior Defense.

    4. Pilih jenis aturan yang paling sesuai berdasarkan bidang utama dalam detail peringatan.

    Jenis aturan yang direkomendasikan

    Bidang utama dalam peringatan

    Skenario

    Process Hash

    Malicious File MD5

    Whitelist eksekusi file tertentu yang diidentifikasi berdasarkan hash MD5-nya.

    Command Line

    Process Path, Command line

    Whitelist proses tertentu yang dieksekusi dengan argumen command-line tertentu.

    Process Network

    Process Path of Network Communication, IP Address, Port

    Whitelist koneksi jaringan yang diinisiasi oleh proses tertentu ke alamat IP dan port tertentu.

    File Read and Write

    File Path

    Whitelist operasi baca atau tulis yang dilakukan oleh proses tertentu pada file atau direktori tertentu.

    Operation on Registry

    Registry path, Registry value

    Whitelist operasi yang dilakukan oleh proses tertentu pada kunci registri tertentu. Jenis aturan ini hanya berlaku untuk Windows.

    Dynamic-link Library Loading

    Hijacked process path, Malicious so file path

    Whitelist pemuatan dynamic-link library (.so atau .dll) tertentu oleh proses tertentu.

    File Renaming

    Decoy directory file protection

    Whitelist operasi penggantian nama file yang dilakukan oleh proses tertentu. Jenis aturan ini hanya berlaku untuk Windows.

    Langkah 2: Konfigurasi aturan

    1. Buka Konsol Security Center > Protection Settings > Host Protection > Host-specific Rule Management. Di pojok kiri atas halaman, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Di tab Malicious Behavior Defense, klik sub-tab Custom Defense Rule, lalu klik Create Rule.

    3. Di panel Create Rule, lengkapi pengaturan dasar seperti dijelaskan di bawah ini:

      • Rule Name: Kami menyarankan Anda memberi nama aturan berdasarkan peringatan yang ditangani. Contoh: Process Startup Whitelist.

      • Rule Type: Pilih jenis aturan yang sesuai berdasarkan analisis pada Langkah 1.

      • Action: Pilih Add to Whitelist.

    4. Konfigurasikan parameter untuk jenis aturan yang dipilih:

      Catatan

      Untuk informasi lebih lanjut tentang sintaks aturan, lihat Lampiran: Sintaks aturan.

      Process Hash

      Parameter

      Deskripsi

      Process MD5

      Masukkan nilai bidang Malicious File MD5 dari detail peringatan. Contoh: d2f295a89555579c39a0507e96XXXXXX.

      Command Line

      Parameter

      Deskripsi

      Process Path

      Masukkan path dari bidang Process of executing command dalam detail peringatan. Contoh: */pkill.

      Command Line

      Masukkan string karakteristik dari bidang Command in execution dalam detail peringatan. Contoh: *AliYunDun*.

      Process Network

      Parameter

      Deskripsi

      Process Path

      Masukkan path dari bidang Process Path of Network Communication dalam detail peringatan. Contoh: */powershell.exe.

      Command Line

      Masukkan string karakteristik dari bidang Process Commands For Network Communication dalam detail peringatan. Contoh: *dAByAhADQAKAHsADQAkACXXXXXX*.

      IP Address

      Masukkan nilai bidang IP Address dari detail peringatan. Contoh: 45.117.XX.XX.

      Port

      Masukkan nilai bidang Port dari detail peringatan. Contoh: 14XX.

      File Read and Write

      Parameter

      Deskripsi

      Process Path

      Masukkan path dari bidang Process of executing command dalam detail peringatan. Contoh: */java.

      Command Line

      Masukkan string karakteristik dari bidang Command in execution dalam detail peringatan. Contoh: *weaver*.

      File Path

      Masukkan path dari bidang Target document of the read and write dalam detail peringatan. Contoh: */console_login.jsp

      Operation on Registry

      Parameter

      Deskripsi

      Process Path

      Masukkan path dari bidang Process of executing command dalam detail peringatan. Contoh: */iexplore.exe.

      Command Line

      Masukkan string karakteristik dari bidang Command in execution dalam detail peringatan. Contoh: *iexplore.exe*.

      Registry Key

      Masukkan string karakteristik dari bidang Registry path dalam detail peringatan. Contoh: *currentversion*.

      Registry Value

      Masukkan string karakteristik dari bidang Registry value dalam detail peringatan. Contoh: *svch0st.exe*.

      Dynamic-link Library Loading

      Parameter

      Deskripsi

      Process Path

      Masukkan path dari bidang Hijacked process path dalam detail peringatan. Contoh: */python*.

      Command Line

      Masukkan string karakteristik dari bidang Hijacked process command dalam detail peringatan. Contoh: *python*.

      File Path

      Masukkan path dari bidang Malicious so file path dalam detail peringatan. Contoh: /usr/local/lib/kswapd0.so.

      File Renaming

      Parameter

      Deskripsi

      Process Path

      Masukkan path dari bidang Process of executing command dalam detail peringatan. Contoh: */cdgregedit.exe.

      Command Line

      Masukkan string karakteristik dari bidang Command in execution dalam detail peringatan. Contoh: *CDGRegedit.exe*.

      File Path

      Masukkan path dari bidang Target document of the read and write dalam detail peringatan. Contoh: c:/programdata/hipsdata/private/*.

      New File Path

      Masukkan path dari bidang Target document of the read and write dalam detail peringatan. Contoh: c:/programdata/hipsdata/private/*.

    5. Di panel Select Asset, pilih aset tempat Anda ingin menerapkan aturan, lalu klik Complete.

      Catatan

      Aturan kustom baru diaktifkan secara default. Anda dapat mengedit aturan dan mengelola server tempat aturan tersebut diterapkan.

    Langkah 3: Validasi dan pemecahan masalah aturan

    • Metode validasi: Pantau host tempat aturan diterapkan untuk memastikan tidak ada peringatan identik baru yang dihasilkan.

    • Pemecahan masalah: Jika aturan tidak berlaku dan peringatan masih dihasilkan, ikuti langkah-langkah berikut untuk memecahkan masalah:

      1. Periksa cakupan aset: Di daftar aturan, pastikan host target berada dalam cakupan aturan.

      2. Verifikasi kondisi pencocokan: Bandingkan secara cermat detail peringatan baru dengan parameter aturan. Pastikan semua string, termasuk path dan nama file, cocok secara tepat (sensitif terhadap huruf besar/kecil, spasi, dll.). Salin nilai bidang langsung dari detail peringatan ke konfigurasi aturan.

      3. Sederhanakan aturan untuk pengujian: Coba buat aturan dengan kondisi yang lebih luas, misalnya hanya menggunakan Process Path, untuk menguji efektivitasnya. Jika aturan yang lebih luas berhasil, kemungkinan masalahnya terletak pada kombinasi kondisi atau nilai bidang tertentu dalam aturan asli. Secara bertahap tambahkan kembali kondisi untuk mengidentifikasi masalahnya.

    Lampiran: Sintaks aturan

    Bidang aturan mendukung wildcard dan operator logika untuk pencocokan perilaku yang fleksibel.

    Karakter Wildcard

    Tanda bintang (*) adalah wildcard universal—mencocokkan urutan karakter apa pun (termasuk nol karakter).

    Pola

    Kecocokan

    Contoh

    *keyword*

    String apa pun yang mengandung "keyword"

    *AliYunDun* cocok dengan /usr/local/AliYunDun/aegis_client

    keyword*

    String apa pun yang dimulai dengan "keyword"

    python* cocok dengan python3, python3.8

    *keyword

    String apa pun yang diakhiri dengan "keyword"

    *.log cocok dengan /var/log/app.log, /tmp/debug.log

    *

    String apa pun (pencocokan universal)

    Gunakan dengan hati-hati—dapat membuat aturan terlalu luas

    Operator logika

    Gabungkan beberapa kondisi untuk pencocokan yang tepat. Gunakan tanda kurung untuk mengelompokkan ekspresi jika diperlukan.

    Operator

    Simbol

    Perilaku

    Contoh

    AND

    &

    Semua kondisi harus cocok

    *python*&*script.py* - harus mengandung "python" dan "script.py"

    OR

    |

    Setidaknya satu kondisi harus cocok

    /usr/bin/python | /usr/bin/python3 - cocok dengan salah satu path

    NOT

    !

    Mengecualikan pola

    *python*&!*test* - mengandung "python" tetapi tidak mengandung "test"

    Aturan sintaks penting:

    • &!pattern didukung (AND NOT) - Contoh: *process*&!*debug*

    • |!pattern TIDAK didukung - gunakan !pattern1&!pattern2 sebagai gantinya.

    • Hindari aturan pengecualian yang terlalu luas karena dapat melemahkan keamanan.

    Contoh:

    Skenario

    Sintaks

    Penjelasan

    Izinkan proses Python kecuali skrip pengujian

    *python*&!*test*&!*pytest*

    Harus mengandung "python", tidak boleh mengandung "test" atau "pytest"

    Izinkan proses dari /usr/bin atau /usr/local/bin

    /usr/bin/* | /usr/local/bin/*

    Cocok dengan path yang dimulai dengan salah satu awalan tersebut

    Izinkan proses Java dengan konfigurasi tertentu

    *java*&(*prod* | *production*)

    Proses Java dengan "prod" atau "production" di command line

    Praktik terbaik:

    • Mulai dengan pola sederhana, tambahkan kompleksitas hanya jika diperlukan.

    • Uji aturan di lingkungan non-produksi terlebih dahulu.

    • Dokumentasikan logika aturan Anda (gunakan nama aturan yang deskriptif).

    • Hindari negasi ganda (!(!pattern)) - tulis ulang agar lebih jelas.

    Glosarium

    Term

    Definisi

    Term terkait

    Allowlist rule

    Aturan yang ditentukan pengguna untuk mengecualikan perilaku tertentu dari pemberitahuan. Istilah standar industri (menggantikan istilah lama "whitelist").

    Suppression rule (AWS GuardDuty, Azure Sentinel), Mute rule (GCP Security Command Center)

    Alert

    Temuan keamanan yang menunjukkan perilaku mencurigakan atau berbahaya yang terdeteksi oleh Security Center.

    Finding (istilah AWS/GCP untuk hasil deteksi)

    False positive

    Peringatan yang dipicu oleh perilaku sah yang salah diidentifikasi sebagai berbahaya.

    False alarm, deteksi benign

    Malicious Behavior Defense

    Fitur Security Center yang memantau perilaku host dan memblokir aktivitas mencurigakan secara real-time.

    Threat detection (istilah industri), behavioral analysis

    Rule matching

    Proses membandingkan perilaku yang tertangkap dengan kriteria aturan yang dikonfigurasi untuk menentukan apakah aturan allowlist berlaku. Evaluasi aturan mengacu pada logika mesin internal yang menentukan aturan deteksi mana yang aktif.

    Rule evaluation (perspektif mesin internal)