Security Center menyediakan fitur pertahanan perilaku jahat untuk melindungi server. Anda dapat membuat aturan pertahanan kustom sesuai dengan kebutuhan bisnis Anda. Topik ini menjelaskan cara membuat aturan pertahanan kustom untuk menambahkan peringatan positif palsu ke daftar putih.
Batasan
Hanya edisi Advanced, Enterprise, dan Ultimate dari Security Center yang mendukung fitur ini. Untuk informasi lebih lanjut tentang cara membeli dan meningkatkan Security Center, lihat Beli Security Center dan Tingkatkan dan Turunkan Versi Security Center.
Prosedur
Masuk ke Konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Wilayah berikut didukung: China dan Outside China.
Di panel navigasi sisi kiri, pilih .
Pada tab Malicious Behavior Defense, klik tab Custom Defense Rule. Kemudian, klik Create Whitelist Rule.
Di panel Create Whitelist Rule, konfigurasikan parameter di langkah Tambahkan Aturan dan klik Next.
CatatanAnda dapat menentukan persamaan string untuk parameter. Contoh: 'a' = 'a'. Anda juga dapat menggunakan tanda bintang (*) untuk mencocokkan string atau string kosong. Kami merekomendasikan Anda mengonfigurasi parameter dalam salah satu format berikut:
*String karakteristik*,*String karakteristik, atauString karakteristik*.Anda dapat menggunakan operator logis berikut untuk mengonfigurasi parameter:
|, &, !. Contoh:&!*String karakteristik*. Garis vertikal (|) menunjukkan operator ATAU, ampersand (&) menunjukkan operator DAN, dan tanda seru (!) menunjukkan operator BUKAN.|!*String karakteristik*tidak didukung.Anda dapat membiarkan parameter Parent Process Path dan Parent Command Line kosong.
Process hash: Jika Anda menerima peringatan positif palsu seperti yang ditunjukkan pada gambar berikut dan peringatan tersebut dipicu oleh nilai hash MD5 file jahat, Anda dapat membuat aturan pertahanan kustom tipe Hash Proses untuk menambahkan peringatan positif palsu ke daftar putih. Untuk membuat aturan, konfigurasikan parameter berdasarkan tabel berikut.
CatatanSistem memblokir file jahat berdasarkan nilai bidang Malicious File MD5.
Parameter
Deskripsi
Rule name
Masukkan nama untuk aturan. Kami merekomendasikan Anda memasukkan nama berdasarkan jenis peringatan positif palsu. Contoh: program penambangan.
Rule type
Pilih Process hash.
Process MD5
Masukkan nilai bidang Malicious File MD5 yang ditampilkan di panel detail peringatan positif palsu. Contoh: d2f295a89555579c39a0507e96XXXXXX.
Action
Pilih Allow.
Command line: Jika Anda menerima peringatan positif palsu seperti yang ditunjukkan pada gambar berikut dan peringatan tersebut dipicu oleh startup proses atau baris perintah, Anda dapat membuat aturan pertahanan kustom tipe Baris Perintah untuk menambahkan peringatan positif palsu ke daftar putih. Untuk membuat aturan, konfigurasikan parameter berdasarkan tabel berikut.
CatatanSistem memblokir startup proses atau baris perintah berdasarkan nilai bidang Process of executing command atau Command in execution.
Parameter
Deskripsi
Rule name
Masukkan nama untuk aturan. Kami merekomendasikan Anda memasukkan nama berdasarkan jenis peringatan positif palsu. Contoh: startup proses.
Rule type
Pilih Command line.
OS Type
Pilih tipe sistem operasi Anda. Dalam contoh ini, linux digunakan.
Process Path
Masukkan nilai bidang Process of executing command yang ditampilkan di panel detail peringatan positif palsu. Contoh:
*/pkill.Command Line
Masukkan nilai bidang Command in execution yang ditampilkan di panel detail peringatan positif palsu. Contoh:
*AliYunDun*.Action
Pilih Allow.
Process Network: Jika Anda menerima peringatan positif palsu seperti yang ditunjukkan pada gambar berikut dan peringatan tersebut dipicu oleh proses jaringan, Anda dapat membuat aturan pertahanan kustom tipe Jaringan Proses untuk menambahkan peringatan positif palsu ke daftar putih. Untuk membuat aturan, konfigurasikan parameter berdasarkan tabel berikut.
CatatanSistem memblokir proses jaringan berdasarkan nilai bidang IP, Port, atau Process Path Of Network Communication.
Parameter
Deskripsi
Rule name
Masukkan nama untuk aturan. Kami merekomendasikan Anda memasukkan nama berdasarkan jenis peringatan positif palsu. Contoh: proses jaringan.
Rule type
Pilih Process Network.
OS Type
Pilih tipe sistem operasi Anda. Dalam contoh ini, windows digunakan.
Process Path
Masukkan nilai bidang Process Path Of Network Communication yang ditampilkan di panel detail peringatan positif palsu. Contoh:
*/powershell.exe.Command Line
Masukkan nilai bidang Process Commands For Network Communication yang ditampilkan di panel detail peringatan positif palsu. Contoh:
*dAByAhADQAKAHsADQAkACXXXXXX*.IP Address
Masukkan nilai bidang IP yang ditampilkan di panel detail peringatan positif palsu. Contoh: 45.117.XX.XX.
Port
Masukkan nilai bidang Port yang ditampilkan di panel detail peringatan positif palsu. Contoh: 14XX.
Action
Pilih Allow.
File Read and Write: Jika Anda menerima peringatan positif palsu seperti yang ditunjukkan pada gambar berikut dan peringatan tersebut dipicu oleh pembacaan atau penulisan berkas, Anda dapat membuat aturan pertahanan kustom tipe Baca dan Tulis Berkas untuk menambahkan peringatan positif palsu ke daftar putih. Untuk membuat aturan, konfigurasikan parameter berdasarkan tabel berikut.
CatatanSistem memblokir berkas berdasarkan nilai bidang target document.
Parameter
Deskripsi
Rule name
Masukkan nama untuk aturan. Kami merekomendasikan Anda memasukkan nama berdasarkan jenis peringatan positif palsu. Contoh: baca dan tulis berkas.
Rule type
Pilih File Read and Write.
OS Type
Pilih tipe sistem operasi Anda. Dalam contoh ini, linux digunakan.
Process Path
Masukkan nilai bidang Process of executing command yang ditampilkan di panel detail peringatan positif palsu. Contoh:
*/java.Command Line
Masukkan nilai bidang Command in execution yang ditampilkan di panel detail peringatan positif palsu. Contoh:
*weaver*.File Path
Masukkan nilai bidang target document yang ditampilkan di panel detail peringatan positif palsu. Contoh:
*/console_login.jsp.Action
Pilih Allow.
Anda dapat membuat aturan pertahanan kustom untuk perlindungan registri.
Skenario 1: Jika Anda menerima peringatan positif palsu seperti yang ditunjukkan pada gambar berikut dan peringatan tersebut dipicu oleh registri, Anda dapat membuat aturan pertahanan kustom tipe Operasi pada Registri untuk menambahkan peringatan positif palsu ke daftar putih. Untuk membuat aturan, konfigurasikan parameter berdasarkan tabel berikut.
CatatanSistem memblokir registri berdasarkan nilai bidang Registry Path atau Registry Value.
Parameter
Deskripsi
Rule name
Masukkan nama untuk aturan. Kami merekomendasikan Anda memasukkan nama berdasarkan jenis peringatan positif palsu. Contoh: perlindungan registri.
Rule type
Pilih Operation on Registry.
OS Type
Nilainya tetap windows dan tidak dapat diubah.
Process Path
Masukkan nilai bidang Process of executing command yang ditampilkan di panel detail peringatan positif palsu. Contoh:
*/iexplore.exe.Command Line
Masukkan nilai bidang Command in execution yang ditampilkan di panel detail peringatan positif palsu. Contoh:
*iexplore.exe*.Registry Key
Masukkan nilai bidang Registry Path yang ditampilkan di panel detail peringatan positif palsu. Contoh:
*currentversion*.Registry Value
Masukkan nilai bidang Registry Value yang ditampilkan di panel detail peringatan positif palsu. Contoh:
*svch0st.exe*.Action
Pilih Allow.
Skenario 2: Jika Anda menerima peringatan positif palsu seperti yang ditunjukkan pada gambar berikut dan peringatan tersebut dipicu oleh registri, Anda dapat membuat aturan pertahanan kustom tipe Operasi pada Registri untuk menambahkan peringatan positif palsu ke daftar putih. Untuk membuat aturan, konfigurasikan parameter berdasarkan tabel berikut.
CatatanSistem memblokir registri berdasarkan nilai bidang Hijacked process path atau Malicious so file path.
Parameter
Deskripsi
Rule name
Masukkan nama untuk aturan. Kami merekomendasikan Anda memasukkan nama berdasarkan jenis peringatan positif palsu. Contoh: perlindungan registri.
Rule type
Pilih Dynamic-link Library Loading.
OS Type
Pilih tipe sistem operasi Anda. Dalam contoh ini, linux digunakan.
Process Path
Masukkan nilai bidang Hijacked process path yang ditampilkan di panel detail peringatan positif palsu. Contoh:
*/python*.Command Line
Masukkan nilai bidang hijacked process command yang ditampilkan di panel detail peringatan positif palsu. Contoh:
*python*.File Path
Masukkan nilai bidang Malicious so file path yang ditampilkan di panel detail peringatan positif palsu. Contoh:
/usr/local/lib/kswapd0.so.Action
Pilih Allow.
File Renaming: Jika Anda menerima peringatan positif palsu seperti yang ditunjukkan pada gambar berikut dan peringatan tersebut dipicu oleh operasi penggantian nama berkas, Anda dapat membuat aturan pertahanan kustom tipe Penggantian Nama Berkas untuk menambahkan peringatan positif palsu ke daftar putih. Untuk membuat aturan, konfigurasikan parameter berdasarkan tabel berikut.
CatatanSistem memblokir berkas berdasarkan nilai bidang target document.
Parameter
Deskripsi
Rule name
Masukkan nama untuk aturan. Kami merekomendasikan Anda memasukkan nama berdasarkan jenis peringatan positif palsu. Contoh: penggantian nama berkas.
Rule type
Pilih File Renaming.
OS Type
Nilainya tetap windows dan tidak dapat diubah.
Process Path
Masukkan nilai bidang Process of executing command yang ditampilkan di panel detail peringatan positif palsu. Contoh:
*/cdgregedit.exe.Command Line
Masukkan nilai bidang Command in execution yang ditampilkan di panel detail peringatan positif palsu. Contoh:
*CDGRegedit.exe*.File Path
Masukkan nilai bidang target document yang ditampilkan di panel detail peringatan positif palsu. Contoh:
c:/programdata/hipsdata/private/*.New File Path
Masukkan nilai bidang target document yang ditampilkan di panel detail peringatan positif palsu. Contoh:
c:/programdata/hipsdata/private/*.Action
Pilih Allow.
Di langkah Change host, pilih aset tempat Anda ingin menerapkan aturan dan klik Finish.
Secara default, aturan pertahanan kustom yang baru dibuat diaktifkan. Anda dapat mengubah dan mengelola server tempat aturan diterapkan.