全部产品
Search

搜索本产品

    Security Center:Tangani peringatan serangan

    文档中心

    Security Center:Tangani peringatan serangan

    更新时间:Jul 02, 2025

    Agen Runtime Application Self-Protection (RASP) mengumpulkan konteks runtime aplikasi dan parameter fungsi hook yang telah dikonfigurasi. Agen ini kemudian menganalisis data tersebut menggunakan teknologi seperti analisis semantik dan pemeriksaan baseline perilaku untuk mendeteksi ancaman dalam aplikasi yang dilindungi. Agen RASP memiliki tingkat positif palsu yang rendah. Dalam banyak kasus, peringatan yang dihasilkan oleh agen RASP menunjukkan serangan nyata, yang dikenal sebagai peringatan serangan. Fitur perlindungan aplikasi menyediakan detail serangan, termasuk alamat IP penyerang, karakteristik serangan jahat, parameter input, dan informasi tumpukan panggilan. Kami sarankan Anda segera menangani peringatan serangan berdasarkan informasi pada halaman detail peringatan. Topik ini menjelaskan cara menangani peringatan serangan.

    Lihat dan tangani peringatan serangan

    Contoh berikut menggambarkan cara melihat dan menangani peringatan serangan yang dihasilkan akibat pengunggahan file jahat.

    1. Masuk ke konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.

    2. Di panel navigasi sebelah kiri, pilih Protection Configuration > Application Protection.

    3. Pada tab Attack Alerts, temukan peringatan yang ingin Anda lihat dan klik Details di kolom Tindakan.

    4. Di halaman detail peringatan, tinjau informasi peringatan.

      Catat bidang-bidang berikut dalam Details dan informasi peringatan yang disediakan oleh model AI di Alert Analysis untuk menentukan apakah peringatan tersebut merupakan positif sebenarnya.

      image.png

      Bagian

      Bidang

      Deskripsi

      Solusi

      Basic Alert

      Attacker IP Address

      Alamat IP sumber yang digunakan untuk mengakses aplikasi Anda.

      Tentukan apakah alamat IP tersebut merupakan alamat IP normal yang digunakan untuk mengakses aplikasi Anda.

      Vulnerability Name

      Nama kerentanan yang dieksploitasi oleh penyerang selama akses. Nama kerentanan hanya tersedia untuk serangan yang diluncurkan dengan mengeksploitasi kerentanan.

      Untuk mengurangi permukaan serangan yang dapat dieksploitasi oleh penyerang, kami sarankan Anda menangani kerentanan aplikasi secepat mungkin. Anda dapat mengklik ID kerentanan untuk melihat detail kerentanan.

      Advanced Alert

      Malicious Characteristics

      Data jahat yang dikirim oleh penyerang ke aplikasi Anda.

      Lihat informasi di bagian Peringatan Lanjutan untuk menentukan apakah peringatan tersebut menunjukkan permintaan layanan normal.

      Dalam contoh ini, periksa apakah permintaan untuk mengunggah file addservlet.jsp di direktori /usr/local/tomcat/webapps/upload/addservlet.jsp normal.

      • Jika permintaan normal, Anda dapat menambahkan karakteristik tersebut ke daftar putih. Setelah Anda menambahkan karakteristik ke daftar putih, fitur perlindungan aplikasi tidak lagi menghasilkan peringatan untuk permintaan yang memiliki karakteristik tersebut.

      • Jika permintaan tidak normal, permintaan tersebut mungkin merupakan serangan pengintaian atau serangan nyata.

        • Jika Anda mengatur mode perlindungan ke Monitor, file jahat mungkin dieksekusi. Dalam hal ini, Anda harus segera menghapus file secara manual.

        • Jika Anda mengatur mode perlindungan ke Block, fitur perlindungan aplikasi memblokir serangan, dan file tidak dapat disimpan di server Anda.

      Trigger Function

      Fungsi sensitif keamanan dalam aplikasi. Saat fungsi ini dipanggil, peringatan dipicu. Saat agen RASP mendeteksi pemanggilan fungsi, agen memeriksa dan memproses pemanggilan untuk mendeteksi risiko.

      Specified Parameters

      Log perilaku dan acara yang dihasilkan oleh aplikasi saat aplikasi memproses permintaan. Bidang ini adalah objek JSON yang berisi pasangan kunci-nilai.

      Stack Calling

      Tumpukan panggilan aplikasi saat suatu peristiwa terjadi, yang mencatat urutan pemanggilan fungsi.

      More Information

      Request URL

      Informasi tentang permintaan untuk mengakses aplikasi.

      Lihat informasi tentang permintaan untuk mengakses aplikasi dan periksa apakah permintaan dikirim dari sumber yang sah. Jika permintaan dikirim dari sumber yang tidak sah, terapkan kontrol akses atau tolak permintaan dari sumber tersebut.

    Tambahkan peringatan serangan ke daftar putih

    Jika Anda mengonfirmasi bahwa peringatan serangan dipicu oleh permintaan akses normal, Anda dapat menambahkan peringatan tersebut ke daftar putih untuk mencegah peringatan serupa dipicu. Anda dapat menambahkan peringatan serangan ke daftar putih berdasarkan informasi seperti karakteristik serangan jahat, parameter input, dan URL permintaan. Sebelum menambahkan peringatan serangan ke daftar putih, peroleh informasi dari halaman detail peringatan.

    Catatan

    Untuk mengonfigurasi daftar putih berdasarkan karakteristik serangan jahat dan parameter input, Anda harus meningkatkan versi agen RASP ke 0.5.2 atau lebih baru. Anda dapat me-restart aplikasi yang dilindungi untuk secara otomatis meningkatkan agen RASP ke versi terbaru. Untuk informasi lebih lanjut, lihat Lihat versi agen RASP.

    Berikut ini menjelaskan cara menambahkan peringatan serangan ke daftar putih. Jika Anda ingin mengonfigurasi daftar putih untuk beberapa grup aplikasi sekaligus, klik Whitelists di sudut kanan atas daftar peringatan. Di halaman Daftar Putih, klik Configure Protection Whitelist.

    1. Masuk ke konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.

    2. Di panel navigasi sisi kiri, pilih Protection Configuration > Application Protection.

    3. Pada tab Attack Alerts, temukan peringatan yang ingin Anda kelola dan pilih Handle > Add to Whitelist di kolom Tindakan.

    4. Di panel Add to Whitelist, konfigurasikan aturan daftar putih dan klik OK.

      • Sebelum mengonfigurasi aturan daftar putih, perhatikan item berikut:

        Anda dapat mengonfigurasi aturan daftar putih dalam salah satu mode berikut: Karakteristik Jahat, Parameter yang Ditentukan, dan URL Permintaan. Fitur perlindungan aplikasi secara otomatis mengisi bidang aturan daftar putih berdasarkan data yang diperoleh dari detail peringatan. Aturan daftar putih yang menggunakan bidang yang diisi secara otomatis dapat mengidentifikasi dan mengontrol permintaan serupa dengan akurat.

        Jika Anda ingin memperluas cakupan permintaan tempat aturan daftar putih berlaku, Anda dapat memodifikasi bidang Mode Pencocokan dan Konten untuk Dicocokkan.

        Sebagai contoh, bidang Karakteristik Jahat dari peringatan yang dipicu oleh pengunggahan file jahat adalah /usr/local/tomcat/webapps/upload/1.jsp. Jika Anda mengonfirmasi bahwa semua permintaan akses ke direktori unggah normal, lakukan langkah-langkah berikut:

        • Ubah nilai bidang Mode Pencocokan menjadi Pencocokan Awalan.

        • Ubah nilai bidang Konten untuk Dicocokkan menjadi /usr/local/tomcat/webapps/upload/.

      • Item berikut menggambarkan mode pencocokan yang didukung oleh daftar putih:

        • Exact Match: Jika konten yang ditransmisikan sama dengan string yang ditentukan di bidang Konten untuk Dicocokkan, tidak ada peringatan yang dipicu.

        • Partial Match: Jika konten yang ditransmisikan berisi string yang ditentukan di bidang Konten untuk Dicocokkan, tidak ada peringatan yang dipicu.

        • Prefix Match: Jika konten yang ditransmisikan dimulai dengan string yang ditentukan di bidang Konten untuk Dicocokkan, tidak ada peringatan yang dipicu.

        • Suffix Match: Jika konten yang ditransmisikan diakhiri dengan string yang ditentukan di bidang Konten untuk Dicocokkan, tidak ada peringatan yang dipicu.

      Catatan

      Setelah mengonfigurasi aturan daftar putih, Anda dapat melihat dan mengelola aturan tersebut di halaman Whitelists. Untuk informasi lebih lanjut, lihat Kelola aturan daftar putih.

    Kelola aturan daftar putih

    Lihat aturan daftar putih

    1. Masuk ke konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.

    2. Di panel navigasi sisi kiri, pilih Protection Configuration > Application Protection.

    3. Pada tab Attack Alerts, klik Whitelists.

    4. Di halaman Whitelists, tinjau aturan daftar putih.

      Untuk mengelola aturan daftar putih, Anda dapat melakukan operasi berikut:

      • Aktifkan atau nonaktifkan aturan daftar putih: Nyalakan atau matikan sakelar di kolom Rule Switch.

      • Modifikasi atau hapus aturan daftar putih: Klik Edit atau Delete di kolom Actions.

      • Buat aturan daftar putih: Klik Configure Protection Whitelist. Untuk informasi lebih lanjut, lihat Buat aturan daftar putih.

    Buat aturan daftar putih

    Saat membuat aturan daftar putih, Anda dapat menentukan beberapa jenis ancaman dan beberapa grup aplikasi. Dengan cara ini, aturan daftar putih berlaku untuk grup aplikasi yang ditentukan pada saat yang bersamaan, dan jenis-jenis ancaman ditambahkan ke daftar putih grup aplikasi tersebut.

    1. Masuk ke konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.

    2. Di panel navigasi sisi kiri, pilih Protection Configuration > Application Protection.

    3. Pada tab Attack Alerts, klik Whitelists.

    4. Di halaman Whitelists, klik Configure Protection Whitelist.

    5. Di panel Configure Protection Whitelist, konfigurasikan aturan daftar putih dan klik OK.

      Parameter

      Deskripsi

      Rule Name

      Nama aturan daftar putih.

      White Mode

      Mode daftar putih. Nilai yang valid:

      • Malicious Characteristics

      • Specified Parameters

      • Request URL

      Threat Type

      Jenis ancaman yang ingin Anda tambahkan ke aturan daftar putih. Anda dapat mengklik Select untuk memilih jenis ancaman di panel Threat Type.

      Match Mode

      Mode pencocokan tempat aturan daftar putih berlaku.

      • Exact Match: Jika konten yang ditransmisikan sama dengan string yang ditentukan di bidang Konten untuk Dicocokkan, tidak ada peringatan yang dipicu.

      • Partial Match: Jika konten yang ditransmisikan berisi string yang ditentukan di bidang Konten untuk Dicocokkan, tidak ada peringatan yang dipicu.

      • Prefix Match: Jika konten yang ditransmisikan dimulai dengan string yang ditentukan di bidang Konten untuk Dicocokkan, tidak ada peringatan yang dipicu.

      • Suffix Match: Jika konten yang ditransmisikan diakhiri dengan string yang ditentukan di bidang Konten untuk Dicocokkan, tidak ada peringatan yang dipicu.

      Content to Match

      Konten yang digunakan untuk memvalidasi data terhadap aturan daftar putih berdasarkan mode daftar putih yang ditentukan. Anda dapat mengonfigurasi parameter ini berdasarkan nilai parameter Malicious Characteristics, Specified Parameters, dan Request URL yang disediakan di halaman detail peringatan.

      Destination Application Groups

      Grup aplikasi tempat Anda ingin menerapkan aturan daftar putih. Anda dapat mengklik Select untuk memilih grup aplikasi di panel Destination Application Groups.

    Referensi

    Fitur perlindungan aplikasi dari Security Center juga menyediakan pencegahan webshell dalam memori. Anda dapat mengaktifkan fitur pencegahan webshell dalam memori untuk meningkatkan kemampuan deteksi keseluruhan Anda. Untuk informasi lebih lanjut, lihat Gunakan fitur pencegahan webshell dalam memori.