Fitur pemantauan file inti memungkinkan Anda memantau akses ke file inti pada server secara real-time. Fitur ini dapat mendeteksi operasi seperti akses, modifikasi, penghapusan, dan penggantian nama, serta menghasilkan peringatan untuk aktivitas mencurigakan. Dengan fitur ini, Anda dapat memeriksa apakah file inti dicuri atau dirusak. Topik ini menjelaskan cara menggunakan fitur pemantauan file inti.
Batasan
Hanya edisi Enterprise dan Ultimate dari Security Center yang mendukung fitur ini. Untuk informasi lebih lanjut tentang cara membeli atau meningkatkan Security Center, lihat Beli Security Center dan Tingkatkan dan Turunkan Security Center.
Fitur ini hanya mendukung server dengan agen Security Center online. Ikon
menunjukkan bahwa agen tersebut online. Sistem operasi dan versi kernel server harus didukung oleh file AliWebGuard. Untuk informasi lebih lanjut, lihat Sistem Operasi dan Versi Kernel yang Didukung oleh File AliWebGuard.
Langkah 1: Buat aturan
Logika validasi aturan
Sebelum fitur pemantauan file inti aktif, Anda harus membuat aturan untuk menentukan ruang lingkup pemantauan file server. Kami sarankan Anda memahami logika validasi aturan sebelum membuatnya.
Selama pemantauan akses file pada server, Security Center hanya akan menghasilkan peringatan atau mengizinkan permintaan jika permintaan sesuai dengan semua item berikut dalam aturan yang ditentukan:
Jalur Proses
Jalur File
Operasi File
Security Center memprioritaskan pencocokan permintaan terhadap aturan di mana parameter Metode Penanganan disetel ke Release (izin). Jika permintaan tidak cocok dengan aturan izin, Security Center akan mencocokkannya dengan aturan di mana parameter Metode Penanganan disetel ke Alert (peringatan).
Saran konfigurasi dan contoh
Kami sarankan Anda mengonfigurasi aturan pemantauan untuk file sistem inti dan file konfigurasi penting. Untuk informasi lebih lanjut tentang standar konfigurasi aturan dan contohnya, lihat Praktik Terbaik untuk Mengonfigurasi Fitur Pemantauan File Inti.
Sebelum membuat aturan, tentukan file yang ingin dipantau dan ruang lingkup proses yang diizinkan untuk mengakses file tersebut.
Untuk file bisnis inti, konfigurasikan aturan peringatan untuk semua proses dan beberapa aturan izin untuk proses yang diizinkan. Ini membantu memastikan bahwa semua operasi akses dipantau tanpa menghasilkan peringatan yang tidak perlu.
Sebagai contoh, jalur file inti yang ingin Anda pantau adalah /etc/sysctl.conf, dan proses yang diizinkan adalah systemd. Untuk memantau jalur file /etc/sysctl.conf, konfigurasikan dua aturan berikut:
Aturan 1: Setel parameter Metode Penanganan ke Alert, setel parameter Jalur Proses ke asterisk (
*), setel parameter Jalur File ke/etc/sysctl.conf, dan pilih semua opsi untuk parameter Operasi File. Asterisk (*) menentukan semua proses.Aturan 2: Setel parameter Metode Penanganan ke Release, setel parameter Jalur Proses ke
/usr/lib/systemd/systemd, setel parameter Jalur File ke/etc/sysctl.conf, dan pilih semua opsi untuk parameter Operasi File.
Jika Anda ingin memantau file inti pada beberapa server, tentukan jalur file pada semua server dalam aturan peringatan dan setel parameter Jalur Proses ke asterisk (*). Kemudian, konfigurasikan beberapa aturan izin untuk jalur proses berbeda yang ingin Anda izinkan pada server yang berbeda.
Jika Anda tidak mengonfigurasi aturan peringatan untuk semua proses, Anda tidak dapat memantau operasi akses yang dilakukan oleh proses di luar ruang lingkup jalur proses yang ditentukan. Semua proses di luar ruang lingkup dapat menghindari pemantauan Security Center.
Saat mengonfigurasi aturan izin, kami sarankan Anda tidak menggunakan karakter wildcard untuk menentukan jalur proses. Jika Anda menggunakan karakter wildcard, penyerang dapat mengeksploitasi aturan izin untuk mengakses file server Anda setelah menghindari pemantauan Security Center.
Prosedur
Masuk ke Konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Wilayah berikut didukung: China dan Outside China.
Di panel navigasi sisi kiri, pilih .
Jika Anda menggunakan Security Center Advanced atau edisi yang lebih rendah, klik Buy Now untuk membeli Security Center Enterprise atau Ultimate.
Di halaman Core File Monitoring, klik tab Monitoring Rule dan klik Create Whitelist Rule.
Di panel Create Whitelist Rule, konfigurasikan parameter dan klik OK.
Parameter
Deskripsi
Rule Name
Masukkan nama untuk aturan.
Handling Method
Pilih tindakan yang akan dilakukan Security Center saat aturan terpicu. Nilai yang valid:
Alert: Security Center menghasilkan peringatan dan mencatat peristiwa.
Allow: Security Center mengizinkan permintaan. Security Center tidak menghasilkan peringatan atau mencatat peristiwa.
Alert Level
Parameter ini diperlukan hanya jika Anda menyetel parameter Metode Penanganan ke Alert.
Pilih tingkat keparahan untuk peringatan yang dihasilkan saat aturan terpicu.
OS Type
Pilih jenis sistem operasi server yang akan dipantau.
Status
Tentukan apakah akan mengaktifkan aturan setelah aturan dibuat. Anda dapat mengaktifkan maksimal 100 aturan.
Process Path
Masukkan jalur proses yang akan dipantau.
Instruksi konfigurasi
Untuk memantau satu proses, tentukan jalur proses yang tepat. Sebagai contoh, jika Anda mengonfigurasi jalur sebagai
/usr/bin/bash, itu akan memantau proses/usr/bin/bash.Untuk memantau semua proses dalam direktori tertentu, gunakan wildcard. Sebagai contoh, jika Anda mengonfigurasi jalur sebagai
/etc/*, itu akan memantau semua proses di bawah direktori/etc.CatatanJika Anda mengonfigurasi jalur proses sebagai
/etc/, itu hanya akan memantau jalur proses/etc/dan bukan semua proses di bawah direktori ini.
Batasan konfigurasi
Panjang jalur proses tunggal harus antara 1 dan 128 karakter Inggris. Beberapa jalur proses harus dimasukkan pada baris terpisah, dengan dukungan hingga 20 jalur proses.
File Path
Masukkan jalur file yang akan dipantau.
Instruksi konfigurasi
Untuk memantau satu file, tentukan jalur file yang tepat. Sebagai contoh, mengonfigurasi jalur sebagai
/etc/passwdakan memantau file/etc/passwd.Untuk memantau semua file dalam direktori tertentu, gunakan wildcard. Sebagai contoh, mengonfigurasi jalur sebagai
/etc/*akan memantau semua file di bawah direktori/etc.CatatanMengonfigurasi jalur file sebagai
/etc/akan memantau hanya file spesifik/etc/, bukan semua file di bawah direktori ini.
Batasan konfigurasi
Panjang jalur file tunggal harus antara 1 dan 128 karakter Inggris. Beberapa jalur file harus dimasukkan pada baris terpisah, dengan dukungan hingga 20 jalur file.
File Operation
Pilih operasi file yang ingin Anda pantau.
CatatanOpsi Change Permissions tidak didukung oleh sistem Windows.
Rule Scope
Pilih server tempat Anda ingin menerapkan aturan.
Jika Anda ingin memodifikasi, menghapus, mengaktifkan, atau menonaktifkan aturan setelah pembuatan, gunakan titik masuk di kolom Status atau Tindakan aturan. Aktivasi pertama kali aturan untuk server membutuhkan waktu hingga 5 menit. Modifikasi aturan membutuhkan waktu hingga 1 menit. Setelah aturan berlaku, peringatan yang ada dan peristiwa yang tercatat tidak terpengaruh.
Langkah 2: Lihat dan tangani peringatan
Di halaman Core File Monitoring, klik tab Alert Event. Kemudian, Anda dapat melihat peringatan yang dihasilkan oleh Security Center terkait akses file.
Temukan peringatan yang ingin Anda lihat dan klik Details di kolom Tindakan untuk melihat detail akses file.
CatatanJika skrip Python digunakan untuk mengakses file, Security Center tidak dapat memperoleh informasi CLI rinci.
Jika perintah built-in Shell digunakan untuk mengakses file, Security Center tidak dapat memperoleh informasi CLI rinci. Sebagai contoh, jika perintah adalah
echo "new content" >> /etc/nginx/nginx.conf,["-bash"]ditampilkan sebagai informasi CLI yang dikumpulkan di halaman detail peringatan. Hal ini karena perintah tersebut adalah perintah built-in Shell, yang menambahkan konten ke file nginx.conf.Security Center mengumpulkan informasi CLI setelah penguraian Shell dan menampilkan informasi CLI yang dikumpulkan dalam array JSON di halaman detail peringatan. Perintah yang ditampilkan mungkin berbeda dari perintah asli yang ditentukan pengguna.
Contoh 1: Perintah yang ditentukan pengguna adalah
mkdir "1 2", yang setara dengan perintahmkdir 1\ 2. Kedua perintah tersebut membuat direktori bernama 1 2. Setelah penguraian Shell, perintah yang ditentukan pengguna menjadimkdirdan1 2, dan hasil tampilan di halaman detail peringatan adalah["mkdir", "1 2"].Contoh 2: Perintah yang ditentukan pengguna adalah
rm -rf *. Setelah penguraian Shell,*diganti dengan semua file dan subdirektori di direktori yang ditentukan. Dalam contoh ini, Security Center mengumpulkan dan menampilkan informasi CLI berikut:rm,-rf, dan daftar semua file dan subdirektori di direktori saat ini.
Periksa apakah peristiwa abnormal tercatat berdasarkan detail akses file.
Solusi tindak lanjut bervariasi berdasarkan hasil pemeriksaan Anda.
Jika peristiwa abnormal tercatat, kami sarankan Anda memblokir proses terkait dan mengkarantina file terkait setelah memastikan bahwa bisnis Anda terpengaruh.
Jika peristiwa mencatat akses file normal, Anda dapat menambahkan peringatan ke daftar putih untuk menangani peringatan.
Jika peristiwa dianggap tidak memengaruhi file Anda dan Anda tidak perlu menambahkan peringatan ke daftar putih, Anda dapat mengabaikan peringatan.
Setelah Anda memeriksa dan menangani peringatan, temukan peringatan dan klik Handle di kolom Tindakan. Kemudian, pilih metode penanganan dan klik OK.
Daftar Putih: Setelah Anda menambahkan peringatan ke daftar putih, Security Center secara otomatis menghasilkan aturan daftar putih yang mengizinkan perilaku yang terdeteksi oleh peringatan. Jika Anda memilih opsi ini, Anda harus mengonfigurasi parameter Nama Aturan Daftar Putih, Jalur Proses, Jalur File, Operasi File, dan Ruang Lingkup Aturan. Kemudian, klik OK.
Abaikan: Jika Anda mengabaikan peringatan, status peringatan berubah menjadi Diabaikan. Jika peringatan yang sama terdeteksi nanti, Security Center menghasilkan peringatan baru.
Tangani secara manual: Jika Anda telah menangani peristiwa abnormal, Anda dapat memilih opsi ini.
Fitur pemantauan file inti hanya mendukung Konfigurasikan Pengaturan Notifikasi di Tab Chatbot DingTalk. Setelah konfigurasi, Anda dapat menerima peringatan real-time yang diidentifikasi oleh Security Center melalui grup DingTalk.
FAQ
Apa perbedaan antara perlindungan anti-tamper web dan pemantauan file inti?
Perlindungan anti-tamper web adalah fitur berbeda yang disediakan oleh Security Center untuk melindungi file. Perlindungan anti-tamper web dan pemantauan file inti berbeda dalam item berikut.
Item | Perlindungan Anti-Tamper Web | Pemantauan File Inti |
Skenario | Anda perlu melindungi aset seperti situs web yang rentan terhadap serangan dan sensitif terhadap perubahan file. |
|
Ruang Lingkup Perlindungan | Fitur ini dapat melindungi sebagian besar server Linux dan Windows. | Fitur ini dapat melindungi sebagian besar server Linux dan Windows. |
Penagihan | Fitur ini adalah layanan tambahan yang disediakan oleh Security Center. Anda harus membeli fitur ini untuk menggunakannya. | Fitur ini hanya tersedia di Security Center Enterprise dan Ultimate. |
Kemampuan | Fitur ini mendukung identifikasi perubahan file yang tidak normal. Fitur ini juga dapat memblokir proses terkait atau menghasilkan peringatan. | Fitur ini mendukung pemantauan akses tidak normal ke file, termasuk operasi baca, modifikasi, dan penghapusan. Fitur ini juga dapat menghasilkan peringatan. |
Jika saya mengaktifkan perlindungan anti-tamper web dan pemantauan file inti, fitur mana yang berlaku terlebih dahulu?
Jika perlindungan anti-tamper web dan pemantauan file inti keduanya diaktifkan untuk server, perlindungan anti-tamper web berlaku terlebih dahulu. Jika Security Center tidak dapat mencocokkan permintaan dengan aturan perlindungan anti-tamper web, Security Center akan mencocokkan permintaan dengan aturan pemantauan file inti. Aturan daftar putih proses dari perlindungan anti-tamper web hanya berlaku saat fitur perlindungan anti-tamper web aktif. Aturan izin dari pemantauan file inti hanya berlaku saat fitur pemantauan file inti aktif.