Fitur Pertahanan terhadap Perilaku Berbahaya merupakan fitur keamanan jaringan yang mengidentifikasi, memblokir, dan merespons berbagai aktivitas berbahaya. Topik ini menjelaskan cara menggunakan fitur tersebut untuk melindungi host Anda dari serangan dan ancaman.
Skenario
Fitur Pertahanan terhadap Perilaku Berbahaya mendukung aturan pertahanan sistem dan aturan pertahanan kustom. Tabel berikut menjelaskan skenario untuk masing-masing jenis aturan.
Aturan pertahanan kustom memiliki prioritas lebih tinggi daripada aturan pertahanan sistem.
Jenis Aturan | Deskripsi |
Aturan pertahanan sistem | Terdapat dua jenis utama aturan perlindungan: Network Threat Prevention dan Process Protection.
|
Aturan pertahanan kustom | Untuk mengizinkan atau secara khusus memblokir perilaku tertentu, Anda dapat menggunakan fitur Custom Defense Rule untuk membuat aturan detail halus yang disesuaikan dengan skenario bisnis Anda. Untuk contoh konfigurasi berbasis skenario lainnya, lihat Praktik terbaik untuk aturan pertahanan perilaku berbahaya kustom. |
Kelola aturan pertahanan sistem
Edisi Pro mendukung pertahanan proses. Pengguna edisi Enterprise dan Ultimate dapat mengaktifkan semua aturan pertahanan sistem.
Masuk ke Konsol Security Center. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: China atau Outside China.
Di panel navigasi sebelah kiri, pilih .
Di tab Malicious Behavior Defense, pada subtab System Defense Rule, temukan dan kelola aturan pertahanan sistem yang ingin Anda kelola.
Mengaktifkan atau menonaktifkan aturan
Jika aturan pertahanan sistem tidak sesuai dengan skenario bisnis Anda dan memengaruhi skor keamanan aset Anda, Anda dapat menonaktifkan aturan tersebut.
PentingSetelah Anda menonaktifkan aturan pertahanan sistem, Security Center tidak lagi mendeteksi atau melaporkan risiko keamanan terkait. Event peringatan terkait aturan tersebut tidak akan ditampilkan lagi di daftar peringatan pada halaman Alert. Lakukan dengan hati-hati.
Pilih satu atau beberapa aturan.
Klik Enable atau Disable di bawah daftar aturan.
Kelola host
PentingSetelah Anda menghapus aset dari suatu aturan, aset tersebut tidak lagi dilindungi oleh aturan pertahanan sistem. Lakukan dengan hati-hati.
Pilih aturan pertahanan sistem yang ingin Anda kelola dan klik Manage Host di kolom Actions.
Di panel Host Management, tambahkan atau hapus aset yang dilindungi oleh aturan tersebut, lalu klik OK.
Aturan pertahanan kustom
Jika Security Center menghasilkan peringatan positif palsu untuk operasi bisnis normal Anda, Anda dapat membuat aturan pertahanan kustom untuk menambahkan perilaku tersebut ke daftar putih. Misalnya, Anda dapat menambahkan perilaku yang terkait dengan baris perintah dan hash proses ke daftar putih untuk mencegah peringatan positif palsu.
Masuk ke Konsol Security Center. Di pojok kiri atas konsol, pilih wilayah tempat aset yang ingin Anda lindungi berada: China atau Outside China.
Di panel navigasi sebelah kiri, pilih .
Di tab Malicious Behavior Defense, pada subtab Custom Defense Rule, klik Create Rule.
Di panel New Rule, pilih Rule Type, konfigurasikan parameter terkait, tetapkan Action untuk aturan tersebut, lalu klik Next.
Parameter yang harus Anda konfigurasi bervariasi tergantung pada jenis aturan yang Anda pilih. Anda dapat menambahkan jenis aturan berikut ke daftar putih:
Hash proses
Baris perintah
Jaringan proses
Baca/tulis file
Operasi registri
Pemuatan pustaka tautan dinamis
Penggantian nama file
Untuk informasi selengkapnya tentang contoh konfigurasi, lihat Praktik terbaik untuk aturan pertahanan kustom dalam pertahanan terhadap perilaku berbahaya.
Di daftar server pada panel New Rule, pilih aset tempat Anda ingin menerapkan aturan tersebut, lalu klik Finish.
Aturan kustom baru diaktifkan secara default. Anda dapat mengedit aturan tersebut dan mengelola server tempat aturan tersebut berlaku.
Lihat dan tangani event peringatan keamanan
Security Center menghasilkan peringatan keamanan dan memblokir serangan dasar berdasarkan aturan yang dikonfigurasi. Peringatan yang dihasilkan dan metode penanganannya bervariasi tergantung pada jenis aturan.
Pertahanan proses
Security Center menghasilkan peringatan "Precise Defense" berdasarkan aturan Process Protection. Anda dapat melakukan langkah-langkah berikut untuk melihat dan menangani peringatan tersebut.
Masuk ke Konsol Security Center. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: China atau Outside China.
Di panel navigasi sebelah kiri, pilih .
CatatanJika Anda telah mengaktifkan CTDR, di panel navigasi sebelah kiri, pilih .
Di halaman Alert, pilih tab CWPP, lalu klik angka di bawah Precise Defense.
Di daftar event peringatan, lihat event yang dihasilkan untuk risiko yang diblokir secara otomatis. Jika suatu event peringatan merupakan positif palsu, klik Details di kolom Actions untuk menangani event tersebut seperti dijelaskan dalam langkah-langkah berikut.
Contoh berikut menunjukkan cara menangani event peringatan positif palsu untuk Suspicious worm script behavior.
Di panel detail peringatan, peroleh dan catat informasi berikut untuk menangani event peringatan:
Catat nama aturan pertahanan sistem yang mendeteksi dan melaporkan event peringatan tersebut. Dalam contoh ini, namanya adalah Malicious Damage To Client Processes.
ATT&CK Phase dari event peringatan tersebut. Dalam kasus ini, tahapannya adalah Impact.
Catat nama dan alamat IP aset yang terdampak oleh event peringatan tersebut.
Di panel navigasi sebelah kiri, pilih .
Di daftar aturan pertahanan sistem, temukan aturan yang memicu event peringatan tersebut.
Anda dapat memasukkan Suspicious worm script behavior di kotak pencarian untuk menemukan aturan pertahanan sistem tersebut.
Anda juga dapat mengklik Impact di menu Attack Stage di sebelah kiri untuk menemukan aturan pertahanan sistem tersebut.
Di daftar aturan pertahanan sistem, temukan aturan bernama Suspicious Worm Script Behavior dan kelola aturan tersebut.
Jika aturan pertahanan sistem ini tidak sesuai dengan skenario bisnis Anda dan Anda tidak ingin Security Center lagi melaporkan event peringatan keamanan yang dideteksinya, Anda dapat mengklik ikon
di kolom Switch untuk menonaktifkan aturan tersebut.PentingJika Anda menonaktifkan aturan pertahanan sistem, Security Center tidak akan lagi mendeteksi atau melaporkan risiko keamanan terkait aturan tersebut ke daftar peringatan di halaman Alert. Lakukan dengan hati-hati.
Jika Anda hanya ingin menangani event peringatan keamanan positif palsu ini saja, Anda dapat mengklik Manage Host di kolom Actions dan menghapus aset terdampak dari daftar aset yang dilindungi oleh aturan sistem.
Anda juga dapat mencari dan menangani peringatan positif palsu tersebut di halaman Alert. Untuk informasi selengkapnya, lihat Analisis dan penanganan peringatan keamanan.
PentingJika Anda hanya ingin menangani event peringatan saat ini tetapi tetap ingin aturan tersebut melindungi aset, Anda dapat menambahkan kembali aset tersebut ke daftar aset yang dilindungi aturan di halaman Malicious Behavior Defense.
Pertahanan jaringan
Security Center menggunakan aturan Network Threat Prevention untuk secara otomatis memblokir dan menangani serangan jaringan dasar. Data mengenai serangan tersebut ditampilkan di halaman Security Alerts > Network Defense Alert. Untuk informasi selengkapnya, lihat Peringatan Network Threat Prevention (sebelumnya Analisis Serangan).
Untuk produk cloud yang baru dibeli, Anda harus menunggu Security Center menyinkronkan data serangan jaringan secara otomatis. Penyinkronan data memerlukan waktu sekitar 3 jam. Setelah penyinkronan selesai, Anda dapat melihat informasi analisis serangan.
Peringatan pertahanan merupakan hasil pemblokiran otomatis oleh Security Center. Tidak diperlukan tindakan apa pun.
Masuk ke Konsol Security Center. Di pojok kiri atas konsol, pilih wilayah tempat aset yang ingin Anda lindungi berada: China atau Outside China.
Di panel navigasi sebelah kiri, pilih .
CatatanJika Anda telah mengaktifkan CTDR, di panel navigasi sebelah kiri, pilih .
Di halaman Alert, pilih tab CWPP, lalu klik angka di bawah Network Defense Alert untuk melihat informasi terkait.
