Ketika kit pengembangan perangkat lunak (SDK) Security Center untuk deteksi file berbahaya mendeteksi file berbahaya—seperti webshell, program penambangan, atau kuda troya—pada instans Elastic Compute Service (ECS) atau di Object Storage Service (OSS), Security Center menghasilkan peringatan. Topik ini menjelaskan cara menilai risiko, memilih dan menerapkan respons, serta melakukan penguatan keamanan untuk menyelesaikan proses tanggap darurat.
Pilih metode penanganan
Layanan SDK for Malicious File Detection menyediakan beberapa metode untuk menangani file berbahaya yang terdeteksi. Anda dapat memilih metode sesuai dengan skenario bisnis Anda.
Metode penanganan | Durasi efek | Dampak terhadap pemindaian selanjutnya | Skenario |
Add to whitelist | Permanent | File yang sesuai dengan aturan daftar putih secara otomatis ditandai sebagai Added to Whitelist dan tidak lagi memicu notifikasi robot DingTalk. | Gunakan opsi ini untuk file yang diperlukan dalam bisnis Anda dan ingin diizinkan secara permanen. |
Ignore | This time only | Tidak ada dampak. | Gunakan opsi ini untuk peringatan sementara atau prioritas rendah, atau untuk potensi positif palsu yang memerlukan analisis lebih lanjut. |
Block access | Permanent | File saat ini tidak lagi dipindai. | Gunakan opsi ini untuk file OSS yang dikonfirmasi berbahaya dan harus segera diisolasi agar tidak dapat diakses. |
I have handled it manually | This time only | Tidak ada dampak. | Gunakan opsi ini ketika Anda telah menangani ancaman tersebut melalui cara lain, seperti masuk ke server untuk menghapus file secara manual. |
Investigasi dan nilai risiko
Masuk ke Security Center console - Threat Management - Malicious File Detection SDK. Di pojok kiri atas halaman, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Buka halaman detail file.
Pada tab At-risk File Overview, temukan file yang ingin Anda kelola lalu klik Details di kolom Actions.
Pada tab OSS File Check:
Atur filter Whether Risk is Detected ke At Risk. Lalu, temukan bucket yang ingin Anda kelola dan klik Details di kolom Actions.
Pada bagian At-risk File Details di halaman detail, temukan file yang ingin Anda kelola lalu klik Details di kolom Actions.
Nilai dampak terhadap bisnis.
Tinjau informasi seperti File Path, Associated Process, dan First Discovered Time. Gunakan metode berikut untuk melakukan penilaian komprehensif:
Konfirmasi kepemilikan file: Hubungi developer atau engineer O&M Anda untuk mengonfirmasi apakah file tersebut merupakan file bisnis normal, file uji, atau file yang tidak diperlukan dan sudah diketahui.
Lacak sumber file: Periksa lingkungan direktori. Misalnya, jika file berada di direktori aplikasi open-source seperti WordPress, periksa apakah aplikasi tersebut memiliki kerentanan yang diketahui dan apakah file tersebut merupakan pintu belakang yang dibuat oleh eksploitasi.
Tinjau rekomendasi resmi: Pada halaman detail, di bagian Incident Description, lihat analisis dan panduan penanganan yang disediakan sistem.
Lakukan operasi penanganan
Anda dapat menangani file berbahaya yang terdeteksi di Konsol Security Center atau menangani file tersebut secara manual berdasarkan saran di halaman detail. Bagian berikut menjelaskan cara menangani file berbahaya di konsol.
Langkah-langkah penanganan
Buka halaman penanganan.
Pada tab At-risk File Overview, atur filter ke Unhandled. Lalu, temukan file yang ingin Anda kelola dan klik Handle di kolom Actions.
Pada tab OSS File Check:
Atur filter Whether Risk is Detected ke At Risk. Lalu, temukan bucket yang ingin Anda kelola dan klik Details di kolom Actions.
Pada bagian At-risk File Details di halaman detail, temukan file yang ingin Anda kelola lalu klik Handle di kolom Actions.
Menangani file ancaman
Konfigurasikan Handling Method.
Pada kotak dialog Malicious Script Handling, pilih metode penanganan berdasarkan penilaian risiko Anda dan konfigurasikan aturan terkait. Untuk informasi selengkapnya, lihat Detailed handling methods.
Konfigurasikan pemrosesan batch (Opsional).
Untuk menangani beberapa peringatan serupa sekaligus, pilih Handle similar alerts simultaneously.
Pada tab Same File Content atau Same Alert Type, klik Show untuk melihat detail peringatan serupa.
Berdasarkan skenario bisnis Anda dan informasi peringatan serupa, tentukan peringatan mana yang akan ditangani sekaligus.
Berdasarkan konten file yang sama: semua peringatan untuk file yang memiliki hash SHA256 yang sama.
Berdasarkan jenis peringatan yang sama: semua peringatan untuk jenis risiko yang sama, seperti "Webshell", yang dideteksi oleh Mesin DPI yang sama.
Metode penanganan detail
Add to Whitelist
Buat aturan daftar putih.
Pada tab Add to Whitelist, klik Create Rule untuk menambahkan aturan.
Konfigurasikan detail aturan.
PentingJika Anda menetapkan beberapa aturan, aturan-aturan tersebut digabungkan dengan operator OR. File ditambahkan ke daftar putih jika sesuai dengan salah satu aturan tersebut.
Setiap aturan memiliki empat bidang konfigurasi dari kiri ke kanan. Daftar berikut menjelaskan bidang-bidang tersebut:
File Information Field: Anda dapat mencocokkan file berdasarkan nama file, MD5 file, SHA256, atau nama bucket tempat file tersebut berada.
Condition Type: Anda dapat menggunakan operasi seperti regular expression match, equals, dan contains. Daftar berikut memberikan contoh konfigurasi:
Contoh ekspresi reguler: Untuk mencocokkan semua file sementara yang berakhiran
.tmp, Anda dapat mengatur bidang informasi file ke File Name, jenis kondisi ke Regular Expression Match, dan nilai kondisi ke.*\.tmp$.Pencocokan nama file: Untuk mencocokkan semua file sementara yang namanya mengandung
post, atur bidang informasi file ke File Name, jenis kondisi ke Contains, dan nilai kondisi kepost.
Condition Value: Anda dapat menggunakan konstanta dan ekspresi reguler.
Detail penanganan:
Status file saat ini diubah menjadi Added to Whitelist.
Operasi ini membuat aturan daftar putih. Anda dapat melihat dan mengelola aturan tersebut di halaman Policy Configuration di konsol. Untuk informasi selengkapnya, lihat Manage whitelists.
Ketika file berbahaya yang sesuai dengan aturan daftar putih terdeteksi kembali, statusnya secara otomatis diatur menjadi Added to Whitelist, dan tidak ada notifikasi robot DingTalk yang dikirim.
Rekomendasi keamanan
Gunakan pencocokan eksak: Untuk mencegah file berbahaya nyata salah dimasukkan ke daftar putih, gunakan File MD5 atau SHA256 untuk pencocokan.
Gunakan pencocokan path lengkap: Untuk mencocokkan berdasarkan nama file, gunakan kombinasi Bucket Name dan File Name Match untuk mencegah pembuatan aturan yang terlalu luas.
Denied Access
Metode ini hanya tersedia untuk file OSS.
Detail penanganan:
Status file saat ini diubah menjadi Denied Access. File yang memiliki konten yang sama tidak akan dipindai di masa mendatang.
Tag
mfd_forbiddendan kebijakan bucket berikut ditambahkan ke file untuk memblokir akses dan operasi.CatatanAnda dapat melihat tag dan kebijakan tersebut di konsol OSS. Untuk informasi selengkapnya, lihat Restore a file with blocked access, Object tagging, dan Bucket Policy.
Jika Anda telah menghapus file tersebut di konsol OSS, tag dan kebijakan tidak akan ditambahkan.
{ "Effect": "Deny", "Action": [ "oss:GetObject" ], "Principal": [ "*" ], "Resource": [ "acs:oss:*:*:${BucketName}/*" ], "Condition": { "StringEquals": { "oss:ExistingObjectTag/mfd_forbidden": [ "true" ] } } }
Rekomendasi keamanan:
Operasi ini dapat mengganggu fungsi bisnis yang bergantung pada file tersebut. Sebelum melakukan operasi ini, pastikan tidak ada fungsi bisnis normal yang mengandalkan file tersebut.
Ignore
Detail penanganan:
Operasi ini hanya menandai peringatan saat ini sebagai "Ignored". Ini adalah operasi manajemen status peringatan dan tidak menyelesaikan masalah keamanan mendasar yang memicu peringatan tersebut.
Rekomendasi keamanan:
Gunakan opsi ini hanya setelah Anda memastikan bahwa peringatan tersebut merupakan positif palsu atau risiko yang dapat diterima. Hal ini membantu mencegah serangan nyata terlewatkan.
Tinjau secara berkala daftar peringatan yang diabaikan, misalnya mingguan atau bulanan.
Untuk berhenti menerima jenis peringatan ini, gunakan fitur Add to whitelist.
Manually Handled
Detail penanganan: Operasi ini memperbarui status file yang terdeteksi menjadi Manually Handled. Operasi ini tidak memverifikasi status keamanan aktual file tersebut.
Rekomendasi keamanan: Pilih opsi ini setelah Anda menangani file tersebut melalui cara lain, seperti masuk ke server untuk menghapus file secara manual.
Kelola hasil penanganan
Ubah metode penanganan
Masuk ke Security Center console - Threat Management - Malicious File Detection SDK. Di pojok kiri atas halaman, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Buka kotak dialog Change Status.
Temukan file yang ingin Anda kelola.
Pada tab At-risk File Overview, atur filter ke status yang telah ditangani, seperti Added to Whitelist, lalu temukan file yang ingin Anda kelola.
Pada tab OSS File Check:
Atur filter Whether Risk is Detected ke At Risk. Lalu, temukan bucket yang ingin Anda kelola dan klik Details di kolom Actions.
Pada bagian At-risk File Details di halaman detail, atur filter ke status yang telah ditangani, seperti Added to Whitelist, lalu temukan file yang ingin Anda kelola.
Lakukan operasi
Klik Change Status di kolom Actions dari file yang ingin Anda kelola.
Ubah metode penanganan
Pada kotak dialog Change Status, pilih metode penanganan baru dan konfigurasikan aturan terkait. Untuk informasi selengkapnya, lihat Handle the malicious file.
PentingAnda dapat mengatur ulang status menjadi Unhandled.
Membatalkan daftar putih atau pengabaian
Metode 1: Atur ulang status
Ikuti petunjuk di Change the handling method untuk mengubah metode penanganan menjadi Unhandled.
Metode 2: Gunakan operasi Remove from Whitelist dan Cancel Ignore
Temukan file yang ingin Anda kelola.
Pada tab At-risk File Overview, atur filter ke Added to Whitelist atau Ignored, lalu temukan file yang ingin Anda kelola.
Pada tab OSS File Check:
Atur filter Whether Risk is Detected ke At Risk. Lalu, temukan bucket yang ingin Anda kelola dan klik Details di kolom Actions.
Pada bagian At-risk File Details di halaman detail, atur filter status file ke Added to Whitelist atau Ignored, lalu temukan file yang ingin Anda kelola.
Lakukan operasi pembatalan
Pilih kotak centang file yang ingin Anda kelola, lalu klik Remove from Whitelist atau Cancel Ignore di pojok kiri bawah daftar.
Pulihkan file dengan akses yang diblokir
Metode 1: Atur ulang status
Ikuti petunjuk di Change the handling method untuk mengubah metode penanganan menjadi Unhandled.
Metode 2: Tangani secara manual di konsol OSS
Masuk ke OSS console. Lalu, klik nama bucket target.
Hapus tag
Di panel navigasi sebelah kiri, pilih File List. Di kolom Actions file target, klik
> Tags.Di halaman Tags, hapus tag
mfd_forbiddenyang sesuai.
Hapus kebijakan otorisasi (Gunakan dengan hati-hati)
PeringatanOperasi ini memengaruhi semua file yang memiliki tag
mfd_forbidden. Jangan lakukan operasi ini kecuali benar-benar diperlukan.Di panel navigasi sebelah kiri, pilih .
Di halaman Bucket Policy, pada tab Add Policy By Syntax, hapus sintaks terkait mfd_forbidden.
Kelola daftar putih
Tambahkan atau modifikasi aturan
Di pojok kanan atas halaman Policy Management, klik tab Whitelists. Lalu, klik Add Rule atau klik Edit di kolom Actions aturan target.
Ikuti petunjuk di Configure rule details untuk menyelesaikan konfigurasi, lalu klik OK.
Hapus aturan
Di pojok kanan atas halaman Policy Management, klik tab Whitelists. Lalu, temukan aturan yang ingin Anda hapus dan klik Delete di kolom Actions.
PentingSetelah Anda menghapus aturan daftar putih, status file yang sudah berada di daftar putih tidak berubah. Namun, file yang sesuai dengan aturan tersebut tidak akan lagi secara otomatis ditambahkan ke daftar putih.