行為管控 - Cloud Firewall

Agent 防火牆提供存取控制、異常檢測與資料泄漏檢測三類規則。本文說明在開啟 Agent 防護後，如何配置行為管控規則以保障資產安全。

建立Agent行為管控規則

說明

執行以下操作前，請先在运行环境頁面為目標資產開啟防護，否則相關規則將無法生效。

建立存取控制規則：支援配置模型限制、网络防护與Agent外联控制三類規則，在對應的規則區塊單擊创建规则開始配置。規則建立完成後，系統將自動下發相應的存取控制策略，其策略名稱稱帶有CREATE_BY_AGENT_FIREWALL標識。

Agent外联控制：基於應用程式控制功能，識別Agent外聯行為，精細化控制出站串連。

配置項	說明
防护对象	選擇已在运行环境頁面開啟防護的目標對象。
規則名稱與描述	填寫一個便於識別的名稱與描述。
告警类型	當前僅支援黑名单，表示限制Agent訪問配置的匹配域名。
匹配域名	輸入框下方列出了熱門 AI 大模型 API 服務網域名稱（Base URL）供選擇，也可以填寫自訂網域名，例如 `*.openai.com`，最多支援填寫2000個。

配置項	說明
防护对象	選擇已在运行环境頁面開啟防護的目標對象。
規則名稱與描述	填寫一個便於識別的名稱與描述。
動作	支援如下動作類型：觀察：允許存取請求，同時在安全事件的存取控制模組中記錄日誌。放行：允許存取請求，不記錄事件記錄。拒絕：攔截請求，並記錄事件記錄。
匹配条件	輸入需要保護的資產連接埠，最多支援填寫2000個連接埠，每輸入一個連接埠後請按斷行符號鍵確認。

配置項	說明
防护对象	選擇已在运行环境頁面開啟防護的目標對象。
規則名稱與描述	填寫一個便於識別的名稱與描述。
应用程序模板	選擇已建立的应用程序控制自訂模板。說明配置前提：若尚未建立模板，請先前往應用程式控制功能模組進行配置。配置建議：為有效解密 HTTPS 加密流量，建議同步開啟TLS檢查功能。

建立异常检测規則：支援配置Skill 使用异常检测與Tool 调用异常检测兩類規則，在對應的規則區塊單擊创建规则開始配置。Skill 文件威胁检测規則由系統內建並自動開啟，不支援進行配置。

Skill 文件威胁检测：對 SKILL.md 檔案進行還原，並檢測檔案自身內容是否包含威脅。

配置項	說明
防护对象	選擇已在运行环境頁面開啟防護的目標對象。
規則名稱與描述	填寫一個便於識別的名稱與描述。
告警类型	支援黑名单與白名单，同一防护对象僅允許選擇其中一種類型。黑名单：若匹配到選擇的Skill，將觸發安全事件。白名单：若匹配到未選擇的Skill，將觸發安全事件。
Skill名称	從資產關聯的Skill中進行選擇，支援選擇多個。

配置項	說明
防护对象	選擇已在运行环境頁面開啟防護的目標對象。
規則名稱與描述	填寫一個便於識別的名稱與描述。
告警类型	支援黑名单與白名单，同一防护对象僅允許選擇其中一種類型。黑名单：若匹配到選擇的Tool，將觸發安全事件。白名单：若匹配到未選擇的Tool，將觸發安全事件。
Tool名称	從資產關聯的Tool中進行選擇，支援選擇多個。

查看数据泄漏規則：資產開啟防護後，系統會自動為其開啟 AK/API Key泄露检测、个人信息泄露检测與敏感文件外传检测三類規則。可以單擊對應規則區塊內的類型數字，查看支援檢測的具體資料類型，這些規則均不支援手動設定。
- AK/API Key泄露检测：檢測Agent通訊流量中的 Access Key 和 API Key 泄露風險。
- 个人信息泄露检测：檢測Agent流量中的個人識別資訊（PII）外傳風險。
- 敏感文件外传检测：檢測Agent是否通過外聯通道傳出敏感檔案內容。

規則建立完成後，對應規則區塊的累计命中次数或最近24h命中次数位置將展示該規則的命中統計。

如需查看具體的命中資訊，請前往安全事件頁面進行查看。

對於模型限制、网络防护、Agent外联控制、Skill 使用异常检测與Tool 调用异常检测這五類規則，建立完成後，可以單擊對應規則區塊的规则数，進行以下操作：