基於阿里雲安全團隊沉澱的威脅情報資料,對網域名稱做威脅情報資料分類,支援使用者開啟不同類別的威脅網域名稱、常用網域名稱的檢測及攔截機制。功能層面與 自定义防护规则 的運行原理類似,區別在於它通過使用者選擇需要啟用的情報資料分類,替代 自定义防护规则 中的網域名稱資料。
添加规则
切換到 威胁情报防护规则 頁簽,單擊 添加规则 按鈕。
在 添加规则 彈框中完成各項配置參數後,提交表單。
配置參數
說明
威胁情报类型
威脅情報分類,例如病毒木馬、遠控、APT進階持久性威脅、漏洞利用、異常通訊、供應鏈攻擊、勒索攻擊、挖礦行為、釣魚攻擊、合規風險。預設選擇 所有类型。
威胁等级
表示該網域名稱與惡意活動的關聯程度或潛在危害的嚴重性。分為 高危、中危及以上、低危及以上 多個層級,反映該網域名稱可能涉及的攻擊類型和影響範圍。預設選擇 高危。
置信度
表示威脅情報庫對該網域名稱威脅判斷的可信程度。高信賴度意味著情報來源可靠、證據充分;低信賴度則可能因資料不足或存在爭議。分為 低及以上、 中及以上、 高,預設選擇 高。
解析请求来源
支援可以填寫IP集合,定義解析請求來源,攔截規則針對特定的請求來源生效:
0.0.0.0/0表示所有請求來源;
支援IP地址加掩碼形式,例如192.168.1.1/24;
支援單個IP地址形式,例如 192.168.2.20;
多個IP段需要分行輸入,IP位址區段允許重疊;
拦截处置动作
在識別到合格DNS流量後,需要進行攔截處置。支援的處置動作如下:
放行:即允許解析,但會產生一條處置日誌,並且記錄解析應答明細日誌。
丢弃:丟棄請求,不對此請求做應答。
应答NXDOMAIN:應答NXDOMAIN,表示對應的網域名稱不存在
应答指定地址:進行DNS解析應答並返回特定地址,支援按權重、輪詢設定返回的地址。記錄實值型別需要和攔截記錄類型一致。當攔截記錄類型為任意類型時,記錄值只能是IPv4、IPv6或網域名稱,但是網域名稱和IP地址不可共存。
应答NOERROR(NoData):應答狀態為NOERROR,但是記錄值為空白。
规则优先级
對於第一個添加的規則,無論如何指定優先順序數值,始終為1。
若指定優先順序數值被佔用,定序為:對餘下的規則重新排序,將目標規則設定為指定優先順序數值,原優先順序及之後規則優先順序+1。
若指定優先順序數值未被佔用,定序為:對餘下的規則重新排序,將目標規則優先順序設定為排序後的最大數值。例如:總規則數量為5,對目標規則設定優先權數值為7,則最後設定的優先順序數值為5。
规则启用状态
用於控制規則是否生效,預設開啟狀態。
规则生效范围
用於控制規則生效的範圍,即哪些網域名稱查詢流量可命中本規則。在內網DNS中,通常按使用者的VPC來設定生效範圍。支援跨帳號關聯VPC,具體請參考跨帳號關聯VPC。
备注
規則的備忘說明欄位,方便區分記憶不同的規則。
添加完成後,可查看規則列表。
修改規則
可通過修改規則的方式對 威胁情报类型、 威胁等级、 置信度、解析请求来源、拦截处置动作 進行調整。
頁簽切換到 威胁情报防护规则,單擊目標規則後方操作列的 修改 按鈕。
在彈框中對各項參數進行修改後,提交表單。
生效範圍設定
可指定規則在指定VPC範圍生效。
點擊 威胁情报防护规则 頁簽,單擊目標規則後方操作列的 生效范围设置 按鈕。
在 生效范围设置 彈窗中,選擇當前帳號或統管的其他阿里雲帳號下的VPC。
優先順序排序
對於第一個添加的規則,無論如何指定優先順序數值,始終為1。
若指定優先順序數值被佔用,定序為:對餘下的規則重新排序,將目標規則設定為指定優先順序數值,原優先順序及之後規則優先順序+1。
若指定優先順序數值未被佔用,定序為:對餘下的規則重新排序,將目標規則優先順序設定為排序後的最大數值。例如:總規則數量為5,對目標規則設定優先權數值為7,則最後設定的優先順序數值為5。
頁簽切換到 威胁情报防护规则,單擊目標規則操作列的 优先级排序。
彈出 优先级排序 調整彈窗,修改順序號。
停用/刪除規則
若不打算繼續使用 威胁情报防护规则,可停用/刪除規則。
點擊 威胁情报防护规则 頁簽,找到目標規則。
停用規則:不打算繼續使用規則,但是想要保留規則。
重要解析請求不會命中已經處於停用狀態的規則,但會繼續收取規則保有費用,詳見產品計費。
點擊目標規則 启用状态 欄的切換按鈕,可停用規則。
刪除規則:想徹底刪除規則。
單擊目標規則後方操作列的 删除 按鈕。
彈窗二次確認後,刪除規則。