Security Center：惡意行為防禦自訂規則最佳實務

版本限制說明

僅Security Center的進階版、企業版、旗艦版支援該功能，其他版本不支援。購買和升級Security Center服務的具體操作，請參見購買Security Center和升級與降配。

操作步驟

1. 登入Security Center控制台。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。

2. 在左側導覽列，選擇防護配置 > 主機防護 > 主機規則管理。

3. 在恶意行为防御頁簽的自定义防御规则子頁簽下，單擊建立規則。

4. 在建立規則面板，根據如下誤攔截警示情境，配置加白規則，單擊下一步。

   說明

   • 配置項支援字串相等（例如'a' = 'a'）或使用*（星號）匹配任一字元串或Null 字元，建議您的規則配置格式為：*特徵字串*、*特徵字串、特徵字串*。

   • 配置項支援使用邏輯運算子|（或） 、 &（與） 、 !（非） ，例如&!*特徵字串*，但不支援|!*特徵字串*。

   • 配置項父進程路徑和父命令列支援為空白。

   • 進程hash警示加白規則配置：收到如下圖所示的MD5誤攔截警示，則加白規則配置參考下表。

     說明

     系統通過惡意檔案md5欄位判斷，攔截惡意檔案MD5。

     配置項	說明
     規則名稱	建議按照誤攔截警示規則命名，例如誤判的挖礦程式加白。
     規則類型	選擇進程hash。
     進程MD5	填寫為誤攔截警示詳情中的惡意檔案md5欄位值。例如d2f295a89555579c39a0507e96XXXXXX。
     動作	選擇加白。

   • 命令列警示加白規則配置：收到如下圖所示的進程啟動、命令列誤攔截警示，則加白規則配置參考下表。

     說明

     系統通過執行命令的進程、執行命令欄位判斷，攔截進程啟動、命令列。

     配置項	說明
     規則名稱	建議按照誤攔截警示規則命名，例如進程啟動加白規則。
     規則類型	選擇命令列。
     系統類別型	根據實際系統類別型選擇，本樣本選擇linux。
     進程路徑	填寫為誤攔截警示詳情中的執行命令的進程欄位的路徑。例如*/pkill。
     命令列	填寫為誤攔截警示詳情中的執行命令欄位中的特徵字元。例如*AliYunDun*。
     動作	選擇加白。

   • 進程網路警示加白規則配置：收到如下圖所示的進程網路誤攔截警示，則加白規則配置參考下表。

     說明

     系統通過IP、連接埠、網路通訊的進程路徑欄位判斷，攔截進程網路。

     配置項	說明
     規則名稱	建議按誤攔截警示規則命名，例如進程網路加白規則。
     規則類型	選擇進程網路。
     系統類別型	根據實際系統類別型選擇，本樣本選擇windows。
     進程路徑	填寫誤攔截警示詳情中的網路通訊的進程路徑欄位路徑。例如*/powershell.exe。
     命令列	填寫誤攔截警示詳情中的網路通訊的進程命令欄位中的特徵字元。例如*dAByAhADQAKAHsADQAkACXXXXXX*。
     IP	填寫誤攔截警示詳情中IP欄位值。例如45.117.XX.XX。
     連接埠	填寫誤攔截警示詳情中連接埠欄位值。例如14XX。
     動作	選擇加白。

   • 檔案讀寫警示加白規則配置：收到如下圖所示的檔案讀寫誤攔截警示，則加白規則配置參考下表。

     說明

     系統通過讀寫的目標檔案欄位判斷，攔截檔案。

     配置項	說明
     規則名稱	建議按誤攔截警示規則命名，例如檔案讀寫加白規則。
     規則類型	選擇檔案讀寫。
     系統類別型	根據實際系統類別型選擇，本樣本選擇linux。
     進程路徑	填寫誤攔截警示詳情中執行命令的進程欄位路徑。例如*/java。
     命令列	填寫誤攔截警示詳情中執行命令欄位的特徵字元。例如*weaver*。
     檔案路徑	填寫誤攔截警示詳情中讀寫的目標檔案欄位路徑。例如*/console_login.jsp。
     動作	選擇加白。

   • 註冊表防護警示加白規則配置。

     • 情境一：收到如下圖所示的註冊表誤攔截警示，則加白規則配置參考下表。

       說明

       系統通過註冊表路徑、註冊表值欄位判斷，攔截的註冊表。

       配置項	說明
       規則名稱	建議按誤攔截警示規則命名，例如註冊表防護加白規則。
       規則類型	選擇操作註冊表。
       系統類別型	預設為windows，不支援修改。
       進程路徑	填寫誤攔截警示詳情中執行命令的進程欄位路徑。例如*/iexplore.exe。
       命令列	填寫誤攔截警示詳情中執行命令欄位的特徵字元。例如*iexplore.exe*。
       註冊表鍵	填寫誤攔截警示詳情中註冊表路徑欄位中的特徵字元。例如*currentversion*。
       註冊表值	填寫誤攔截警示詳情中註冊表值欄位中的特徵字元。例如*svch0st.exe*。
       動作	選擇加白。

     • 情境二：收到如下圖所示的註冊表誤攔截警示，則加白規則配置參考下表。

       說明

       系統通過被劫持的進程路徑、惡意的so檔案路徑欄位判斷，攔截註冊表。

       配置項	說明
       規則名稱	建議按誤攔截警示規則命名，例如註冊表防護加白規則。
       規則類型	選擇載入動態連結程式庫。
       系統類別型	根據實際系統類別型選擇，本樣本選擇linux。
       進程路徑	填寫誤攔截警示詳情中被劫持的進程路徑欄位路徑。例如*/python*。
       命令列	填寫誤攔截警示詳情中被劫持的進程命令欄位中的特徵字元。例如*python*。
       檔案路徑	填寫誤攔截警示詳情中惡意的so檔案路徑欄位路徑。例如/usr/local/lib/kswapd0.so。
       動作	選擇加白。

   • 重新命名檔案警示加白規則配置：收到如下圖所示的檔案誤攔截警示，則加白規則配置參考下表。

     說明

     系統通過誘餌目錄檔案保護、讀寫的目標檔案欄位判斷，攔截檔案。

     配置項	說明
     規則名稱	建議按誤攔截警示規則命名，例如檔案重新命名加白規則。
     規則類型	選擇檔案重新命名。
     系統類別型	預設為windows，不支援修改。
     進程路徑	填寫誤攔截警示詳情中執行命令的進程欄位路徑。例如*/cdgregedit.exe。
     命令列	填寫誤攔截警示詳情中執行命令欄位中的特徵字元。例如*CDGRegedit.exe*。
     檔案路徑	填寫誤攔截警示詳情中讀寫的目標檔案欄位路徑。例如c:/programdata/hipsdata/private/*。
     新檔案路徑	填寫誤攔截警示詳情中讀寫的目標檔案欄位路徑。例如c:/programdata/hipsdata/private/*。
     動作	選擇加白。

5. 在選擇資產面板，選擇規則生效的資產，單擊完成。

   建立的自訂規則預設為開啟狀態，並且支援編輯和管理生效的伺服器。