RASP通過擷取應用運行上下文及hook函數的參數內容,結合語義分析、行為基準等技術,判斷應用行為是否存在危險。因此RASP的警示誤判率較低,大部分警示都為真實攻擊。應用防護功能提供了詳細的攻擊資訊,包括攻擊者IP、惡意特徵、傳入參數、呼叫堆疊等,建議您參考警示詳情頁的資訊及時處理警示。本文介紹處理攻擊警示的具體方法。
查看並處理攻擊警示
下文以處理惡意檔案上傳警示為例,介紹查看和處理攻擊警示的具體操作。
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在攻擊警示頁簽,單擊目標警示操作列的詳情。
在警示詳情頁面,查看警示資訊。
您需要重點關注警示資訊中的以下欄位,並結合安全AI助手提供的警示解釋、攻擊手法描述等內容,判斷該警示是否為正常警示。
資訊類型
欄位名
說明
處理方法
基礎警示
攻擊者IP
訪問應用的來源IP。
確定該IP是否為訪問業務的正常IP。
漏洞名稱
該訪問行為利用的漏洞名稱。僅利用漏洞進行的攻擊會存在漏洞名稱。
建議您及時處理應用漏洞,縮小伺服器的可被利用的攻擊面。單擊漏洞編號可查看漏洞的詳細資料。
進階警示
惡意特徵
攻擊者發送到應用程式中的惡意資料。
查看進階警示資訊,判斷該警示是否為業務正常調用行為。
在此樣本中判斷在/usr/local/tomcat/webapps/upload/addservlet.jsp路徑上傳的可執行檔addservlet.jsp是否為業務的正常行為。
如果是正常行為,可以將惡意特徵資訊加入白名單;加入白名單後,應用防護將不會對此類正常行為產生警示。
如果是非正常行為,則可能是攻擊試探或者真實攻擊。
如果該警示的處理方式是監控,則該惡意檔案已經可能被執行了,您需要儘快手動刪除該檔案;
如果處理方式是阻斷,則應用防護功能已阻斷此次攻擊,該檔案未成功儲存在您的伺服器中。
觸發函數
應用行為觸發警示的關鍵埋點函數。RASP在監控到此類函數調用時,會進行檢查和處理,以判斷是否存在安全風險。
傳入參數
應用在處理使用者請求時產生的行為和事件記錄。傳入參數是包含一個索引值對的JSON對象。
呼叫堆疊
事件發生時的應用程式呼叫堆疊,記錄了函數調用的序列。
更多資訊
請求URL
訪問應用的請求資訊。
查看該事件訪問應用的請求資訊,確定訪問入口是否為合法來源。如果不合法,阻止或限制對該入口的訪問。
將警示加入白名單
如果確認攻擊警示為正常的業務訪問,您可以將該警示加入白名單,以免後續再產生類似警示。支援根據惡意特徵、傳入參數和請求URL進行加白,加白前請擷取警示詳情中的惡意特徵、傳入參數和請求URL資料。
Java應用產生的警示,根據惡意特徵、傳入參數加白需將RASP探針升級到0.5.2及以上版本。重啟應用後探針可自動升級到最新版本。關於RASP探針版本的更多資訊,請參見接入應用防護。
下文為您介紹基於單個警示進行加白的操作流程。如果需要同時對多個應用分組進行加白,您可以單擊警示列表上方的防護白名單,通過配置防護白名單入口進行操作。
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在攻擊警示頁簽,單擊目標警示操作列的。
在建立防護白名單面板,配置防護白名單規則,並單擊確定。
配置說明如下:
您可以在惡意特徵、傳入參數和請求URL中任選一種加白模式進行加白。應用防護功能預設會擷取警示詳情頁的資料,填充對應加白模式下的加白欄位。預設填充的欄位可以對觸發當前警示的行為進行精準加白。
您可以通過調整匹配方式和匹配內容等欄位來擴大加白的範圍。
例如,惡意檔案上傳警示的惡意特徵為/usr/local/tomcat/webapps/upload/1.jsp。如果您確認訪問惡意特徵路徑下的行為均為正常業務行為,您可以進行如下設定:
匹配方式修改為:首碼匹配
匹配內容修改為:/usr/local/tomcat/webapps/upload/
支援的匹配方式說明如下:
完全符合:傳輸內容與匹配內容中的字串完全一致時,不會觸發警示。
部分匹配:當傳輸內容包含匹配內容中的字串時,不會觸發警示。
首碼匹配:傳輸內容以匹配內容設定的字串開始時,不會觸發警示。
尾碼匹配:傳輸內容以匹配內容設定的字串結束時,不會觸發警示。
說明配置防護白名單規則後,您可以在管理設定面板查看並管理對應的防護白名單規則。具體操作,請參見配置防護白名單。
相關文檔
針對記憶體馬攻擊,Security Center應用防護功能提供了記憶體馬防禦能力。您可以開啟記憶體馬檢測,以擷取更全面的檢測能力。更多資訊,請參見記憶體馬防禦。