核心檔案監控功能可以即時監控伺服器上核心檔案的訪問情況,對檔案的訪問、修改、刪除、重新命名等操作進行即時監控和警示,可監控核心檔案是否被盜取或篡改。本文介紹如何?對伺服器核心檔案訪問的監控。
使用限制
僅Security Center的企業版和旗艦版支援該功能,其他版本不支援。購買和升級Security Center服務的具體操作,請參見購買Security Center和升級與降配。
僅支援監控Security Center用戶端狀態顯示為
表徵圖(即用戶端線上)的伺服器。伺服器的作業系統和核心版本需在AliWebGuard支援的範圍內。具體支援範圍,請參見AliWebGuard支援的作業系統及核心版本。
步驟一:建立規則
規則生效邏輯
使用核心檔案監控功能,您需要通過建立規則確定需監控的伺服器檔案範圍。建議您在配置規則前,先瞭解規則的生效邏輯。具體內容如下:
Security Center監控到伺服器檔案的訪問操作同時命中已開啟的規則的下述項時,才會根據規則的設定進行警示或允許存取處置。
進程路徑
檔案路徑
檔案操作
Security Center會優先匹配處置方式為允許存取的規則。允許存取規則未命中時,再匹配處置方式為警示的規則。
配置建議及樣本
建議您為系統核心檔案和重要設定檔設定對應的監控規則。關於規則配置的規範和樣本的更多資訊,請參見核心檔案監控配置最佳實務。
在執行建立規則操作步驟前,您需要確定需監控的檔案及可訪問檔案的合法進程範圍。
對於核心業務檔案,您需要為所有進程配置警示規則,並為合法的訪問進程配置允許存取規則。在可以監控對該檔案所有訪問操作的同時,避免產生無意義的警示,實現對核心檔案訪問的全面監控。例如,您需監控的核心檔案路徑為/etc/sysctl.conf,合法進程為systemd。為實現對/etc/sysctl.conf檔案路徑的監控,您需要配置兩條規則:
規則1:處置方式為警示,進程路徑為
*(表示匹配所有進程),檔案路徑為/etc/sysctl.conf,檔案操作選擇所有操作。規則2:處置方式為允許存取,進程路徑為
/usr/lib/systemd/systemd,檔案路徑為/etc/sysctl.conf,檔案操作選擇所有操作。
需要監控多台伺服器的核心檔案時,您可以在一條警示規則中配置所有伺服器需監控的檔案路徑,並將進程路徑配置為*。然後再根據不同伺服器需允許存取的進程路徑,配置多條允許存取的規則。
如果警示規則未設定所有進程,則無法監控進程路徑外其他進程的訪問操作。進程路徑配置外的所有進程,都可以繞過Security Center的監控。
配置允許存取規則時,不建議進程路徑使用萬用字元路徑。使用萬用字元路徑容易被攻擊者利用允許存取規則直接允許存取訪問操作,達到攻擊行為繞過警示規則的目的。
操作步驟
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇。
如果Security Center版本為進階版及以下版本,您需要單擊立即購買,購買Security Center企業版或旗艦版。
在核心檔案監控頁面的监控规则頁簽,單擊建立規則。
在建立規則面板,完成規則配置,單擊確定。
配置項
描述
规则名称
輸入規則名稱。
處置方式
選擇命中規則條件時,Security Center對相關事件的處置方式。可選項:
警示:監控到對應檔案的訪問情況時,產生警示,並記錄事件詳情。
允許存取:監控到對應檔案的訪問情況時,直接允許存取,不記錄事件詳情,也不產生警示。
告警等级
僅處置方式選擇警示時,需要配置該參數。
選擇命中規則產生的警示等級。
系统类型
選擇規則監控的伺服器的作業系統類型。
規則狀態
選擇規則建立後是否開啟規則。最多支援啟用100條規則。
進程路徑
輸入您需要監控的進程路徑,配置說明如下:
配置說明
監控單個進程只需配置具體的進程路徑。例如:進程路徑配置為
/usr/bin/bash,則是監控/usr/bin/bash進程。監控某個目錄下的所有進程,使用萬用字元輸入。例如:進程路徑配置為
/etc/*,則是監控etc目錄下的所有進程。說明進程路徑配置為 /etc/ 格式只會監控進程路徑
/etc/,並非該目錄下的所有進程。
配置限制
單個進程路徑長度限制為1~128個英文字元。多個進程路徑使用換行輸入,最多支援配置20個進程路徑。
檔案路徑
輸入您需要監控的檔案路徑,配置說明如下:
配置說明
監控單個檔案只需配置具體的檔案路徑。例如:檔案路徑配置為
/etc/passwd,則是監控/etc/passwd檔案。監控某個目錄下所有檔案,使用萬用字元輸入。例如:檔案路徑配置為
/etc/*,則是監控etc目錄下的所有檔案。說明檔案路徑配置為
/etc/格式只會監控特定檔案/etc/,並非該目錄下的所有檔案。
配置限制
單個檔案路徑長度限制為1~128個英文字元。多個檔案路徑使用換行輸入,最多支援配置20個檔案路徑。
文件操作
選擇需要監控的檔案操作。
說明Windows系統不支援選擇許可權變更。
規則應用範圍
選擇規則應用的伺服器範圍。
建立規則後,如需編輯、刪除、開啟或關閉規則,請在規則操作列或狀態列下的相關入口操作。首次為伺服器開啟規則時,最長5分鐘生效。修改的規則最長1分鐘生效,修改的規則生效後不會影響已產生的警示和記錄的事件。
步驟二:查看並處理警示
在核心檔案監控頁面的警示事件頁簽,您可以查看Security Center監控到的檔案訪問警示。
單擊目標警示操作列的詳情,可以查看檔案訪問的詳細資料。
說明Python指令碼訪問檔案時,Security Center無法擷取命令列資訊。
Shell內建命令訪問檔案時,Security Center無法擷取準確的命令列資訊。例如訪問命令為
echo "new content" >> /etc/nginx/nginx.conf時,由於該命令是通過Shell的內建命令給nginx.conf檔案追加內容,採集並在詳情頁展示的命令列就是["-bash"]。Security Center採集經過Shell解析後的命令列,並在警示詳情頁以JSON數組的形式展示,可能和使用者輸入的原始命令不同。
樣本1:使用者命令
mkdir "1 2"和mkdir 1\ 2是等效的命令,即建立一個名為“1 2”的目錄,經過Shell解析得到mkdir和1 2,在詳情頁展示為["mkdir", "1 2"]。樣本2:使用者命令
rm -rf *,Shell解析會展開*為目前的目錄下所有檔案和子目錄,那麼Security Center採集並展示的命令列就是rm和-rf加上目前的目錄下所有檔案和子目錄列表。
建議您根據檔案訪問的詳細資料,確認該檔案的訪問是否為例外狀況事件。
根據確認例外狀況事件的結果,可以採取以下方案。
確認該事件為例外狀況事件,建議您在確認對業務無影響的情況下,手動阻斷相關進程並隔離對應檔案。
確認該事件為檔案正常訪問時,可以選擇採取加白名單的方式處理警示。
如果評估該事件對檔案沒有影響,且無需加白處理,可以選擇忽略該警示。
在完成警示的判斷和處理後,單擊目標警示操作列的處理,選擇對應的處理方式,並單擊確定。
加白名單:設定白名單規則後,Security Center會通過自動產生一條處理方式為允許存取的規則實現允許存取該警示檢測出的行為。您需要在配置加白規則的名稱、進程路徑、檔案路徑、檔案操作和應用資產範圍後,單擊確定。
忽略:忽略本次警示後,該警示將變為已處理狀態。當相同警示再次發生時,Security Center將再次上報新的警示。
我已手工處理:在您確認已處理例外狀況事件後,選擇該選項。
核心檔案監控功能僅支援DingTalk機器人通知,配置DingTalk機器人通知後,您可以通過DingTalk群即時接收Security Center識別的警示資訊。
常見問題
網頁防篡改和核心檔案監控功能有哪些區別?
網頁防篡改是Security Center另一款檔案防護功能,和核心檔案監控功能的區別如下:
專案 | 網頁防篡改 | 核心檔案監控 |
應用情境 | 適用於網站等容易受到駭客攻擊,對檔案被篡改敏感的情境。 |
|
防護範圍 | 大部分Linux和Windows伺服器。 | 大部分Linux和Windows伺服器。 |
計費資訊 | Security Center增值服務,需購買。 | Security Center企業版和旗艦版使用者可使用。 |
能力說明 | 支援識別檔案的異常變動,並對導致異常變動的進程進行攔截或警示。 | 支援監控檔案的異常訪問(包括讀取、修改、刪除等操作),並提供警示。 |
同時開啟網頁防篡改和核心檔案監控時,優先匹配哪個規則?
當伺服器同時開啟網頁防篡改和核心檔案監控規則時,網頁防篡改的規則優先生效。如果網頁防篡改的規則未生效,則會繼續匹配核心檔案監控的規則。網頁防篡改的進程白名單規則僅對網頁防篡改功能生效;核心檔案監控的允許存取規則僅對核心檔案監控功能生效。