Security Center：防護策略管理

預設防護策略組

為滿足不同業務情況下的安全需求，應用防護功能對攻擊檢測規則的能力進行分級，提供了內建的防護策略組：業務優先組（預設寬鬆規則群組）、正常營運組（預設標準規則群組）和防護優先組（預設嚴格規則群組）。

每個預設防護策略組內的規則檢測模式均相同，例如預設業務優先組（預設寬鬆規則群組）內所有攻擊規則的檢測模式均為寬鬆；您可以根據實際需要使用對應規則群組，或自訂規則組。

檢測模式說明

為了平衡不同業務情境下誤判率和攻擊防護強度，應用防護功能定義了多種檢測模式：寬鬆、標準和嚴格。這三種模式的防護能力從低到高逐級遞增，誤判率也是從低到高。

• 寬鬆：只覆蓋已知攻擊特徵，極少誤判。

• 標準（預設）：覆蓋常見攻擊特徵，並具有部分泛化推理能力，適用於日常營運情境。

• 嚴格：支援識別更多隱形攻擊行為，適用於重保情境，但存在一定的誤判風險。

建立防護策略組

如果內建的防護策略組無法滿足您的需求，您可以參考下述操作建立防護策略組。您也可以單擊已有防護策略組操作列的複製，快速建立防護策略組。

1. 登入Security Center控制台。

2. 在左側導覽列，選擇防護配置 > 應用防護。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。

3. 在應用配置頁簽，單擊頁面右上方管理設定。

4. 在管理設定面板防護策略管理頁簽，單擊建立防護策略組。

5. 在建立防護策略組面板，輸入防護策略組名稱，選擇應用語言，並單擊檢測類型右側的選擇配置檢測類型。

6. 在選擇檢測類型面板，選中需要的檢測類型，並設定檢測模式，選擇完成後，單擊確定。

   例如，在已有的警示中，您發現SQL注入誤判較多，您可以將SQL注入檢測項的檢測模式修改為寬鬆。

   

7. 單擊確定。

依據警示新增防護白名單

如果確認攻擊警示為正常的業務訪問，您可以將該警示加入防護白名單，以免後續再產生類似警示。將警示加入防護白名單時，可以依據警示資訊快速建立一條防護白名單規則，該規則的生效應用組為受到攻擊進程所屬的應用分組。具體操作，請參見將警示加入白名單。

查看防護白名單規則列表

1. 登入Security Center控制台。

2. 在左側導覽列，選擇防護配置 > 應用防護。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。

3. 在應用配置頁簽，單擊頁面右上方管理設定。

   您也可以在攻擊警示頁簽，單擊防護白名單，查看防護白名單規則列表。

4. 在管理設定面板防護策略管理頁簽的防護白名單子頁簽下，查看白名單規則列表。

   支援通過以下操作管理白名單：

   • 開啟或關閉：開啟或關閉目標白名單規則的規則開關列的開關，可以開啟或關閉白名單規則。

   • 編輯或刪除：單擊目標白名單規則操作列的編輯或刪除，可修改或刪除白名單規則。

建立防護白名單

新增白名單規則可以為多個應用分組中的多個檢測類型設定白名單。

1. 登入Security Center控制台。

2. 在左側導覽列，選擇防護配置 > 應用防護。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。

3. 在應用配置頁簽，單擊頁面右上方管理設定。

   您也可以在攻擊警示頁簽，單擊防護白名單。

4. 在管理設定面板防護策略管理頁簽的防護白名單子頁簽下，單擊建立防護白名單。

5. 在建立防護白名單面板，配置白名單的規則，並單擊確定。

   以下是部分參數說明，其餘參數請參考控制台說明配置。

   • 匹配方式：選擇白名單規則的匹配方式，可選項：

     • 完全符合：傳輸內容與匹配內容完全一致時不警示。

     • 部分匹配：傳輸內容包含匹配內容時不警示。

     • 首碼匹配：傳輸內容以匹配內容開始時不警示。

     • 尾碼匹配：傳輸內容以匹配內容結束時不警示。

   • 匹配內容：根據選擇的加白模式設定匹配內容。可參考警示詳情頁惡意特徵、傳入參數或請求URL的值，設定匹配內容。