全部产品
Search
文档中心

云安全中心:恶意行为防御自定义规则最佳实践

更新时间:Jan 16, 2024

云安全中心提供对主机的恶意行为防御功能,您可以根据业务需要自定义防御规则。本文介绍在不同误拦截告警场景下,如何自定义配置加白规则。

版本限制说明

仅云安全中心的高级版、企业版、旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

操作步骤

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择防护配置 > 主机防护 > 主机规则管理

  3. 恶意行为防御页签的自定义防御规则子页签下,单击新建规则

  4. 新建规则面板,根据如下误拦截告警场景,配置加白规则,单击下一步

    说明
    • 配置项支持字符串相等(例如'a' = 'a')或使用*(星号)匹配任意字符串或空字符,建议您的规则配置格式为:*特征字符串**特征字符串特征字符串*

    • 配置项支持使用逻辑运算符|(或) 、 &(与) 、 !(非) ,例如&!*特征字符串*,但不支持|!*特征字符串*

    • 配置项父进程路径父命令行支持为空。

    • 进程hash告警加白规则配置:收到如下图所示的MD5误拦截告警,则加白规则配置参考下表。告警详情MD5

      说明

      系统通过恶意文件md5字段判断,拦截恶意文件MD5。

      配置项

      说明

      规则名称

      建议按照误拦截告警规则命名,例如误报的挖矿程序加白。

      规则类型

      选择进程hash

      进程MD5

      填写为误拦截告警详情中的恶意文件md5字段值。例如d2f295a89555579c39a0507e96XXXXXX。

      动作

      选择加白

    • 命令行告警加白规则配置:收到如下图所示的进程启动、命令行误拦截告警,则加白规则配置参考下表。进程启动命令行

      说明

      系统通过执行命令的进程执行命令字段判断,拦截进程启动、命令行。

      配置项

      说明

      规则名称

      建议按照误拦截告警规则命名,例如进程启动加白规则。

      规则类型

      选择命令行

      系统类型

      根据实际系统类型选择,本示例选择linux

      进程路径

      填写为误拦截告警详情中的执行命令的进程字段的路径。例如*/pkill

      命令行

      填写为误拦截告警详情中的执行命令字段中的特征字符。例如*AliYunDun*

      动作

      选择加白

    • 进程网络告警加白规则配置:收到如下图所示的进程网络误拦截告警,则加白规则配置参考下表。进程网络

      说明

      系统通过IP端口网络通信的进程路径字段判断,拦截进程网络。

      配置项

      说明

      规则名称

      建议按误拦截告警规则命名,例如进程网络加白规则。

      规则类型

      选择进程网络

      系统类型

      根据实际系统类型选择,本示例选择windows

      进程路径

      填写误拦截告警详情中的网络通信的进程路径字段路径。例如*/powershell.exe

      命令行

      填写误拦截告警详情中的网络通信的进程命令字段中的特征字符。例如*dAByAhADQAKAHsADQAkACXXXXXX*

      IP

      填写误拦截告警详情中IP字段值。例如45.117.XX.XX。

      端口

      填写误拦截告警详情中端口字段值。例如14XX。

      动作

      选择加白

    • 文件读写告警加白规则配置:收到如下图所示的文件读写误拦截告警,则加白规则配置参考下表。文件读写

      说明

      系统通过读写的目标文件字段判断,拦截文件。

      配置项

      说明

      规则名称

      建议按误拦截告警规则命名,例如文件读写加白规则。

      规则类型

      选择文件读写

      系统类型

      根据实际系统类型选择,本示例选择linux

      进程路径

      填写误拦截告警详情中执行命令的进程字段路径。例如*/java

      命令行

      填写误拦截告警详情中执行命令字段的特征字符。例如*weaver*

      文件路径

      填写误拦截告警详情中读写的目标文件字段路径。例如*/console_login.jsp

      动作

      选择加白

    • 注册表防护告警加白规则配置。

      • 场景一:收到如下图所示的注册表误拦截告警,则加白规则配置参考下表。注册表防护

        说明

        系统通过注册表路径注册表值字段判断,拦截的注册表。

        配置项

        说明

        规则名称

        建议按误拦截告警规则命名,例如注册表防护加白规则。

        规则类型

        选择操作注册表

        系统类型

        默认为windows,不支持修改。

        进程路径

        填写误拦截告警详情中执行命令的进程字段路径。例如*/iexplore.exe

        命令行

        填写误拦截告警详情中执行命令字段的特征字符。例如*iexplore.exe*

        注册表键

        填写误拦截告警详情中注册表路径字段中的特征字符。例如*currentversion*

        注册表值

        填写误拦截告警详情中注册表值字段中的特征字符。例如*svch0st.exe*

        动作

        选择加白

      • 场景二:收到如下图所示的注册表误拦截告警,则加白规则配置参考下表。注册表防护

        说明

        系统通过被劫持的进程路径恶意的so文件路径字段判断,拦截注册表。

        配置项

        说明

        规则名称

        建议按误拦截告警规则命名,例如注册表防护加白规则。

        规则类型

        选择加载动态链接库

        系统类型

        根据实际系统类型选择,本示例选择linux

        进程路径

        填写误拦截告警详情中被劫持的进程路径字段路径。例如*/python*

        命令行

        填写误拦截告警详情中被劫持的进程命令字段中的特征字符。例如*python*

        文件路径

        填写误拦截告警详情中恶意的so文件路径字段路径。例如/usr/local/lib/kswapd0.so

        动作

        选择加白

    • 重命名文件告警加白规则配置:收到如下图所示的文件误拦截告警,则加白规则配置参考下表。重命名文件

      说明

      系统通过诱饵目录文件保护读写的目标文件字段判断,拦截文件。

      配置项

      说明

      规则名称

      建议按误拦截告警规则命名,例如文件重命名加白规则。

      规则类型

      选择文件重命名

      系统类型

      默认为windows,不支持修改。

      进程路径

      填写误拦截告警详情中执行命令的进程字段路径。例如*/cdgregedit.exe

      命令行

      填写误拦截告警详情中执行命令字段中的特征字符。例如*CDGRegedit.exe*

      文件路径

      填写误拦截告警详情中读写的目标文件字段路径。例如c:/programdata/hipsdata/private/*

      新文件路径

      填写误拦截告警详情中读写的目标文件字段路径。例如c:/programdata/hipsdata/private/*

      动作

      选择加白

  5. 选择资产面板,选择规则生效的资产,单击完成

    新建的自定义规则默认为开启状态,并且支持编辑和管理生效的服务器。