攻擊警示處置

查看並處理攻擊警示

下文以處理惡意檔案上傳警示為例，介紹查看和處理攻擊警示的具體操作。

1. 登入Security Center控制台。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。

2. 在左側導覽列，選擇防護配置 > 應用防護。

3. 在攻击告警頁簽，單擊目標警示操作列的詳情。

4. 在警示詳情頁面，查看警示資訊。

   您需要重點關注詳細資料中的以下欄位，並結合警示分析使用AI大模型提供的警示解析和判斷依據等內容，判斷該警示是否為正常警示。

   

   資訊類型	欄位名	說明	處理方法

   資訊類型	欄位名	說明	處理方法
   基礎警示	攻擊者IP	訪問應用的來源IP。	確定該IP是否為訪問業務的正常IP。
   	漏洞名稱	該訪問行為利用的漏洞名稱。僅利用漏洞進行的攻擊會存在漏洞名稱。	建議您及時處理應用漏洞，縮小伺服器的可被利用的攻擊面。單擊漏洞編號可查看漏洞的詳細資料。
   進階警示	惡意特徵	攻擊者發送到應用程式中的惡意資料。	查看進階警示資訊，判斷該警示是否為業務正常調用行為。 在此樣本中判斷在/usr/local/tomcat/webapps/upload/addservlet.jsp路徑上傳的可執行檔addservlet.jsp是否為業務的正常行為。 如果是正常行為，可以將惡意特徵資訊加入白名單；加入白名單後，應用防護將不會對此類正常行為產生警示。 如果是非正常行為，則可能是攻擊試探或者真實攻擊。 如果該警示的處理方式是監控，則該惡意檔案已經可能被執行了，您需要儘快手動刪除該檔案； 如果處理方式是阻斷，則應用防護功能已阻斷此次攻擊，該檔案未成功儲存在您的伺服器中。
   	觸發函數	應用行為觸發警示的關鍵埋點函數。RASP在監控到此類函數調用時，會進行檢查和處理，以判斷是否存在安全風險。
   	傳入參數	應用在處理使用者請求時產生的行為和事件記錄。傳入參數是包含一個索引值對的JSON對象。
   	呼叫堆疊	事件發生時的應用程式呼叫堆疊，記錄了函數調用的序列。
   更多資訊	請求URL	訪問應用的請求資訊。	查看該事件訪問應用的請求資訊，確定訪問入口是否為合法來源。如果不合法，阻止或限制對該入口的訪問。

將警示加入白名單

如果確認攻擊警示為正常的業務訪問，您可以將該警示加入白名單，以免後續再產生類似警示。支援根據惡意特徵、傳入參數和請求URL進行加白，加白前請擷取警示詳情中的惡意特徵、傳入參數和請求URL資料。

下文為您介紹基於單個警示進行加白的操作流程。如果需要同時對多個應用分組進行加白，您可以單擊警示列表上方的白名單列表，通過配置防護白名單入口進行操作。

1. 登入Security Center控制台。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。

2. 在左側導覽列，選擇防護配置 > 應用防護。

3. 在攻击告警頁簽，單擊目標警示操作列的處理 > 加白名單。

4. 在添加到白名單面板，配置白名單的規則，並單擊確定。

   • 配置說明如下：

     您可以在惡意特徵、傳入參數和請求URL中任選一種加白模式進行加白。應用防護功能預設會擷取警示詳情頁的資料，填充對應加白模式下的加白欄位。預設填充的欄位可以對觸發當前警示的行為進行精準加白。

     您可以通過調整匹配方式和匹配內容等欄位來擴大加白的範圍。

     例如，惡意檔案上傳警示的惡意特徵為/usr/local/tomcat/webapps/upload/1.jsp。如果您確認訪問惡意特徵路徑下的行為均為正常業務行為，您可以進行如下設定：

     • 匹配方式修改為：首碼匹配

     • 匹配內容修改為：/usr/local/tomcat/webapps/upload/

   • 白名單支援的匹配方式說明如下：

     • 完全符合：傳輸內容與匹配內容中的字串完全一致時，不會觸發警示。

     • 部分匹配：當傳輸內容包含匹配內容中的字串時，不會觸發警示。

     • 前缀匹配：傳輸內容以匹配內容設定的字串開始時，不會觸發警示。

     • 后缀匹配：傳輸內容以匹配內容設定的字串結束時，不會觸發警示。

   說明

   配置白名單規則後，您可以在白名單列表頁面查看並管理對應的白名單規則。具體操作，請參見管理白名單規則。

管理白名單規則

查看白名單規則列表

1. 登入Security Center控制台。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。

2. 在左側導覽列，選擇防護配置 > 應用防護。

3. 在攻击告警頁簽，單擊白名單列表。

4. 在白名單列表頁面，查看白名單規則列表。

   支援通過以下操作管理白名單：

   • 開啟或關閉：開啟或關閉目標白名單規則的規則開關列的開關，可以開啟或關閉白名單規則。

   • 編輯或刪除：單擊目標白名單規則行動列的修改或刪除，可修改或刪除白名單規則。

   • 新增白名單規則：單擊配置防護白名單，可新增白名單規則。具體操作，請參見新增白名單規則。

新增白名單規則

新增白名單規則可以為多個應用分組中的多個檢測類型設定白名單。

1. 登入Security Center控制台。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。

2. 在左側導覽列，選擇防護配置 > 應用防護。

3. 在攻击告警頁簽，單擊白名單列表。

4. 在白名單列表頁面，單擊配置防護白名單。

5. 在配置防護白名單面板，配置白名單的規則，並單擊確定。

   配置項	說明

   配置項	說明
   規則名稱	輸入規則的名稱。
   加白模式	選擇加白模式，可選項： 惡意特徵 傳入參數 請求URL
   檢測類型	選擇白名單生效的檢測類型。單擊選擇，可前往檢測類型面板選擇白名單規則生效的檢測類型。
   匹配方式	選擇白名單規則的匹配方式，可選項： 完全符合：傳輸內容與匹配內容中的字串完全一致時，不會觸發警示。 部分匹配：當傳輸內容包含匹配內容中的字串時，不會觸發警示。 前缀匹配：傳輸內容以匹配內容設定的字串開始時，不會觸發警示。 后缀匹配：傳輸內容以匹配內容設定的字串結束時，不會觸發警示。
   匹配內容	根據選擇的加白模式設定匹配內容。可參考警示詳情頁惡意特徵、傳入參數或請求URL的值，設定匹配內容。
   生效應用分組	選擇白名單生效的應用分組。單擊選擇，可前往生效應用分組面板選擇白名單規則生效的應用分組。

相關文檔

針對記憶體馬攻擊，Security Center應用防護功能提供了記憶體馬防禦能力。您可以開啟記憶體馬檢測，以擷取更全面的檢測能力。更多資訊，請參見記憶體馬防禦。