核心文件监控功能可以实时监控服务器上核心文件的访问情况,对文件的访问、修改、删除、重命名等操作进行实时监控和告警,可监控核心文件是否被盗取或篡改。本文介绍如何实现对服务器核心文件访问的监控。
使用限制
仅云安全中心的企业版和旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心和升级与降配。
仅支持监控云安全中心客户端状态显示为
图标(即客户端在线)的服务器。服务器的操作系统和内核版本需在AliWebGuard支持的范围内。具体支持范围,请参见AliWebGuard支持的操作系统及内核版本。
步骤一:新建规则
规则生效逻辑
使用核心文件监控功能,您需要通过新建规则确定需监控的服务器文件范围。建议您在配置规则前,先了解规则的生效逻辑。具体内容如下:
云安全中心监控到服务器文件的访问操作同时命中已开启的规则的下述项时,才会根据规则的设置进行告警或放行处置。
进程路径
文件路径
文件操作
云安全中心会优先匹配处置方式为放行的规则。放行规则未命中时,再匹配处置方式为告警的规则。
配置建议及示例
建议您为系统核心文件和重要配置文件设置对应的监控规则。关于规则配置的规范和示例的更多信息,请参见核心文件监控配置最佳实践。
在执行新建规则操作步骤前,您需要确定需监控的文件及可访问文件的合法进程范围。
对于核心业务文件,您需要为所有进程配置告警规则,并为合法的访问进程配置放行规则。在可以监控对该文件所有访问操作的同时,避免产生无意义的告警,实现对核心文件访问的全面监控。例如,您需监控的核心文件路径为/etc/sysctl.conf,合法进程为systemd。为实现对/etc/sysctl.conf文件路径的监控,您需要配置两条规则:
规则1:处置方式为告警,进程路径为
*(表示匹配所有进程),文件路径为/etc/sysctl.conf,文件操作选择所有操作。规则2:处置方式为放行,进程路径为
/usr/lib/systemd/systemd,文件路径为/etc/sysctl.conf,文件操作选择所有操作。
需要监控多台服务器的核心文件时,您可以在一条告警规则中配置所有服务器需监控的文件路径,并将进程路径配置为*。然后再根据不同服务器需放行的进程路径,配置多条放行的规则。
如果告警规则未设置所有进程,则无法监控进程路径外其他进程的访问操作。进程路径配置外的所有进程,都可以绕过云安全中心的监控。
配置放行规则时,不建议进程路径使用通配符路径。使用通配符路径容易被攻击者利用放行规则直接放行访问操作,达到攻击行为绕过告警规则的目的。
操作步骤
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
如果云安全中心版本为高级版及以下版本,您需要单击立即购买,购买云安全中心企业版或旗舰版。
在核心文件监控页面的监控规则页签,单击新建规则。
在新建规则面板,完成规则配置,单击确定。
配置项
描述
规则名称
输入规则名称。
处置方式
选择命中规则条件时,云安全中心对相关事件的处置方式。可选项:
告警:监控到对应文件的访问情况时,产生告警,并记录事件详情。
放行:监控到对应文件的访问情况时,直接放行,不记录事件详情,也不产生告警。
告警等级
仅处置方式选择告警时,需要配置该参数。
选择命中规则产生的告警等级。
系统类型
选择规则监控的服务器的操作系统类型。
规则状态
选择规则创建后是否开启规则。最多支持启用100条规则。
进程路径
输入需监控的进程路径。进程路径配置说明如下:
支持通配符输入,例如监控进程路径/usr/conf,则可以配置*/conf。也可以使用*表示监控服务器上的所有进程。
单个进程路径长度限制为1~128个英文字符。
多个路径使用换行输入。每条规则最多支持配置20个进程路径。
文件路径
输入需监控的文件路径。文件路径配置说明如下:
支持通配符输入,例如需监控/etc/nginx/nginx.conf路径,则可以配置/etc/nginx/*。也可以使用/*表示监控所有文件路径。
单个文件路径长度限制为1~128个英文字符。
多个路径使用换行输入。每条规则最多支持配置20个文件路径。
文件操作
选择需要监控的文件操作。
说明Windows系统不支持选择权限变更。
规则应用范围
选择规则应用的服务器范围。
创建规则后,如需编辑、删除、开启或关闭规则,请在规则操作列或状态列下的相关入口操作。首次为服务器开启规则时,最长5分钟生效。修改的规则最长1分钟生效,修改的规则生效后不会影响已产生的告警和记录的事件。
步骤二:查看并处理告警
在核心文件监控页面的告警事件页签,您可以查看云安全中心监控到的文件访问告警。
单击目标告警操作列的详情,可以查看文件访问的详细信息。
说明Python脚本访问文件时,云安全中心无法获取命令行信息。
Shell内置命令访问文件时,云安全中心无法获取准确的命令行信息。例如访问命令为
echo "new content" >> /etc/nginx/nginx.conf时,由于该命令是通过Shell的内置命令给nginx.conf文件追加内容,采集并在详情页展示的命令行就是["-bash"]。云安全中心采集经过Shell解析后的命令行,并在告警详情页以JSON数组的形式展示,可能和用户输入的原始命令不同。
示例1:用户命令
mkdir "1 2"和mkdir 1\ 2是等效的命令,即创建一个名为“1 2”的目录,经过Shell解析得到mkdir和1 2,在详情页展示为["mkdir", "1 2"]。示例2:用户命令
rm -rf *,Shell解析会展开*为当前目录下所有文件和子目录,那么云安全中心采集并展示的命令行就是rm和-rf加上当前目录下所有文件和子目录列表。
建议您根据文件访问的详细信息,确认该文件的访问是否为异常事件。
根据确认异常事件的结果,可以采取以下方案。
确认该事件为异常事件,建议您在确认对业务无影响的情况下,手动阻断相关进程并隔离对应文件。
确认该事件为文件正常访问时,可以选择采取加白名单的方式处理告警。
如果评估该事件为对文件没有影响,且无需加白处理,可以选择忽略该告警。
在完成告警的判断和处理后,单击目标告警操作列的处理,选择对应的处理方式,并单击确定。
加白名单:设置白名单规则后,云安全中心会通过自动生成一条处理方式为放行的规则实现放行该告警检测出的行为。您需要在配置加白规则的名称、进程路径、文件路径、文件操作和应用资产范围后,单击确定。
忽略:忽略本次告警后,该告警将变为已处理状态。当相同告警再次发生时,云安全中心将再次上报新的告警。
我已手工处理:在您确认已处理异常事件后,选择该选项。
常见问题
网页防篡改和核心文件监控功能有哪些区别?
网页防篡改是云安全中心另一款文件防护功能,和核心文件监控功能的区别如下:
项目 | 网页防篡改 | 核心文件监控 |
应用场景 | 适用于网站等容易受到黑客攻击,对文件被篡改敏感的场景。 |
|
防护范围 | 大部分Linux和Windows服务器。 | 大部分Linux和Windows服务器。 |
计费信息 | 云安全中心增值服务,需购买。 | 云安全中心企业版和旗舰版用户可使用。 |
能力说明 | 支持识别文件的异常变动,并对导致异常变动的进程进行拦截或告警。 | 支持监控文件的异常访问(包括读取、修改、删除等操作),并提供告警。 |
关于网页防篡改的更多信息,请参见网页防篡改。
同时开启网页防篡改和核心文件监控时,优先匹配哪个规则?
当服务器同时开启网页防篡改和核心文件监控规则时,网页防篡改的规则优先生效。如果网页防篡改的规则未生效,则会继续匹配核心文件监控的规则。网页防篡改的进程白名单规则仅对网页防篡改功能生效;核心文件监控的放行规则仅对核心文件监控功能生效。