主机规则管理功能用于云安全中心对于主机的检测、防御规则的管理,支持恶意行为防御、防暴力破解和常用登录管理功能,您可以根据业务场景使用这些功能定制威胁防护规则,完善安全体系建设。本文介绍如何使用恶意行为防御、防暴力破解和常用登录管理功能。
功能概述及支持的版本
功能名称 | 支持的版本 | 说明 | |
恶意行为防御 | 高级版、企业版、旗舰版 | 云安全中心提供了系统防御规则,可以防御常见的攻击行为,例如恶意脚本执行命令、植入恶意文件等。使用恶意行为防御功能,您可以管理云安全中心提供的系统防御规则,还可以根据业务场景自定义防御规则,构建更精细化的防御体系。 | |
防暴力破解 | 高级版、企业版、旗舰版 | 防暴力破解功能通过在一段时间内禁止登录失败超过限定次数的用户登录,可有效防止您服务器的账号被暴力破解。 | |
常用登录管理 | 常用登录地 | 所有版本 | 通过设置常用登录地、常用登录IP、常用登录时间和常用登录账号,可以指定合法的登录行为,识别可能是黑客入侵的异常登录行为。 |
常用登录IP | 高级版、企业版、旗舰版 | ||
常用登录时间 | 高级版、企业版、旗舰版 | ||
常用登录账号 | 高级版、企业版、旗舰版 |
恶意行为防御
应用场景
恶意行为防御功能支持系统防御规则和自定义防御规则。两种防御规则的应用场景如下:
自定义防御规则生效的优先级高于系统防御规则。
规则类型 | 适用场景 |
系统防御规则 |
|
自定义防御规则 | 如果您需要放行或重点拦截某些确定的行为时,您可以使用自定义防御规则功能,自定义适合自己业务场景的精细规则。更多场景化的配置示例,请参见恶意行为防御自定义规则最佳实践。 |
管理系统防御规则
云安全中心默认为高级版、企业版和旗舰版用户开启所有系统防御规则。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在恶意行为防御页签系统防御规则子页签下的规则列表中,查找并管理目标系统防御规则。
查看目标规则
在系统防御规则子页签的搜索框中,输入系统防御规则的名称,快速查找目标系统防御规则。
在系统防御规则页签的左侧的ATT&CK攻击阶段菜单中,通过告警的ATT&CK攻击阶段筛选目标系统防御规则。
管理目标规则
启用或停用规则
如果在日常业务场景当中,您发现某个系统防御规则不适合您的业务场景,并且会影响您资产的安全评分,您可以停用该系统防御规则。
重要停用某个系统防御规则后,云安全中心将不会检测并上报该规则对应的安全风险,并且安全告警处理页面的告警列表中也不会再显示与该规则相关的告警事件。请您谨慎操作。
选中(支持多选)目标规则。
单击规则列表下方的启用或停用。
管理主机
重要将资产从规则中移除后,该资产将不会再受到此系统防御规则的防护。请您谨慎操作。
选中要管理的系统防御规则,单击操作列的管理主机。
在主机管理面板,添加或删除该规则防御的资产,然后单击确定。
自定义防御规则
如果云安全中心安全告警功能对您正常的业务行为产生了误告警,您可以通过自定义防御规则加白相应的行为(例如命令行、进程Hash等),避免产生误告警。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在恶意行为防御页签自定义防御规则子页签下,单击新建规则。
在新建规则面板上,按照您的业务需求选择不同的规则类型完成相关参数配置、设置规则的动作,然后单击下一步。
您选择的不同的规则类型时,需要配置不同的参数。支持加白以下规则类型:
进程Hash
命令行
进程网络
文件读写
操作注册表
加载动态链接库
文件重命名
更多配置示例,请参见恶意行为防御自定义规则最佳实践。
说明仅支持加黑(即拦截)进程Hash类型的行为。
在新建规则面板上的服务器列表中,选择规则生效的资产,单击完成。
新建的自定义规则默认为开启状态,支持编辑和管理生效的服务器。
查看并处理安全告警事件
配置恶意行为防御规则后,云安全中心会根据已设置的规则自动拦截相应的行为并产生告警。您可以参考以下步骤查看并处理相关安全告警事件。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在安全告警处理页面,单击精准防御下方的数字。
在下方的告警事件列表中,查看云安全中心自动拦截的安全告警事件。如果有误报的事件,您可以单击该安全告警事件操作列的详情,参考以下内容处理该事件。
以下以处理可疑蠕虫脚本行为的告警事件为例,为您介绍如何处理误报的安全告警事件。
在告警详情面板上,您需要获取并记录以下信息,用于后续处理该告警事件。
记录检测并上报该告警事件的系统防御规则的名称。本案例中为恶意破坏客户端进程。
记录该告警事件的ATT&CK攻击阶段。本案例中为影响破坏。
记录受该告警事件影响的资产的名称和IP。
在左侧导航栏,选择 。
在系统防御规则列表中,查找检测上报该告警事件的系统防御规则。
您可以在恶意搜索框中输入规则名称可疑蠕虫脚本行为查找系统防御规则。
您也可以在左侧的ATT&CK攻击阶段菜单中,单击影响破坏查找系统防御规则。
在系统防御规则列表中定位到规则名称为可疑蠕虫脚本行为,管理该系统防御规则。
如果该系统防御规则不适合您的业务场景,您不想云安全中心再上报这个系统防御规则检测出的安全告警事件,您可以单击该规则开关列的图标,关闭该系统防御规则。
重要关闭某个系统防御规则后,云安全中心将不会检测并上报该规则对应的安全风险到安全告警处理页面的告警列表中,请您谨慎操作。
如果您仅想处理这一个误报的安全告警事件,您可以单击操作列的管理主机,将受该告警事件影响的资产从该系统规则防御的资产列表中移除即可。
您也可以安全告警处理页面,定位到误报的安全告警进行处理。具体操作,请参见查看和处理安全告警。
重要如果您仅想处理该系统防御规则上报的这一次安全告警事件,并且后续还需要云安全中心的系统防御规则继续防护该资产,您可以在恶意行为防御页面的系统防御规则中,将该资产添加回规则防御的资产列表中。
防暴力破解
功能原理
通过新建防暴力破解策略可以启用防暴力破解功能。创建防暴力破解策略后,如果某个IP地址在指定时间范围内登录服务器的失败次数超过限定次数将触发防暴力策略生效,该策略生效后会自动生成IP拦截规则(即系统规则子页签下的拦截IP),在一段时间内禁止该IP登录服务器。自动生成的IP拦截规则在生成时为已启用状态,生效时长为防暴力破解策略的禁止登录时长。
新建防暴力破解策略
通过新建防暴力破解策略可以定义触发暴力破解的具体规则。支持配置多条防暴力破解策略,您可以根据服务器的使用场景,为不同服务器配置不同的防暴力破解策略。
如果您需要将指定IP地址加入防暴力破解的白名单中,您可以单击常用登录IP,将指定IP地址加入常用登录IP中。防暴力破解策略不会对常用登录IP生效。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在主机规则管理页面,单击防暴力破解页签。
如果您未进行过云资源访问授权,您需要单击立即授权,授权云安全中心访问您的云资源。
关于授权的更多信息,请参见云安全中心服务关联角色。
单击新建策略,在新建策略面板,配置防暴力破解策略。
云安全中心提供默认防暴力破解策略:同一服务器10分钟内登录失败次数超过80次,禁止登录6小时。您可以选择对应服务器,直接使用默认防御策略。您也可以参考以下表格中的配置说明自定义防御策略。
配置项
说明
略名称
设置防暴力破解策略名称。
防御规则:
设置防暴力破解策略的具体规则。即登录服务器时,在某个时间范围内登录服务器的失败次数超过限定次数将被禁止登录一段时间。例如:1分钟内登录失败次数超过3次,禁止登录30分钟。
设置为默认策略
设置该防御策略是否为默认策略。设置为默认策略后,未添加防御规则的服务器将默认应用该策略。
说明选中设置为默认策略后,无论您是否在请选择对应的服务器:中选择了服务器,当前策略都会对所有未添加防御规则的服务器生效。
请选择对应的服务器:
设置防御策略生效的服务器。支持直接选择云安全中心防护的服务器,或根据服务器名称和IP筛选指定服务器。
单击确定。
重要每台服务器仅支持配置一个防暴力破解策略。
如果该策略中设置生效的服务器未配置其他防暴力破解策略,该防暴力破解策略添加成功。
如果该策略中设置生效的服务器已配置了其他防暴力破解策略,且您确定要更换为当前配置的策略,请在确认防御规则变更页面,单击确认。
如果原防暴力破解策略的生效服务器配置了新防暴力破解策略,则原防暴力破解策略的生效服务器数量会相应减少。
管理系统规则
系统规则为防暴力破解策略被触发后自动生成的IP拦截规则,以下步骤介绍如何查看、启用和禁用系统规则。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。在左侧导航栏,选择 。
在主机规则管理页面,单击防暴力破解页签。
在系统规则子页签下,根据需要执行以下操作。
查看系统规则
支持查看拦截规则的拦截IP、端口、生效服务器、策略名称、拦截机制、有效期和状态。云安全中心会根据客户端安装情况自动在以下拦截机制中合适的拦截机制:
ECS安全组:该拦截规则启用时会在安全组中自动创建相应规则,该拦截规则过期或禁用后会自动删除该规则。
云安全中心:通过云安全中心插件拦截登录行为。在云安全中心实例为高级版、企业版或旗舰版且开启了恶意网络行为防御开关时,云安全中心会自动选择该插件。开启恶意网络行为防御开关的具体操作,请参见主动防御。
启用系统规则
如果需要继续拦截该IP地址的登录,您可以打开状态列的开关,开启该规则。重新启用该规则后,该规则的有效期将变更为启用时间后两小时。
禁用系统规则
如果您确认该IP的失败登录为误操作,可以通过禁用该IP的拦截规则解除登录禁止。关闭状态列的开关,可关闭该规则。禁用规则约一分钟后,该IP将可以正常访问服务器。
管理自定义规则
您可以根据实际业务的需要参考以下步骤,自定义IP拦截规则,拦截恶意IP对云上资产的访问。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在主机规则管理页面,单击防暴力破解页签。
在自定义规则子页签,根据需要执行以下操作。
新增自定义IP拦截规则
如果您未进行过云资源访问授权,您需要单击立即授权,授权云安全中心访问您的云资源。
关于授权的更多信息,请参见云安全中心服务关联角色。
单击新建规则,在新建IP拦截策略面板,配置相关参数,然后单击确定。
配置项
说明
拦截对象
输入需要拦截的IP地址。
全部资产
选择新建IP拦截规则应用的服务器。支持同时选择多台服务器。您可以在搜索框中输入服务器名称或服务器IP地址搜索指定服务器。
说明仅支持选择阿里云ECS服务器。
规则方向
设置拦截流量的方向,可选择入方向或出方向。
所属安全组
该IP拦截规则关联的安全组,默认为云安全中心拦截组。该规则启用时会在此安全组中自动创建相应规则,该规则过期或禁用后会自动删除该规则。
过期时间
设置该规则的有效时间。规则过期后,该规则状态将变为已禁用。
自定义IP拦截规则创建成功后默认为已禁用状态,如果您需要该规则立即生效,您需要手动启用该规则。
查看自定义IP拦截规则列表及详情
在自定义规则子页签,查看拦截规则的拦截IP、生效服务器数、有效期、规则方向和状态。您可以单击拦截规则操作列的详情,查看生效服务器的列表。支持通过规则状态(已禁用、已启用、开启中、开启异常等)筛选生效服务器。
编辑自定义IP拦截规则
定位到需要编辑的IP拦截规则,单击其操作列的编辑,在编辑IP拦截策略面板,修改该拦截规则的生效资产和过期时间并保存。云安全中心将按照您修改后的生效资产和过期时间执行IP拦截任务。
仅支持编辑已禁用状态的IP拦截规则。如果需要编辑已启用状态的IP拦截规则,您可以禁用该IP拦截规则后,再编辑该规则。
启用或禁用IP拦截规则
根据实际场景需要,您可对存在暴力破解风险的IP启用相应的IP拦截规则。如果确认拦截规则拦截了正常流量,您可以禁用该规则。禁用规则后,云安全中心不会再拦截该规则中拦截对象的访问,该IP将可以正常访问您的服务器。
启用:打开状态开关,在启用IP拦截规则对话框中单击确定。启用后该IP拦截规则会生效并且状态将变更为启用中。生效服务器数量越多,启用中状态持续的时间越长。启用后,云安全中心会根据该IP拦截规则定义的拦截规则拦截恶意流量。以下是开启后IP拦截策略的部分状态说明:
开启异常:指该拦截规则的所有生效服务器未正常开启该规则。
部分成功:指该拦截规则的部分生效服务器未正常开启该规则,部分服务器已正常开启。
您可以单击拦截规则操作列的详情,查看生效服务器的详情。在生效服务器面板,您可以单击开启异常状态服务器操作列的重试,尝试重新开启该规则。
说明如果您启用了已到期的自定义IP拦截规则,该规则的有效期将变更为启用时间后两小时。如果您需要修改该规则的有效期,建议您编辑该规则后再执行启用操作。
禁用:关闭状态开关,在禁用IP拦截规则对话框中单击确定。禁用后该IP拦截规则将失效并且状态将变更为已禁用,云安全中心不会再拦截规则中设置的IP地址对指定服务器的访问。
删除自定义IP拦截规则
支持删除状态为已禁用的规则。单击目标规则操作列的删除,并在提示对话框中单击确认,即可删除该规则。
常用登录管理
您可以设置常用登录地、常用登录IP、常用登录时间和常用登录账号。云安全中心会根据您的配置对非指定范围内的登录产生告警。您可以参考以下步骤配置常用登录信息。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在主机规则管理页面,单击常用登录管理页签。
在常用登录管理页签下,管理常用登录地、常用登录IP、常用登录时间、常用登录账号。
常用登录地、常用登录IP、常用登录时间、常用登录账号配置的操作步骤基本相同。下文以管理常用登录地为例,为您介绍这些功能配置的操作步骤,其他规则的配置请参考常用登录地的配置步骤。
在常用登录地子页签,单击新建策略。
在常用登录地面板,您可以根据业务需要选择一个或多个地区作为常用登录地,然后选择该规则生效的服务器,单击确定,完成添加。
云安全中心支持编辑和删除已成功添加的常用登录地。
单击目标常用登录地右侧的编辑,修改该登录地的生效服务器。
单击目标常用登录地右侧的删除,删除该常用登录地配置。
云安全中心支持为常用登录IP添加备注。在常用登录IP子页签下,单击目标IP备注列的图标,即可为该IP添加说明信息。
常用登录信息配置完成后,您可以在安全告警处理页面将告警类型选择为异常登录,查看并及时处理异常登录告警。具体操作,请参见查看和处理安全告警。