更新时间:2022-02-22 GMT+08:00

创建防护策略

为了防止您的主机被勒索病毒侵害,请创建防护策略,将重点防御的文件添加到防护策略的监控路径中,并启动机器学习。

机器学习会自动聚类并收集该策略下的所有服务器的正常进程行为数据。该策略下的不可信进程行为和非该策略下的进程行为对监控文件路径下的文件执行文件操作,HSS会根据策略设置的防护状态,触发告警。

创建防护策略

  1. 登录管理控制台。
  2. 在页面左上角选择“区域”,单击,选择安全 > 企业主机安全,进入企业主机安全页面。
  3. 进入“勒索病毒防护”页面,单击“创建策略”,创建勒索病毒防护策略,如图1所示。

    图1 策略管理页面

  4. 配置勒索病毒防护策略基本信息,如图2所示。

    图2 配置勒索病毒防护策略
    表1 策略基本信息说明

    参数

    参数说明

    策略名称

    创建的勒索病毒防护策略的策略名称。

    智能学习天数

    请根据您业务的场景选择智能学习的天数,您可以选择“7天”“15天”或者“30天”

    智能学习功能是通过机器学习引擎学习服务器上的进程修改文件的行为。

    防护状态

    告警:当检测到对设置的监控路径文件的不可信操作时,触发告警。

    监控文件路径

    监控的文件的路径,多个文件以分号分隔。监控填写的路径下的文件操作。

    如果不填写监控文件路径,HSS会监控主机上所有的文件路径。

    扩展名

    检测监控路径下包含文件扩展名的所有文件,多个扩展名以分号分隔。

  5. 单击“添加服务器”,在弹出的“添加关联服务器”的窗口中,选择关联服务器,如图3所示。

    图3 添加关联服务器

  6. 添加完成关联服务器后,单击“确认”,完成关联服务器的添加。

    • 您可以查看添加的关联服务器的“服务器名称”“IP地址”“系统”
    • 您也可以根据需要在关联服务器的“操作”列,单击“删除”,删除不需要的关联服务器。

  7. 完成关联服务器添加后,单击“创建并学习”,完成勒索病毒防护策略的创建。

    勒索病毒防护策略创建完成后,该策略的详情将会自动展示在策略管理列表中,如图4所示。

    图4 勒索病毒防护策略管理列表
    表2 策略管理列表说明

    参数

    参数说明

    策略名称

    创建的智能学习策略的策略名称。

    已生效服务器

    应用该智能学习策略的服务器数量。

    学习中服务器

    学习该策略的服务器数量。

    可信进程数

    智能学习策略生效后,HSS会自动识别您服务器中进程的可信进程,并统计可信进程的数量。

    监控文件路径

    监控的文件的路径,多个文件以分号分隔。监控填写的路径下的文件操作。

    如果不填写监控文件路径,HSS会监控主机上所有的文件路径。

    扩展名

    检测监控路径下包含文件扩展名的所有文件,多个扩展名以分号分隔。

    防护状态

    使用该策略的服务器的防护状态。

    告警:当检测到对设置的监控路径文件的不可信操作时,触发告警。

添加关联服务器

若在创建智能学习策略时添加的关联服务器无法满足您的要求,您可以在“已关联服务器”页签下,为该智能学习策略添加或者删除关联服务器。

  1. 单击已创建策略的策略名称,进入详情页面,如图5所示。

    图5 进入策略详情页面

  2. 选择“关联服务器”,单击“添加服务器”,添加关联的服务器,如图6所示。

    图6 添加关联的服务器

  3. 在弹出的添加服务器窗口中,选择关联的服务器,如图7所示。

    图7 添加关联服务器

  4. 单击“确认”,完成关联服务器添加。

    关联服务器添加完成后,您可以查看关联服务器的服务器名称、IP地址、系统和策略状态,策略默认状态处于“学习中”

    学习完成后,策略状态处于“学习完成,策略已生效”。勒索病毒防护策略自动应用于该策略下的所有服务器。

相关操作

编辑策略

单击“编辑”打开“编辑策略”页面,对该策略进行修改。可修改该策略的策略名称、智能学习天数、防护状态、监控文件路径和扩展名。

删除策略

单击“删除”,删除策略,策略删除后,对应的关联服务器进程将不再受到该策略的保护。