文档首页/ 企业主机安全 HSS/ 最佳实践/ 利用白名单机制避免告警误报
更新时间:2024-11-13 GMT+08:00

利用白名单机制避免告警误报

应用场景

企业主机安全HSS为主机、容器提供了入侵检测防护,支持检测账户暴力破解、进程异常行为、网站后门、恶意软件等多种恶意行为或攻击,并在检测到异常后会及时告警上报通知用户。用户收到的告警中,可能包含正常业务触发而导致的告警,这种情况下,用户可以通过加白的方式,让HSS后续对信任对象产生的告警进行忽略不再上报,从而减少运维工作量,提升运营运维效率。

本文为您介绍如何通过HSS的白名单机制避免告警误报。

白名单机制

HSS提供了两种不同的白名单机制来处理告警,分别是告警白名单和检测策略白名单,通过这两种白名单加白后的对象,HSS都不会对其产生的行为进行告警。两种白名单的详细说明如表1所示。

表1 白名单机制

白名单机制

说明

优势

劣势

告警白名单

在处理告警时,处理方式可以选择将告警加入告警白名单,并配置告警白名单规则,后续命中白名单规则的异常事件,HSS只检测但不上报告警。

HSS会根据告警内容自动联想预置白名单规则,您在处理已产生的告警过程中可快速对告警进行加白。

无法提前加白,只能等待告警触发。

检测策略白名单

HSS通过Agent对服务器进行检测,Agent的检测范围可通过控制台上下发的策略进行控制,因此用户可在策略中为信任的对象加白,策略配置完成下发后,HSS将不对策略加白的对象进行告警。

  • 无需等待告警触发,可提前将信任的对象添加到白名单中。
  • 容器类告警,Pod、镜像、组织等无法添加告警白名单,可添加检测策略白名单。

无法同步处理已产生的告警。

添加告警白名单

主机安全告警和容器安全告警添加告警白名单的操作流程基本一致,如下操作以处理主机安全告警中的“高危命令执行”告警为例进行说明。

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 在左侧导航栏中,单击检测与响应 > 安全告警事件,在“主机安全告警”页签,查看上报的告警。
  4. 单击告警名称,查看告警详情,判断该告警是否为正常业务触发。

    可通过查看告警详情中的“告警信息”“调查取证”“相似告警”等分析确认执行命令操作是否是正常业务触发。
    图1 查看告警详情

  5. 如果该告警是正常业务触发,单击“加入告警白名单”

    图2 加入告警白名单

  6. “处理告警事件”面板,单击“新增规则”,配置告警白名单触发规则。相关参数说明请参见表2

    图3 告警白名单规则
    表2 告警白名单规则参数说明

    参数

    示例

    说明

    加白字段

    进程命令行

    加白字段即需要加白的对象类型,主机安全告警支持的加白字段包括:

    • 进程路径
    • 进程命令行
    • 文件路径
    • 用户名称
    • 远程IP

    告警类型不同则可加白的字段不同。

    通配符

    包含

    支持选择的通配符如下:

    • 包含:告警信息包含白名单规则“描述”时,HSS不进行告警。
    • 相等:告警信息完全匹配白名单规则“描述”时,HSS不进行告警。

    描述

    ls -l /run/canal/plugins/yangtse-agent.sock

    HSS会自动联想为检测到的可疑进程、文件等填充加白内容。该内容也支持自定义。

    同一个告警支持添加多条白名单规则。如果添加多条规则,相互之间为或的关系。

  7. “处理告警事件”面板,单击“确认”,告警加白完成。

添加检测策略白名单

HSS支持添加白名单的检测策略以及策略对应的告警请参见表3

表3 支持添加白名单的检测策略

策略名称

对应的告警

容器信息收集

容器挂载异常

集群入侵检测

Kubernetes事件删除、创建特权Pod、Pod中使用交互式shell、创建敏感目录Pod、创建主机网络的Pod、创建主机Pid空间的Pod、普通pod访问、APIserver认证失败、普通Pod通过Curl访问APIServer、系统管理空间执行exec、系统管理空间创建Pod、创建静态Pod、创建DaemonSet、创建集群计划任务、List Secrets操作、枚举用户可执行的操作、高权限RoleBinding或ClusterRoleBinding、ServiceAccount创建

容器逃逸

容器高危系统调用、Shocker攻击、DirtCow攻击、容器文件逃逸攻击

容器信息模块

容器命名空间、容器开放端口、容器安全选项、容器挂载目录

容器进程白名单

容器进程异常事件上报

无文件攻击检测

进程注入、动态库注入、内存文件进程

文件保护

文件目录变更、关键文件变更、文件提权

HIPS检测

Windows Defender防护被禁用、可疑的黑客工具、可疑的勒索加密行为、隐藏账号创建、读取用户密码凭据、可疑的SAM文件导出、可疑shadow copy删除操作、备份文件删除、可疑勒索病毒操作注册表、可疑的异常进程行为、可疑的扫描探测、可疑的勒索病毒脚本运行、可疑的挖矿命令执行、可疑的禁用windows安全中心行为、可疑的停止防火墙服务行为、可疑的系统自动恢复禁用、Office创建可执行文件、带宏Office文件异常创建、可疑的注册表操作、Confluence远程代码执行、MSDT远程代码执行、使用Wevtutil清除Windows日志、使用Fsutil去除日志、regsvr32发起的可疑http请求、使用Windows Defender下载负载、Windows远程命令执行、Log4shell漏洞执行、可疑的计划任务操作、可疑的Windows命令执行、Windows入侵工具传输、可疑的反弹shell命令、执行远程可疑脚本、可疑的软件安装、perl反弹shell、awk反弹shell、python反弹shell、lua反弹shell、mkfifo/openssl反弹shell、php反弹shell、ruby反弹shell、使用rssocks进行反向代理、bash反弹shell、ncat反弹shell、exec重定向反弹shell、node反弹shell、telnet双端口反弹shell、nc反弹shell、socat反弹shell、php_socket反弹shell、socket/tchsh反弹shell、使用vigr/vipw修改文件、清除或替换系统安全日志、软连接ssh后门、替换ssh密钥、使用curl/wget安装后门

使用代理软件工具、python/base64执行、sudo提权漏洞利用、增加uid为0(root权限)的系统账号、利用$IFS绕过执行命令修改权限、wipe删除文件或目录、github敏感信息泄露、使用命令进行arp欺骗、查看系统数据库passwd相关记录、curl/wget/gcc下载CVE/CNVD漏洞、可疑的驱动加载、卸载或停止主机安全程序、strace获取ssh凭据、Golang反弹shell、ldapsearch探测域内信息、通过perl脚本探测提权漏洞、通过bash脚本探测提权漏洞、通过python脚本探测提权漏洞、Enumy提权枚举工具、Hydra暴力破解工具、CDK容器渗透工具、stowaway代理工具、CF云渗透工具、通过redis-rogue-server入侵redis、通过hack-browser-data收集浏览器数据、可疑的探测主机行为、可疑的下载行为、可疑的交互式bash shell生成、sudo权限提升、vim权限提升、awk权限提升、混淆的shell命令、劫持LD_PRELOAD动态链接库、劫持动态链接器、可疑的敏感文件读取、可疑的敏感文件修改、socat端口转发、ngrok端口转发、rinetd端口转发、portmap端口转发、portforward端口转发、rakshasa端口转发、检测到黑客工具earthworm、设置suid/sgid提权、进程异常行为、可疑的计划任务/自启动项创建、find权限提升、访问恶意域名或IP、使用rcsocks/ssocks进行反向代理、SSH端口转发、HashDump攻击、procdump攻击

登录安全检测

尝试暴力破解、爆破成功、用户登录成功、异地登录、用户登录拒绝、用户首次登录、系统账号弱口令

恶意文件检测

异常shell、反弹shell、恶意软件

端口扫描检测

端口扫描

root提权

进程异常行为、可疑的进程提权、进程异常外联

实时进程

高危命令执行

rootkit检测

可疑的rootkit

上表中所述策略配置白名单的详细操作如下:

如果您是基于新创建的自定义策略组进行的文件保护策略配置,则完成策略组创建和策略配置后,您需要将新建的策略组部署应用到目标服务器,详细操作请参见部署策略