更新时间:2024-04-15 GMT+08:00

防护策略管理

目前勒索病毒防护策略的新建必须通过开启防护的流程才能创建。

约束限制

仅旗舰版、网页防篡改版、容器版支持勒索病毒防护功能。

新建防护策略

  1. 登录管理控制台。
  2. 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
  3. 选择主动防御 > 勒索病毒防护 > 防护服务器 ,单击“为服务器开启防护”

  4. 在弹出的对话框选择Linux或Windows系统,开启勒索防护,“防护策略”选择“新建防护策略”,参数说明如表1所示。

    以下以linux为示例。
    表1 防护策略参数说明

    参数名称

    参数说明

    取值样例

    防护策略名称

    设置防护策略的名称。

    test

    防护动作

    发现勒索病毒事件后的处理方式。

    • 告警并自动隔离
    • 告警

    告警并自动隔离

    诱饵防护

    开启诱饵防护后,系统会在防护目录和关键目录(不包括排除目录)中部署诱饵文件。诱饵文件会占用小部分服务器资源,不会影响您的服务器正常运行。

    在开启服务器的勒索病毒防护时,诱饵防护状态为默认开启。

    说明:

    当前仅Linux系统支持动态生成和部署诱饵文件,Windows系统仅支持静态部署诱饵文件。

    开启

    诱饵防护目录

    被防护的目录(不包括子目录)。

    多个目录请用英文分号隔开,最多支持填写20个防护目录。

    Linux系统必填,Windows系统可选填。

    Linux:/etc/lesuo

    Windows:C:\Test

    排除目录(选填)

    不进行部署诱饵文件的目录。

    多个目录请用英文分号隔开,最多支持填写20个排除目录。

    Linux:/test

    Windows:C:\ProData

    防护文件类型

    被防护的服务器文件类型或格式,自定义勾选即可。

    涵盖数据库、容器、代码、证书密匙、备份等9大文件类型,共70+种文件格式。

    仅Linux系统时,需要设置此项。

    全选

    进程白名单(选填)

    添加自动忽略检测的进程文件路径,可在告警中获取。

    仅Windows系统,需要设置此项。

    -

  5. 配置完成,单击“下一步”,进入服务器选择页面,通过分组筛选或服务器名称搜索目标服务器,勾选目标服务器。
  6. 确认无误,单击“确认”,开启服务器勒索防护,同时防护策略创建成功。
  7. 左侧导航树选择主动防御 > 勒索病毒防护 ,选择“防护策略”页签,查看已创建的防护策略。

修改防护策略

  1. 登录管理控制台,进入企业主机安全界面。
  2. 选择主动防御 > 勒索病毒防护 > 防护策略
  3. 单击目标防护策略操作列的“编辑”,弹出防护策略编辑页面,对策略信息和关联服务器进行编辑,参数说明如表 防护策略参数说明所示。

    以下以Linux为例。
    表2 防护策略参数说明

    参数名称

    参数说明

    取值样例

    防护策略名称

    设置防护策略的名称。

    test

    防护动作

    发现勒索病毒事件后的处理方式。

    • 告警并自动隔离
    • 告警

    告警并自动隔离

    诱饵防护

    开启诱饵防护后,系统会在防护目录和关键目录(不包括排除目录)中部署诱饵文件。诱饵文件会占用小部分服务器资源,不会影响您的服务器正常运行。

    在开启服务器的勒索病毒防护时,诱饵防护状态为默认开启。

    说明:

    当前仅Linux系统支持动态生成和部署诱饵文件,Windows系统仅支持静态部署诱饵文件。

    开启

    诱饵防护目录

    被防护的目录(不包括子目录)。

    多个目录请用英文分号隔开,最多支持填写20个防护目录。

    Linux系统必填,Windows系统可选填。

    Linux:/etc/lesuo

    Windows:C:\Test

    排除目录(选填)

    不进行部署诱饵文件的目录。

    多个目录请用英文分号隔开,最多支持填写20个排除目录。

    Linux:/test

    Windows:C:\ProData

    防护文件类型

    被防护的服务器文件类型或格式,自定义勾选即可。

    涵盖数据库、容器、代码、证书密匙、备份等9大文件类型,共70+种文件格式。

    仅Linux系统时,需要设置此项。

    全选

    进程白名单(选填)

    添加自动忽略检测的进程文件路径,可在告警中获取。

    仅Windows系统,需要设置此项。

    -

  4. 确认信息无误,单击“确认”,完成防护策略修改。

删除防护策略

  1. 登录管理控制台,进入企业主机安全界面。
  2. 选择主动防御 > 勒索病毒防护 > 防护策略
  3. 单击目标策略“操作”列的“删除”

    删除策略后,关联的服务器将不再被防护,风险系数将会升高,建议删除策略前将目标策略关联的服务器绑定其他策略开启防护。

  4. 在弹窗确认正在删除的策略信息,确认无误,单击“确认”,完成删除。