处置RASP防护

背景信息

RASP（ Runtime Application Self-Protection ，运行时应用自我保护）。RASP使应用程序在运行环境中具备运行时自我防护能力，可监测应用运行环境中（如JVM）中的应用程序执行情况（应用逻辑、配置、数据和事件流等），在符合特定安全条件时进行控制，采取必要的防护措施（如终止用户会话、终止应用程序、告警）。

RASP防护事件存在聚合机制，对于终端、事件名称、进程ID、攻击源IP、攻击路径uri、攻击内容payload都相同的告警事件在一天内不会重复展示，只会增加攻击次数。

操作步骤

1. 登录华为乾坤控制台，选择“ > 我的服务 > 智能终端安全”。
2. 在右上角菜单栏选择“威胁事件”。
3. 在“RASP防护”区域单击“查看更多”，进入对应威胁事件的处理界面。
   图1 RASP防护处置界面
   

4. 参考处置建议，并结合实际情况，处置RASP防护事件。
   • 加入白名单：若确认此告警事件为误报，请将此告警加入白名单，以免后续再产生类似告警。。
     • 白名单类型：针对告警日志的攻击请求URI或者攻击载荷（payload字段）进行白名单匹配。
     • 匹配类型：选择匹配模式。
       • 完全匹配。
       • 前缀匹配。
       • 后缀匹配。
       • 部分匹配。
   • 标记状态
     • 忽略：除打上“忽略”标记外不进行任何处理。
     • 已人工处置：除打上“已人工处置”标记外不进行任何处理。
     • 未处置：除打上“未处置”标记外不进行任何处理。
   • 网络隔离：对存在风险的终端进行网络隔离。在HiSec Endpoint Agent首页概览页面单击“隔离终端”，在隔离终端列表可以执行“恢复”操作。
   • 阻断：若确认此告警事件为威胁攻击，且此事件的处置方式为监控，可在防护设置界面修改对应应用的防护策略，将相应检测类型的防护动作修改为阻断，后续就可以监控并自动阻断类似的攻击行为。

   单击具体事件名称，可以查看事件详情、处置建议以及处置记录。

5. （可选）如果用户需要查看RASP防护详细信息，请单击对应的事件名称进入事件详情页面。
   • 资产应用信息：展示资产基本信息，包括终端名称、终端IP、应用PID、应用cmdLine、应用procPath。
   • 告警信息：展示对应事件的攻击信息。

     

相关操作