创建防护策略
为了防止您的主机被勒索病毒侵害,请创建防护策略,将重点防御的文件添加到防护策略的监控路径中,并启动机器学习。
机器学习会自动聚类并收集该策略下的所有服务器的正常进程行为数据。该策略下的不可信进程行为和非该策略下的进程行为对监控文件路径下的文件执行文件操作,HSS会根据策略设置的防护状态,触发告警。
防勒索病毒功能在当前版本中为测试使用,可能存在无法完全满足对应能力的情况,您可购买升级后的主机安全(新版)进行使用。
前提条件
- 已开启“旗舰版”或“网页防篡改版”主机安全防护。
- Linux主机的“Agent状态”为“在线”。
创建Linux防护策略
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择 ,进入企业主机安全页面。
图1 企业主机安全
- 进入“勒索病毒防护”页面,单击“创建策略”,创建Linux防护策略,如图2所示。
- 配置Linux防护策略基本信息,如图3所示。
表1 策略基本信息说明 参数
参数说明
策略名称
创建的勒索病毒防护策略的策略名称。
诱饵防护
开启诱饵防护后,HSS将会在关联服务器中预置诱饵文件,帮助您实时诱捕新型未知的勒索病毒。
智能学习天数
请根据您业务的场景选择智能学习的天数,您可以选择“7天”、“15天”或者“30天”。
智能学习功能是通过机器学习引擎学习服务器上的进程修改文件的行为。
防护状态
告警:当检测到对设置的监控路径文件的不可信操作时,触发告警。
监控文件路径
监控的文件的路径,多个文件以分号分隔。监控填写的路径下的文件操作。
例 :/opt;/opt/sap
说明:若是防护所有路径,可设置为“--”,但建议配置关键文件的具体路径即可。
扩展名
检测监控路径下包含文件扩展名的所有文件,多个扩展名以分号分隔。
例:sql;txt;sh
- 单击“添加服务器”,在弹出的“添加关联服务器”的窗口中,选择关联服务器,如图4所示。
- 添加完成关联服务器后,单击“确认”,完成关联服务器的添加。
- 您可以查看添加的关联服务器的“服务器名称”、“IP地址”和“系统”。
- 您也可以根据需要在关联服务器的“操作”列,单击“删除”,删除不需要的关联服务器。
- 完成关联服务器添加后,单击“创建并学习”,完成Linux防护策略的创建。
Linux防护策略创建完成后,该策略的详情将会自动展示在策略管理列表中,如图5所示。
表2 策略管理列表说明 参数
参数说明
策略名称
创建的智能学习策略的策略名称。
已生效服务器
应用该智能学习策略的服务器数量。
学习中服务器
学习该策略的服务器数量。
可信进程数
智能学习策略生效后,HSS会自动识别您服务器中进程的可信进程,并统计可信进程的数量。
监控文件路径
监控的文件的路径。
扩展名
检测监控路径下包含文件扩展名的所有文件。
防护状态
使用该策略的服务器的防护状态。
告警:当检测到对设置的监控路径文件的不可信操作时,触发告警。
诱饵防护状态
- 开启:诱饵防护为开启状态,HSS在关联服务器中预置诱饵文件,发现未知勒索病毒加密诱饵文件的行为,立即告警。
- 关闭:诱饵防护为关闭状态。
创建Windows防护策略
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择 ,进入企业主机安全页面。
图6 企业主机安全
- 进入“勒索病毒防护”页面,单击“创建策略”,创建Windows防护策略,如图7所示。
- 配置勒索病毒防护策略基本信息,如图8所示。
表3 策略基本信息说明 参数
参数说明
策略名称
创建的勒索病毒防护策略的策略名称。
智能学习天数
请根据您业务的场景选择智能学习的天数,您可以选择“7天”、“15天”或者“30天”。
智能学习功能是通过机器学习引擎学习服务器上的进程修改文件的行为。
防护状态
告警:当检测到对设置的监控路径文件的不可信操作时,触发告警。
监控文件路径
监控的文件的路径,多个文件以分号分隔。监控填写的路径下的文件操作。
如果不填写监控文件路径,HSS会监控主机上所有的文件路径。
扩展名
检测监控路径下包含文件扩展名的所有文件,多个扩展名以分号分隔。
- 单击“添加服务器”,在弹出的“添加关联服务器”的窗口中,选择关联服务器,如图9所示。
- 添加完成关联服务器后,单击“确认”,完成关联服务器的添加。
- 您可以查看添加的关联服务器的“服务器名称”、“IP地址”和“系统”。
- 您也可以根据需要在关联服务器的“操作”列,单击“删除”,删除不需要的关联服务器。
- 完成关联服务器添加后,单击“创建并学习”,完成Windows防护策略的创建。
Windows防护策略创建完成后,该策略的详情将会自动展示在策略管理列表中,如图10所示。
表4 策略管理列表说明 参数
参数说明
策略名称
创建的智能学习策略的策略名称。
已生效服务器
应用该智能学习策略的服务器数量。
学习中服务器
学习该策略的服务器数量。
可信进程数
智能学习策略生效后,HSS会自动识别您服务器中进程的可信进程,并统计可信进程的数量。
监控文件路径
监控的文件的路径,多个文件以分号分隔。监控该路径下的文件操作。
如果监控文件路径为“--”,表示HSS会监控主机上所有的文件路径。
扩展名
检测监控路径下包含文件扩展名的所有文件,多个扩展名以分号分隔。
防护状态
使用该策略的服务器的防护状态。
告警:当检测到对设置的监控路径文件的不可信操作时,触发告警。