更新时间:2024-11-15 GMT+08:00
分享

开启勒索病毒防护

如果Linux主机安装的Agent版本为3.2.10及以上版本或Windows主机安装的Agent版本为4.0.22及以上版本,开启企业主机安全旗舰版、网页防篡改版或容器版防护时,系统会自动为主机开启勒索病毒防护,在主机上部署诱饵文件,并对可疑加密进程执行自动隔离(极小概率存在误隔离);此外,建议您同时开启勒索备份,提升勒索防护的事后恢复能力,最小化降低业务受损程度。详细操作请参见开启勒索备份

如果主机安装的Agent版本非上述版本,或关闭了勒索病毒防护功能需要重新开启,可参考本章节开启勒索病毒防护。

步骤一:新建防护策略

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 选择主机防御 > 勒索病毒防护 ,进入“勒索病毒防护”界面。

    如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

  4. 选择“防护策略”页签,单击“添加防护策略”
  5. 设置防护策略参数,相关参数说明请参见表 防护策略参数说明

    图1 设置防护策略参数
    表1 防护策略参数说明

    参数名称

    参数说明

    取值样例

    服务器操作系统

    选择服务器操作系统类型。

    Linux

    防护策略名称

    设置防护策略的名称。

    test

    防护动作

    发现勒索病毒事件后的处理方式。

    • 告警并自动隔离
    • 告警

    告警并自动隔离

    动态诱饵防护

    开启动态诱饵防护后,系统会在防护目录和其他随机位置(不包括排除目录)中部署诱饵文件,在随机位置部署的诱饵文件每12小时会自动删除再重新随机部署。诱饵文件会占用小部分服务器资源,请将不希望部署诱饵文件的目录配置在排除目录内。

    说明:

    当前仅Linux系统支持动态生成和部署诱饵文件,Windows系统仅支持静态部署诱饵文件。

    开启

    诱饵防护目录

    需要部署静态诱饵进行防护的目录(不包括子目录),建议配置为重要业务目录或数据目录。

    多个目录请用英文分号隔开,最多支持填写20个防护目录。

    Linux系统必填,Windows系统可选填。

    Linux:/etc

    Windows:C:\Test

    排除目录(选填)

    无需部署诱饵文件进行防护的目录。

    多个目录请用英文分号隔开,最多支持填写20个排除目录。

    Linux:/etc/lesuo

    Windows:C:\Test\ProData

    防护文件类型

    需要防护的服务器文件类型或格式,自定义勾选即可。

    涵盖数据库、容器、代码、证书密匙、备份等9大文件类型,共70+种文件格式。

    仅Linux系统时,需要设置此项。

    全选

    进程白名单(选填)

    添加自动忽略检测的进程文件路径,可在告警中获取。

    仅Windows系统,需要设置此项。

    -

  6. 单击“确认”,添加完成。

步骤二:开启勒索病毒防护

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 选择主机防御 > 勒索病毒防护 ,进入“勒索病毒防护”界面。
  4. 选择“防护服务器”页签。
  5. 在目标服务器勒索防护状态栏,单击“立即开启”

    您也可以选中多台操作系统类型相同的服务器,并单击列表上方的“开启勒索病毒防护”,批量为服务器开启防护。

  6. “开启勒索病毒防护”弹窗中,确认服务器信息并选择防护策略。
  7. 单击“确认”,开启防护。

    服务器勒索防护状态显示已开启,表示开启勒索病毒防护成功。

相关文档