开启勒索病毒防护
操作场景
勒索病毒防护功能提供已知和未知勒索病毒的实时防御,可实时检测并阻断勒索病毒攻击。
- Linux:Agent版本大于或等于3.2.10。
- Windows:Agent版本大于或等于4.0.22。
如果主机安装的Agent版本非上述版本,或者关闭了勒索病毒防护功能需要重新开启,可参考本章节开启勒索病毒防护。
如果开启勒索病毒防护后,您在服务器上发现可疑文件,可以提交工单联系技术支持确认该文件是否是企业主机安全部署的诱饵文件。诱饵文件用于检测勒索病毒攻击,不会对您的业务造成影响,也不包含任何恶意内容,并且不支持手动删除。
步骤一:新建防护策略
开启勒索病毒防护前,需要创建勒索防护防护策略,设置诱饵防护目录、防护文件类型、防护动作等信息。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击
,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。 - 选择,进入“勒索病毒防护”界面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 选择“防护策略”页签,单击“添加防护策略”。
- 设置防护策略参数,相关参数说明请参见表 防护策略参数说明。
图1 设置防护策略参数
表1 防护策略参数说明 参数名称
参数说明
取值样例
服务器操作系统
选择服务器操作系统类型。
Linux
防护策略名称
设置防护策略的名称。
test
防护动作
发现勒索病毒事件后的处理方式。
- 告警并自动隔离
- 告警
告警并自动隔离
动态诱饵防护
开启动态诱饵防护后,系统会在防护目录和其他随机位置(不包括排除目录)中部署诱饵文件,在随机位置部署的诱饵文件每12小时会自动删除再重新随机部署。诱饵文件会占用小部分服务器资源,请将不希望部署诱饵文件的目录配置在排除目录内。
仅Linux系统,需要设置此项。
开启
诱饵防护目录
需要部署静态诱饵进行防护的目录(不包括子目录),建议配置为重要业务目录或数据目录。
多个目录请用英文分号隔开,最多支持填写20个防护目录。
Linux系统必填,Windows系统可选填。
- Linux:/root;/home;/opt;/var;/etc
- Windows:C:\software
排除目录(选填)
无需部署诱饵文件进行防护的目录。
多个目录请用英文分号隔开,最多支持填写20个排除目录。
- Linux:/bin;/boot;/lib;/lib32;/lib64;/lost+found;/proc;/run;/sbin;/selinux;/srv;/sys;/usr/bin;/usr/local/bin;/usr/local/sbin;/usr/sbin;/var/lib/container;/var/lib/kubelet;/var/lib/ntp/proc
- Windows:C:\software\test
防护文件类型
需要防护的服务器文件类型或格式,自定义勾选即可。
涵盖数据库、容器、代码、证书密匙、备份等9大文件类型,共70+种文件格式。
仅Linux系统,需要设置此项。
全选
进程白名单(选填)
添加自动忽略检测的进程文件路径,可在告警中获取。
仅Windows系统,需要设置此项。
-
AI勒索防护
对主机进行全盘文件监控,针对同个进程的多个文件被执行创建、删除、修改或重命名等系列操作的场景,进行分析研判确认是否是勒索加密行为。
当分析出存在疑似勒索攻击事件,再进行进一步的图引擎检测,综合溯源分析,识别潜在勒索攻击。关于图引擎检测更详细的介绍请参见策略管理概述中相关策略的说明。
如果要进行图引擎检测,则需要同步打开图引擎检测和HIPS检测策略开关,相关操作请参见配置策略。
为了确保AI勒索防护功能正常启用,Windows Agent版本需要升级至4.0.28或以上版本;低于此版本的Agent不支持AI勒索防护功能。
仅Windows系统,需要设置此项。
- 单击“确定”,添加完成。
在防护策略列表中,查看到添加的防护策略,表示添加防护策略成功。
步骤二:开启勒索病毒防护
防护策略创建完成后,可参考本小节开启勒索病毒防护。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 选择 ,进入“勒索病毒防护”界面。
- 选择“防护服务器”页签。
- 在目标服务器勒索防护状态栏,单击“立即开启”。
您也可以选中多台操作系统类型相同的服务器,并单击列表上方的“开启勒索病毒防护”,批量为服务器开启防护。
图2 立即开启
- 在“开启勒索病毒防护”弹窗中,确认服务器信息并选择防护策略。
图3 开启勒索病毒防护
- 单击“确定”,开启防护。
服务器勒索防护状态显示已开启,表示开启勒索病毒防护成功。
