管理勒索病毒防护策略
操作场景
勒索病毒防护开启后,您可以根据实际需求调整勒索病毒防护策略。调整方式包括:
- 切换防护策略:如果服务器当前绑定的防护策略无法满足您的需求,您可以为服务器绑定另一个更适合的防护策略。
- 修改防护策略:如果您需要修改某些特定的防护设置(如诱饵防护目录或排除目录等),则可直接修改现有的防护策略。例如,当企业主机安全自动开启勒索病毒防护功能时,默认会配置一个防护策略(Linux系统的默认防护策略名称为tenant_linux_anti_default_policy,Windows系统的默认防护策略名称为tenant_Windows_anti_default_policy),可能不符合您的实际防护需求,您可以对防护策略做定制化修改。
- 删除防护策略:当某个防护策略被废弃,且未关联任何服务器时,您可以删除该策略。
切换防护策略
- 登录管理控制台。
- 在页面左上角选择“区域”,单击
,选择“安全与合规 > 企业主机安全”,进入企业主机安全控制台。 - 选择 ,进入“勒索病毒防护”界面。
- 选择“防护服务器”页签。
- 选中目标服务器,并在服务器列表上方单击“切换防护策略”。
您也可以目标服务器所在行的“操作”列,单击。
- 在“切换防护策略”弹窗中,选择防护策略。
- 单击“确定”,完成切换。
修改防护策略
- 登录管理控制台,进入企业主机安全界面。
- 选择。
- 单击目标防护策略操作列的“编辑”,弹出防护策略编辑页面,对策略信息和关联服务器进行编辑,参数说明如表1所示。
以下以Linux为例。您也可以在“防护服务器”页面,单击服务器关联的防护策略名称,编辑防护策略。
表1 防护策略参数说明 参数名称
参数说明
取值样例
防护策略名称
设置防护策略的名称。
Anti_Ransomware
防护动作
发现勒索病毒事件后的处理方式。
- 告警并自动隔离
- 告警
告警并自动隔离
动态诱饵防护
开启动态诱饵防护后,系统会在防护目录和其他随机位置(不包括排除目录)中部署诱饵文件。诱饵文件会占用小部分服务器资源,请将不希望部署诱饵文件的目录配置在排除目录内。
仅Linux系统,需要设置此项。
开启
诱饵防护目录
需要部署静态诱饵进行防护的目录(不包括子目录),建议配置为重要业务目录或数据目录。
多个目录请用英文分号隔开,最多支持填写20个防护目录。
Linux系统必填,Windows系统可选填。
- Linux:/root;/home;/opt;/var;/etc
- Windows:C:\software
排除目录(选填)
无需部署诱饵文件进行防护的目录。
多个目录请用英文分号隔开,最多支持填写20个排除目录。
- Linux:/bin;/boot;/lib;/lib32;/lib64;/lost+found;/proc;/run;/sbin;/selinux;/srv;/sys;/usr/bin;/usr/local/bin;/usr/local/sbin;/usr/sbin;/var/lib/container;/var/lib/kubelet;/var/lib/ntp/proc
- Windows:C:\software\test
防护文件类型
需要防护的服务器文件类型或格式,自定义勾选即可。
涵盖数据库、容器、代码、证书密匙、备份等9大文件类型,共70+种文件格式。
仅Linux系统,需要设置此项。
全选
进程白名单(选填)
添加自动忽略检测的进程文件路径,可在告警中获取。
仅Windows系统,需要设置此项。
-
关联服务器
策略关联的服务器信息,如果您需要解除服务器关联(关闭勒索防护功能),可删除策略。
-
AI勒索防护
对主机全盘文件进行监控,实时检测勒索攻击相关特征(勒索信特征、加密行为特征),综合研判主机是否遭受勒索软件攻击。
针对疑似勒索攻击事件,通过图引擎进一步检测,综合溯源分析,识别潜在勒索攻击。关于图引擎检测更详细的介绍请参见策略管理概述中相关策略的说明。
如果要进行图引擎检测,则需要同步打开图引擎检测和HIPS检测策略开关,相关操作请参见配置策略。
为了确保AI勒索防护功能正常启用,Windows Agent版本需要升级至4.0.28或以上版本;低于此版本的Agent不支持AI勒索防护功能。
仅Windows系统,需要设置此项。
- 确认信息无误,单击“确定”,完成防护策略修改。
