高级防御
最近更新时间: 2023-08-24 10:23:13
概述
高级防御支持自适应识别黑客攻击,实时监控和防护容器运行时安全,提供异常进程、文件篡改和高危系统调用安全功能。
异常进程:通过系统规则和用户自定义检测规则,实时监控进程异常启动行为,并告警通知或拦截。系统监控策略包括代理软件、横向渗透、恶意命令、反弹 Shell、无文件程序执行、高危命令、敏感服务异常子进程启动等。
文件篡改:通过系统规则和用户自定义检测规则,实时监控核心文件被修改的文件异常访问行为,并告警通知或拦截。系统监控策略包括篡改计划任务、篡改系统程序、篡改用户配置等。
高危系统调用:基于建行云云安全自适应学习技术,实时审计容器内发起的可能引起安全风险的 Linux 系统调用行为。
异常进程
事件列表
筛选刷新事件列表
1.在事件列表页面,单击搜索框,可通过“连接进程”关键词对白名单事件进行查询。
2.在事件列表页面,击操作栏右侧刷新图标,即可刷新事件列表。
导出事件列表
1.在事件列表页面,单击刷新勾选选所需的异常进程事件后,单击刷新图标即可导出异常进程事件
自定义列表管理
1.事件列表页面,单击图标,弹出自定义列表管理弹窗,在弹窗中可以自定义设定列表管理。
列表重点字段说明
列表重点字段说明
1.首次生成时间:该异常进程事件首次触发告警的时间。系统默认对未处理的相同告警事件进行聚合。
2.最近生成时间:聚合的告警事件最近触发告警的时间。可单击右侧排序按钮对列表事件按时间正序和时间反序进行排列。
3.事件数量:聚合时间范围内该异常进程事件触发告警的总数量。
4.动作执行结果:包括拦截成功、拦截失败、放行、告警,支持按动作执行结果对列表事件进行快速筛选。
5.状态:包括已处理、已忽略、未处理、已加白,支持按状态对列表事件进行快速筛选。
规则配置
筛选刷新规则
新增规则
1.在规则配置页面,单击创建规则,右侧抽屉弹出新增规则页面
2.在新增规则页面,需配置基本信息、配置规则和镜像生效范围
(1)基本信息:输入事件的规则名称,单击图标开启或关闭规则检测
(2)配置规则:需输入进程路径和执行动作,单击添加或者删除,可以进行添加或者删除规则
(3)镜像范围:全部镜像和自选镜像。其中单击所需的自选镜像,即可选中或者删除自选镜像
复制规则
1.在规则配置页面,单击右侧复制,右侧弹出复制规则页面
2.在复制规则页面,需输入规则名称,可修改启用状态、配置规则和镜像生效范围。
编辑规则
1.在规则配置页面,单击右侧编辑,右侧弹出编辑规则设置页面。
2.在编辑规则设置页面,可修改规则的基本信息、配置规则和镜像生效范围。
3.选择所需内容后,单击确定或者取消,即可完成或取消修改规则
删除规则
1.在规则配置页面,可选择如下两种方式删除规则:
(1)选择所需的规则单击图标,单击操作栏左侧删除,弹出确认删除弹窗
(2)选择所需规则的所作行,单击右侧删除,弹出“确认删除”弹窗。
2.在确认删除弹窗中,单击删除或者取消,即可删除或者取消删除规则
导出规则
1.在规则配置页面,单击图标勾选所需的异常进程规则后,单击下载图标即可导出异常进程规则
自定义列表管理
1.在规则配置页面,单击设置图标,弹出自定义列表管理弹窗,在弹窗中可以自定义设定列表管理。
2.在自定义列表管理弹窗。选择所需的类型后,单击确定,即可完成设置自定义列表管理
列表重点字段说明
1.规则类别:系统规则或自定义规则。
2.生效镜像:规则生效的镜像数量。单击生效镜像“数字”,右侧抽屉展示规则详情。
3.状态:启用/禁用
4操作:系统策略操作栏仅复制规则,用户自定义规则支持复制、编辑和删除。
文件篡改
事件列表
筛选刷新事件列表
1.在事件列表页面,单击搜索框,可通过“文件名称、进程路径和命中规则”等关键词对文件篡改检测结果进行查询。
导出检测结果
1.在事件列表,勾选所需的文件篡改检测事件后,单击下载图标可导出文件篡改检测事件
更改事件状态
1.在事件列表页面,可对文件篡改检测事件进行标记已处理、忽略和删除处理。
2.单击确定或取消,即可完成或取消事件状态更改。
3.在事件列表页面,事件状态为已忽略时,可单击取消忽略或删除,可将事件取消忽略或删除。
4.在事件列表页面,事件状态为已处理时,可单击删除,删除该事件。
查看事件详情
1.在事件列表页面,单击进程路径左侧 图标,可查看事件描述。
2.在事件列表页面,单击查看详情,右侧弹出事件详情页面。
3.在事件详情页面,展示了事件详情、进程信息、父进程信息和事件描述。并可对该事件进行标记已处理、忽略和加白等操作。
4.在事件详情页面,单击加白进入复制规则页面,需配置基本信息、配置规则和镜像生效范围。
自定义列表管理
1.在事件列表页面,单击图标,弹出自定义列表管理弹窗,在弹窗中可以自定义设定列表管理。
2.在自定义列表管理弹窗,选择所需的类型后,单击确定,即可完成设置自定义列表管理。
列表重点字段说明:
1.首次生成时间:该文件篡改事件首次触发告警的时间。系统默认对未处理的相同告警事件进行聚合。
2.最近生成时间:聚合的告警事件最近触发告警的时间。可单击右侧排序按钮对列表事件按时间正序和时间反序进行排列。
3.事件数量:聚合时间范围内该文件篡改事件触发告警的总数量。
4.动作执行结果:包括拦截成功、拦截失败、放行、告警,支持按动作执行结果对列表事件进行快速筛选。
5.状态:包括已处理、已忽略、未处理、已加白,支持按状态对列表事件进行快速筛选。
规则配置
筛选刷新规则
1.在规则配置页面,单击搜索框,可通过规则名称关键字对配置规则进行查询
2.在规则配置页面,单击操作栏右侧刷新图标
新增规则
1.在规则配置页面,单击创建规则,右侧抽屉弹出新增规则页面。
2.在新增规则页面,需配置基本信息、配置规则和镜像生效范围
复制规则
1.在规则配置页面,单击右侧复制,右侧弹出编复制规则页面。
2.在复制规则页面,需输入规则名称,可修改启用状态、配置规则和镜像生效范围
。
编辑规则
- 在规则配置页面,单击右侧编辑,右侧弹出编辑规则设置页面。
- 在编辑规则设置页面,可修改规则的基本信息、配置规则和镜像生效范围。
删除规则
单击操作栏左侧删除,弹出“确认删除”弹窗。
导出规则
在规则配置页面,单击图标勾选所需要的文件篡改规则后,单击下载图标可导出文件篡改规则
自定义列表管理
- 在规则配置页面,单击设置图标,弹出自定义列表管理弹窗,在弹窗以自定义设定列表管理。
- 在自定义列表管理弹窗,选择所需的类型后,单击确定,即可完成设置自定义列表管理。
列表重点字段说明 - 规则类别:系统规则或自定义规则
- 生效镜像:规则生效的镜像数量。单击生效镜像“数字”,右侧抽屉展示规则详情。
- 状态:启用/禁用
- 操作:系统策略操作栏仅复制规则;用户自定义规则支持复制、编辑和删除。
高危系统调用
事件列表
筛选刷新事件列表
- 在事件列表页面,单击搜索框,可通过“进程路径、系统调用名称和容器名称”等关键词对高危系统调用检测事件进行查询。
- 在事件列表页面,单击操作刷新图标,即可刷新事件列表
导出事件列表
在事件列表页面,单击勾选所需的文件篡改检测事件后,单击下载图标即可导出高危系统调用事件
更改事件状态
1.在事件列表页面,事件状态为待处理时,单击立即处理,可选择将事件状态设置为添加白名单、标记已处理和忽略等。
2.单击确定或取消,即可完成或取消事件状态更改。
3. 在事件列表页面,事件状态为已忽略时,可单击取消忽略或删除,可将事件取消忽略或删除
4. 在事件列表页面,事件状态为已处理时,可单击删除,删除该事件。
查看事件详情
- 在事件列表页面,单击进程路径左侧图标,可查看事件描述
- 在事件列表页面,单击查看详情,右侧弹出事件详情页面。
- 在事件详情页面,展示了事件详情、进程信息、父进程信息和事件描述。并可对该事件进行标记已处理、忽略和加白等操作。
- 在事件详情页面,单击加白进入新增白名单页面,需确认满足条件(进程路径、系统调用名称)和镜像生效范围。
自定义列表管理
1.在事件列表页面,单击图标,弹出自定义列表管理弹窗,在弹窗中可以自定义设定列表管理
2.在自定义列表管理弹窗,选择所需的类型后,单击确定,即可完成设置自定义列表管理。
列表重点字段说明
- 首次生成时间:该系统调用事件首次触发告警的时间。系统默认对未处理的相同告警事件进行聚合。
- 最近生成时间:聚合的告警事件最近触发告警的时间。可单击右侧排序按钮对列表事件按时间正序和时间反序进行排列。
- 事件数量:聚合时间范围内该系统调用事件触发告警的总数量。
- 事件数量:聚合时间范围内该系统调用事件触发告警的总数量。
- 状态:包括已处理、已忽略、未处理、已加白,支持按状态对列表事件进行快速筛选。
白名单管理
筛选刷新白名单
- 在白名单管理页面,单击搜索框,可通过“进程路径、系统调用名称”关键词对配置的白名单进行查询。
- 在白名单管理页面,单击操作栏右侧图标,即可刷新白名单管理列表
新增白名单
- 在白名单管理页面,单击新增白名单,右侧弹出新增白名单设置页面
- 在新增白名单设置页面,需配置白名单生效的进程路径、系统调用名称和生效范围
编辑白名单
1.在白名单管理页面,单击右侧编辑,右侧弹出编辑白名单设置页面。
- 在编辑白名单设置页面,可修改白名单生效的进程路径、系统调用名称和生效范围。
删除白名单
- 在白名单管理页面,单击右侧删除,弹出“确认删除”弹窗。
2.在“确认删除”弹窗中,单击删除或取消,即可删除或取消删除白名单。
自定义列表管理
- 在白名单管理页面,单击图标,弹出自定义列表管理弹窗,在弹窗中可以自定义设定列表管理。
列表重点字段说明 - 镜像数:白名单生效的镜像。
- 进程路径:白名单生效的进程路径。
- 系统调用名称:白名单生效的系统调用名称。
- 操作:用户可编辑、删除白名单。
K8S API异常请求
支持实时监控集群 API 异常请求行为,包括系统策略和用户自定义规则两部分。
(1) 系统策略:基于建行云安全技术及多维度多种手段,通过匿名访问、异常 UA 请求、匿名用户权限变动、凭据信息获取、敏感路径挂载、命令执行、异常定时任务、静态 pod 创建、可疑容器创建等共9个规则类型,对集群 API 异常请求行为进行监测。
(2) 用户自定义规则:支持自定义 K8s API 异常请求字段,及具体生效范围,更加灵活贴近实际业务需求。
事件列表
安全状态和事件趋势
- 安全状态将根据系统上报的安全事件,实时统计待处理的 K8s API 异常请求事件,以及按高危、中危、低危、提示来统计安全事件数量。
2.事件趋势将根据系统上报的安全事件,按命中的系统规则和自定义规则来统计近七天安全事件趋势。
事件列表
查看详情
处理事件
- 在事件列表中,单击处理,可以选择对事件进行标记已处理、添加白名单、忽略和删除记录,单击确定。
- 在二次确认窗口中,进行如下操作
(1) 标记已处理:建议您参照事件详情中的“解决方案”,人工对该事件风险进行处理,单击确定,处理后可将事件标记为已处理。
(2) 添加白名单:配置相关参数,单击确定。
(3) 忽略:单击确定,仅将已选事件进行忽略,若再有相同事件发生依然会进行告警。
(4) 删除记录:单击确定,删除已选事件记录,控制台将不再显示,无法恢复记录,请慎重操作。
规则配置
系统规则
在规则配置页面,开启或关闭系统规则和自定义规则。单击系统规则名称,可查看全部系统规则类型,如下图所示。用户也可以通过此页面,关闭部分系统规则类型。
自定义规则
除容器安全服务产品提供的系统规则,用户也可以自定义创建规则。
在规则配置页面,单击创建规则,配置相关参数,单击保存。