RASP通過獲取應用運行上下文及hook函數的參數內容,結合語義分析、行為基線等技術,判斷應用行為是否存在危險。因此RASP的告警誤報率較低,大部分告警都為真實攻擊。應用防護功能提供了詳細的攻擊信息,包括攻擊者IP、惡意特征、傳入參數、調用堆棧等,建議您參考告警詳情頁的信息及時處理告警。本文介紹處理攻擊告警的具體方法。
查看并處理攻擊告警
下文以處理惡意文件上傳告警為例,介紹查看和處理攻擊告警的具體操作。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇 。
在攻擊告警頁簽,單擊目標告警操作列的詳情。
在告警詳情頁面,查看告警信息。
您需要重點關注詳細信息中的以下字段,并結合告警分析使用AI大模型提供的告警解析和判斷依據等內容,判斷該告警是否為正常告警。
信息類型
字段名
說明
處理方法
基礎告警
攻擊者IP
訪問應用的來源IP。
確定該IP是否為訪問業務的正常IP。
漏洞名稱
該訪問行為利用的漏洞名稱。僅利用漏洞進行的攻擊會存在漏洞名稱。
建議您及時處理應用漏洞,縮小服務器的可被利用的攻擊面。單擊漏洞編號可查看漏洞的詳細信息。
進階告警
惡意特征
攻擊者發送到應用程序中的惡意數據。
查看進階告警信息,判斷該告警是否為業務正常調用行為。
在此示例中判斷在/usr/local/tomcat/webapps/upload/addservlet.jsp路徑上傳的可執行文件addservlet.jsp是否為業務的正常行為。
如果是正常行為,可以將惡意特征信息加入白名單;加入白名單后,應用防護將不會對此類正常行為產生告警。
如果是非正常行為,則可能是攻擊試探或者真實攻擊。
如果該告警的處理方式是監控,則該惡意文件已經可能被執行了,您需要盡快手動刪除該文件;
如果處理方式是阻斷,則應用防護功能已阻斷此次攻擊,該文件未成功存儲在您的服務器中。
觸發函數
應用行為觸發告警的關鍵埋點函數。RASP在監控到此類函數調用時,會進行檢查和處理,以判斷是否存在安全風險。
傳入參數
應用在處理用戶請求時產生的行為和事件日志。傳入參數是包含一個鍵值對的JSON對象。
調用堆棧
事件發生時的應用程序調用堆棧,記錄了函數調用的序列。
更多信息
請求URL
訪問應用的請求信息。
查看該事件訪問應用的請求信息,確定訪問入口是否為合法來源。如果不合法,阻止或限制對該入口的訪問。
將告警加入白名單
如果確認攻擊告警為正常的業務訪問,您可以將該告警加入白名單,以免后續再產生類似告警。支持根據惡意特征、傳入參數和請求URL進行加白,加白前請獲取告警詳情中的惡意特征、傳入參數和請求URL數據。
根據惡意特征、傳入參數加白需將RASP探針升級到0.5.2及以上版本。重啟應用后探針可自動升級到最新版本。關于RASP探針版本的更多信息,請參見查看探針版本。
下文為您介紹基于單個告警進行加白的操作流程。如果需要同時對多個應用分組進行加白,您可以單擊告警列表上方的白名單列表,通過配置白名單入口進行操作。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇 。
在攻擊告警頁簽,單擊目標告警操作列的
。在加入白名單面板,配置白名單的規則,并單擊確定。
配置說明如下:
您可以在惡意特征、傳入參數和請求URL中任選一種加白模式進行加白。應用防護功能默認會獲取告警詳情頁的數據,填充對應加白模式下的加白字段。默認填充的字段可以對觸發當前告警的行為進行精準加白。
您可以通過調整匹配方式和匹配內容等字段來擴大加白的范圍。
例如,惡意文件上傳告警的惡意特征為/usr/local/tomcat/webapps/upload/1.jsp。如果您確認訪問惡意特征路徑下的行為均為正常業務行為,您可以進行如下設置:
匹配方式修改為:前綴匹配
匹配內容修改為:/usr/local/tomcat/webapps/upload/
白名單支持的匹配方式說明如下:
完全匹配:傳輸內容與匹配內容中的字符串完全一致時,不會觸發告警。
部分匹配:當傳輸內容包含匹配內容中的字符串時,不會觸發告警。
前綴匹配:傳輸內容以匹配內容設置的字符串開始時,不會觸發告警。
后綴匹配:傳輸內容以匹配內容設置的字符串結束時,不會觸發告警。
說明配置白名單規則后,您可以在白名單列表頁面查看并管理對應的白名單規則。具體操作,請參見管理白名單規則。
管理白名單規則
查看白名單規則列表
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇 。
在攻擊告警頁簽,單擊白名單列表。
在白名單列表頁面,查看白名單規則列表。
支持通過以下操作管理白名單:
開啟或關閉:打開或關閉目標白名單規則的規則開關列的開關,可以開啟或關閉白名單規則。
編輯或刪除:單擊目標白名單規則操作列的編輯或刪除,可修改或刪除白名單規則。
新增白名單規則:單擊配置白名單,可新增白名單規則。具體操作,請參見新增白名單規則。
新增白名單規則
新增白名單規則可以為多個應用分組中的多個檢測類型設置白名單。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇 。
在攻擊告警頁簽,單擊白名單列表。
在白名單列表頁面,單擊配置白名單。
在配置白名單面板,配置白名單的規則,并單擊確定。
配置項
說明
規則名稱
輸入規則的名稱。
加白模式
選擇加白模式,可選項:
惡意特征
傳入參數
請求URL
檢測類型
選擇白名單生效的檢測類型。單擊選擇,可前往檢測類型面板選擇白名單規則生效的檢測類型。
匹配方式
選擇白名單規則的匹配方式,可選項:
完全匹配:傳輸內容與匹配內容中的字符串完全一致時,不會觸發告警。
部分匹配:當傳輸內容包含匹配內容中的字符串時,不會觸發告警。
前綴匹配:傳輸內容以匹配內容設置的字符串開始時,不會觸發告警。
后綴匹配:傳輸內容以匹配內容設置的字符串結束時,不會觸發告警。
匹配內容
根據選擇的加白模式設置匹配內容。可參考告警詳情頁惡意特征、傳入參數或請求URL的值,設置匹配內容。
生效應用分組
選擇白名單生效的應用分組。單擊選擇,可前往生效應用分組面板選擇白名單規則生效的應用分組。
相關文檔
針對內存馬攻擊,云安全中心應用防護功能提供了內存馬防御能力。您可以開啟內存馬檢測,以獲取更全面的檢測能力。更多信息,請參見內存馬防御。