云安全中心_云安全中心恶意行为防御功能介绍

云安全中心提供恶意行为防御功能。您可以根据业务需要启用、停用某个系统防御规则以及管理该规则中的资产。本文介绍如何使用恶意行为防御功能。

　　版本限制说明

仅高级版、企业版、旗舰版支持该功能，其他版本用户需要升级到高级版、企业版或旗舰版才可使用该功能。

　　应用场景
选用适合业务场景的系统防御规则

如果在日常业务场景当中，您发现某个系统防御规则不适合您的业务场景，并且会影响您资产的安全得分，您可以停用该系统防御规则。

　　处理误报的安全告警事件

在处理告警类型为精准防御的告警事件时，如果您发现云安全中心的系统防御规则检测出的安全告警事件，在经过您识别后为正常的业务进程，您可以在恶意行为防御页面的系统防御规则页签下关闭该系统防御规则，或者将告警事件中的受影响服务器，从系统防御规则防御的资产的列表中移除。

　　管理系统防御规则
1.登录云安全中心控制台。
2.在左侧导航栏，选择主动防御 > 恶意行为防御。

3.在恶意行为防御页面，单击系统防御规则页签。

　　4.在系统防御规则列表中，查找目标系统防御规则。
在系统防御规则页签的搜索框中，输入系统防御规则的名称，快速查找目标系统防御规则。
在系统防御规则页签的左侧的ATT&CK攻击阶段菜单中，通过告警的ATT&CK攻击阶段筛选目标系统防御规则。
5.管理系统防御规则。
启用或停用规则
a.选中（支持多选）目标规则。
b.单击规则列表下方的启用或停用。
管理主机
a.选中要管理的系统防御规则。
b.单击操作列的管理主机。
c.在主机管理面板上，添加或删除该规则防御的资产。

d.单击确定。

　　处理误报的安全告警事件
1.登录云安全中心控制台。
2.在左侧导航栏，选择威胁检测 > 安全告警处理。

3.在安全告警处理页面，单击精准防御下方的数字。

　　4.在下方的告警事件列表中，定位到误报的安全告警事件，单击操作列的详情，查看告警事件的详情。
以下以处理告警名称为可疑蠕虫脚本行为的告警事件为例，为您介绍如何处理误报的安全告警事件。
在告警详情面板上，您需要获取并记录以下信息，用于后续处理该告警事件。
记录检测并上报该告警事件的系统防御规则的名称。本案例中为可疑蠕虫脚本行为。
记录该告警事件的ATT&CK攻击阶段。本案例中为影响破坏。

记录受该告警事件影响的资产的名称和IP。

　　5.在云安全中心控制台左侧导航栏，单击恶意行为防御。
6.在系统防御规则列表中，查找检测上报该告警事件的系统防御规则。
您可以在恶意搜索框中输入规则名称可疑蠕虫脚本行为查找系统防御规则。
您也可以在左侧的ATT&CK攻击阶段菜单中，单击影响破坏查找系统防御规则。
7.在系统防御规则列表中定位到规则名称为可疑蠕虫脚本行为，管理该系统防御规则。
如果该系统防御规则不适合您的业务场景，您不想云安全中心再上报这个系统防御规则检测出的安全告警事件，您可以单击该规则开关列的开关图标，关闭该系统防御规则。
如果您仅想处理这一个误报的安全告警事件，您可以单击操作列的管理主机，将受该告警事件影响的资产从该系统规则防御的资产列表中移除即可。
您也可以在安全告警处理页面，单击误报的安全告警事件操作列的处理，在告警处理对话框中，处理方式选中关闭恶意行为防御，单击立即处理。告警事件处理完成后，受该告警事件影响的资产，也会从系统防御规则防御的资产列表中移除。

【镜像容器】【部署服务】【香港站群主机配置有什么要求】【服务器资源】【虚拟主机租用这几个方面你知道吗】【选择香港主机的原因】【欧洲主机与美国主机哪个好各有什么优势】【安装Linux的flash的步骤方法】【金融行业创新能力全靠香港云主机】【哪里可以租到印度尼西亚主机】【用户组用户】【服务器如何虚拟】【Linux常用命令之grep命令用法详解】【新加坡服务器】【香港主机租用托管IP分配原则】【杭州服务器租用哪家好】【后台命令】【香港主机租用三点分析出好坏哪一家最具实力】【服务器】【HTTPS加密的原理是怎样的】

版权声明：本站部分内容来源于网友推荐、互联网收集整理而来，仅供学习参考，不代表本站立场，如有内容涉嫌侵权，请联系alex-e#qq.com处理。