跳至主内容

管理建议

PHASR通过分析用户设备行为提供可操作的安全增强建议。这些建议将针对名为行为画像的用户-设备组合生成,单个建议可能包含多个行为画像。

PHASR将生成 限制访问 类建议,针对未主动使用受监控类别工具的行为画像。若用户行为变化,PHASR将自适应生成 允许访问 类建议。

PHASR的推荐基于对篡改工具、无文件攻击二进制程序、加密矿工、盗版工具、远程管理工具等行为类型相关监控规则的监测。

您可以在 PHASR推荐 页面下查看所有推荐列表。

PHASR_recommendations_page_smart_views_981499_en.png

  1. 通过 视图选项 菜单,本区域提供多种智能视图操作功能:

    • 保存 - 将当前智能视图与最新修改一并保存

    • 另存为 - 基于当前视图创建新智能视图

    • 放弃更改 - 将所有未保存的编辑回退至上个保存版本

    • 添加到收藏夹 - 将已保存的智能视图添加至收藏

    • 显示/隐藏筛选器 - 隐藏或显示筛选器菜单

    • 打开设置 - 显示 设置 面板。

      您可通过此面板自定义视图中显示的列,并启用或禁用 紧凑 视图。

  2. 智能视图 区域,智能视图为推荐页面提供全新定制层级。您可创建自定义视图或使用预设视图,并根据需要快速切换。

  3. 通过 筛选器 区域,您可自定义下方网格中显示的风险类型。

    当前可用的筛选器如下:

    筛选选项

    详细信息

    公司

    使用可搜索的下拉菜单,根据推荐所属公司名称筛选推荐列表。

    仅显示属于所选公司的推荐。此筛选器仅对合作伙伴类型公司可用。

    名称

    使用可搜索的下拉菜单,根据推荐名称筛选推荐列表。

    仅显示选定的推荐。

    创建日期

    使用日历选择两个日期。

    仅显示在选定日期之间创建的推荐。

    行为画像身份

    使用可搜索的下拉菜单,根据推荐针对的身份名称筛选推荐列表。

    仅显示为选定身份创建的推荐。

    行为画像资源

    使用可搜索的下拉菜单,根据推荐针对的资源名称筛选推荐列表。

    仅显示为选定资源创建的推荐。

    目标活动类型

    使用下拉菜单,根据目标活动类型名称筛选推荐。

    仅显示针对选定活动类型的推荐。

    采取的措施

    使用下拉菜单,根据推荐建议采取的措施筛选推荐。

    仅显示建议采取选定措施的推荐。

    推荐类型

    使用下拉菜单,根据推荐类型筛选推荐。

  4. 推荐 网格 。该网格基于PHASR学习阶段显示所有已知的PHASR推荐。

    每个发现点的可用信息在以下列中显示:

    • 名称 - 推荐项的名称。

    • 攻击面缩减 - 表示应用该推荐对总攻击面的影响程度。

    • 推荐类型 - 基于PHASR分析生成的推荐类型。

      • 允许访问 - 此选项显示建议动作为 允许 的推荐项,表示将为选定用户授予对推荐资产的访问权限。

      • 限制访问 - 此选项显示建议动作为 限制 的推荐项,表示将为选定用户授予对推荐资产的访问权限。

      • 允许访问请求 - 此选项显示用户已 请求访问 当前受限工具的推荐项,供您审核并决定是否授予访问权限。

    • 创建时间 - 推荐项生成的具体日期和时间。

    • 描述 - 推荐项的详细说明。

    • 目标活动类型 - 推荐项所针对的活动类型。

      可能取值:

      • 篡改工具

      • Living of the Land二进制文件

      • 加密矿工

      • 远程管理工具

      • 盗版工具

    • 监控规则 - 显示用于生成建议的规则名称。该列可隐藏。

    • 行为画像 - 受建议所涵盖漏洞影响的行为画像总数。该列最多显示9999项,悬停图标时将显示精确计数。

      点击网格中的行为画像图标将打开行为画像侧边面板,其中列出了生成此建议的行为画像列表。

    • 执行操作 - 根据建议采取的操作。

      可选值:

      • 需处理 - PHASR生成建议的默认状态。用户需审查建议并采取行动。

      • 已应用 - 当建议已应用于所有生成对象的行为画像时设置此状态。

      • 部分应用 - 当建议仅应用于用户选定的特定行为画像子集时设置此状态。

      当需要操作时,状态可能朝两个方向变化:可从 需处理 转为 已应用 (若操作成功完成),或从 需处理 转为 部分应用 (当建议仅应用于用户选定的部分行为画像子集时)。

    • 企业 - 生成建议的企业名称。

  5. 操作菜单 - 对于 允许访问请求 类建议,可直接点击行内菜单按钮允许或限制访问:

    • 限制访问 - 此选项将自动应用推荐建议的操作,并限制选定用户对推荐资产的访问权限。 采取的操作 字段将随之更改为 已应用部分应用 .

    • 允许访问 - 此选项将自动应用推荐建议的操作,并允许选定用户访问推荐资产。 采取的操作 字段将随之更改为 已应用部分应用 .

    注意

    PHASR在完成不同行为特征的学习阶段后会发布推荐。同一推荐可能多次生成,但仅当先前推荐状态为 已应用 部分应用 时才会如此,因为初始学习阶段在不同终端上完成时间不同。

    若推荐状态为 需操作 ,则随着学习阶段完成,系统将用更多行为特征更新该推荐。

使用智能视图

智能视图允许管理员自定义推荐显示方式。该功能可保存当前的筛选条件、列设置和布局偏好配置,实现不同场景(如按公司、推荐类型或活动类型)的快速切换。

智能视图分为:

  • 预定义 - 默认提供的标准视图。

  • 自定义 - 用户创建的配置,保存以供后续重复使用。

对智能视图所做的更改可以保存以更新现有视图(预定义视图除外),或另存为新的自定义视图。

基于收到的推荐允许访问

当PHASR检测到先前访问受限的用户行为发生变化时,可能会生成一条 允许访问 推荐。生成此推荐后,您可以查看生成该推荐的行为配置文件,并允许应用该推荐。

您可以通过以下方法之一基于特定推荐限制访问:

  1. GravityZone 控制台中,转到PHASR推荐部分。

  2. 在表格中,选择PHASR针对的目标活动类型中可用的进程。或者,点击推荐网格右侧的菜单按钮并选择 允许访问 .

  3. 点击进程名称。推荐详情侧边面板将显示。

  4. 选择 允许访问 .

  5. 在“允许访问”窗口中,在“行为配置文件”部分下,选择您希望允许访问的设备。

    您可以通过“行为配置文件”部分中的复选框,为整个部门、特定用户或特定设备上的特定用户允许访问。

    PHASR_allow_access_recommendation_981499_en.png

  6. 选择 应用 .

基于收到的推荐限制访问

当PHASR检测到当前对某些资产具有访问权限的用户行为发生变化时,它将生成一条 限制访问 推荐。生成此推荐后,您可以查看生成该推荐的行为配置文件,并允许应用该推荐。

您可以按照以下步骤基于特定推荐限制访问:

  1. GravityZone 控制台中,转到PHASR推荐。

  2. 在表格中,选择PHASR针对的某一活动类型中可用的进程。或者,点击推荐网格右侧的菜单按钮并选择“限制访问”。

  3. 点击进程名称。此时将显示推荐详情侧边面板。

  4. 选择 限制访问 .

  5. 在限制访问窗口中,于“行为配置文件”部分下,选择您希望限制访问的设备。

    您可以通过行为配置文件部分中的复选框,为整个部门、特定用户或特定设备上的特定用户限制访问。

    PHASR_remove_access_recommendation_981499_en.png

  6. 选择 应用 .

您可以通过检查Bitdefender终端安全工具界面,查看PHASR在特定终端上限制了哪些应用程序。

请求访问工具

当PHASR阻止工具时,行为配置文件可以直接从BEST界面请求访问,无论限制是自动(自动驾驶模式)还是手动(直接控制)应用的。

注意

此功能仅在BEST新用户界面中可用。请求访问仅支持运行Windows 10版本1809或更高版本或Windows Server 2019版本1809或更高版本的终端。

要使行为配置文件收到 请求访问 的警报弹窗,必须在应用的策略中启用 显示警报弹窗 选项,位置在 常规 > 代理 > 通知 .

PHASR_policy_agent_alerts_popups.png

只有在应用的安全策略中启用了 请求访问 设置时,才能使用请求访问选项,该设置位于 风险管理 > PHASR 对应PHASR分类。

PHASR_policy.png
在终端上

  1. 当行为配置文件尝试访问被PHASR根据建议拦截的进程时,BEST界面会生成PHASR事件。

    行为配置文件点击 请求访问 生成事件中的按钮。

    BEST_GUI_Event_request_access.png

  2. 在打开的对话框窗口中,行为配置文件输入简短业务理由并点击 请求访问 按钮。

    注意

    若终端离线,请求将在本地排队,待与 GravityZone 恢复连接后自动发送。

    若行为配置文件对同一应用提交多个访问请求,系统不会创建重复建议,而是自动用最新请求更新现有建议。

    BEST_GUI_Event_request_access_business_justification.png

提交后,请求将发送至 GravityZone 供管理员审核处理。

GravityZone 控制中心

  1. 通过 PHASR建议 页面,打开 请求访问 智能视图可显示收到的请求。也可使用 建议类型 筛选器并选择 允许访问请求 .

    GZ_PHASR_recommendations_request_access.png

  2. 点击推荐名称可查看请求详情,包括业务理由和可用操作。

    GZ_PHASR_recommendations_request_access_side_panel.png

  3. 选择以下操作之一:

    • 允许访问 - 此选项自动应用推荐建议的操作,允许选定行为配置文件访问推荐资产。

    • 拒绝访问 - 此选项自动拒绝请求,保持对选定行为配置文件访问推荐资产的限制。

    注意

    请求访问操作记录在 用户活动 中。要查看这些记录,请在 PHASR推荐 区域(如 请求访问已批准 请求访问已拒绝 ).

    应用操作后, 已采取操作 字段将更新为 已应用 .

    • 行为配置文件有五天的窗口期可使用该工具。

    • 若五天内未使用,该工具将再次被阻止。

    • 若行为配置文件确实使用了该工具,则只要持续使用,访问权限将保持有效。

    • 仅当行为配置文件停止使用且PHASR学习期(最短30天,根据规则最长可延至60天)结束后,PHASR才会再次阻止该工具。

查看推荐详情

您可通过打开 推荐详情 侧边面板查看推荐的更多信息。要打开侧边面板,请点击 名称 列:

PHASR_recommendations_sidebar_981499_en.png

  • 常规 - 本节包含以下信息:

    • 目标活动类型 - 推荐所针对的活动类型。

    • 攻击面缩减 - 表示应用该推荐对总攻击面的影响。

    • 创建时间 - 推荐创建的时间和日期。

    • 监控规则 - 显示用于生成推荐的规则名称。

      注意

      监控规则名称显示为链接,点击后会在新标签页中打开PHASR监控规则网格,并按所选规则预筛选。

    • 行为配置文件 - 显示推荐的总配置文件数。

    • 采取的操作 - 根据推荐采取的操作。

  • 详情 - 本节提供漏洞的书面描述及其利用方式

  • 推荐缓解措施 - 建议用于修复漏洞的操作。

  • 操作按钮 - 根据推荐状态,此按钮允许您 限制访问 .

本节 :