跳至主内容

PHASR

PHASR(主动强化与攻击面缩减)通过分析用户和系统行为来缩减组织内部攻击面。其学习阶段最短持续30天,根据规则可延长至60天,但若存在足够的EDR历史数据也可立即生成建议。基于每用户-设备对的行为观察,PHASR会针对性地提供强化建议,以缓解诸如无文件攻击、加密矿工、盗版工具、篡改工具及远程管理工具等风险。

注意

尽管PHASR利用EDR历史数据缩短学习周期,但即使已过30-60天周期,仍不保证能获取完整历史数据。缓存空间固定,某些情况下较少天数的数据就可能占满可用缓存。

组件

在终端启用PHASR功能需满足以下先决条件:

  • GravityZone 控制中心

  • Windows终端上安装的Bitdefender终端安全工具

  • 已安装并启用EDR模块

  • 策略中已启用以下功能:EDR和风险管理

功能兼容性

PHASR仅可部署在Windows 10及更高版本上。

安装并配置PHASR

在终端上安装此功能有三种可能场景:

  • 终端未安装 BEST 代理程序。此时请使用 创建安装包 流程。

  • 终端已安装 BEST 代理程序,但模块列表中未包含PHASR。此时请使用 通过重新配置代理任务添加PHASR 流程。

  • 终端已安装 BEST 代理程序且已包含PHASR模块。此时可直接进入配置并启用PHASR章节。

配置并启用PHASR

策略用于在终端及通用功能层面启用和配置各项特性。

GravityZone 预置了一套默认策略设置,可满足大多数客户的常见需求。这些策略默认会在安装 BEST 代理后应用于终端。您无法修改或删除默认的 GravityZone 策略。

您可以直接使用这些默认策略设置稍后再配置,或通过以下步骤自定义功能:

  1. 登录 GravityZone 控制中心 .

  2. 前往 策略 页面(通过左侧菜单栏)。

    注意

    通过分配规则应用的PHASR设置可能会覆盖或移除现有设备级限制,因为终端控制模式会在Autopilot和直接控制之间切换。当模式变更时,设备级配置可能失效并自动被替换。请检查您的设置以避免意外覆盖。

  3. 您可以选择:

  4. 事件传感器 中启用并配置该功能。

    重要提示

    必须启用事件传感器才能确保PHASR正常运行。禁用该功能将导致PHASR无法获取风险分析所需的历史EDR数据。为维持PHASR功能,请确保事件传感器处于激活状态。

  5. 风险管理 , 启用并配置 该功能。

  6. 在同一页面,请确保 PHASR 开关已启用,并勾选需要监控的每种活动类型。

    每种活动类型有3种设置选项:

    • 关闭 - PHASR不会收集相关数据,且对应组件不会在PHASR仪表板显示任何数据。

    • Autopilot - PHASR将收集选定类型的数据,并基于这些数据创建建议且自动应用。

      注意

      选择自动模式时,所有PHASR建议将由与BEST集成的Bitdefender自动驾驶技术自动执行。因此,建议网格中不会显示单独建议,因为自动模式无需用户干预即可完成执行。您可以通过PHASR监控规则打开受限行为配置文件面板,查看自动模式应用的限制。

    • 直接控制 - PHASR将收集选定类型的数据,并基于这些数据创建建议并显示在控制台中。推荐的操作仅在手动批准后执行。

    警告

    当从 自动模式 切换至 直接控制 模式时,所有由自动模式执行的规则限制将被重置。将特定PHASR类别的设置更改为 关闭 会禁用限制,但不会移除它们。当再次将设置更改为关闭前的状态时,这些限制仍将可用。

  7. 保存 您的策略。

  8. 如果创建了新策略,请将其应用于部署该功能的终端:

    1. 前往 网络 页面(通过左侧菜单)。

    2. 选择要应用策略的 终端。

    3. 操作 菜单中,选择 分配策略 .

    4. 选择要应用的策略。

    5. 点击 完成 .

      注意

      如需了解更多信息,请参阅 此知识库文章 .

  9. 若您修改了现有策略,请确保将其应用到部署该功能的所有终端。

这将确保功能已启用并根据您公司的需求进行最佳配置。

您可通过 Bitdefender终端安全工具 界面查看终端是否已启用PHASR模块。

管理PHASR建议

PHASR中的建议是基于观察到的用户和设备行为提出的安全措施。这些建议会指示应限制或允许访问特定工具类别,从而在用户行为变化时动态调整,帮助减少攻击面。

PHASR激活且模块安装到终端后,学习阶段即开始。该阶段最短持续30天,最长可达60天(取决于规则严重性)。在此期间,PHASR通过分析用户和设备活动构建行为画像,并逐步生成建议。当检测到某些工具未被使用时,PHASR会生成"限制访问"建议以缩小攻击面。

重要说明

行为画像是通过用户与设备组合形成的唯一配对。

行为画像示例:

  • 张三 - 台式机

  • 张三 - 笔记本电脑

  • 李四 - 笔记本电脑1

  • 李四 - 笔记本电脑2

初始学习阶段完成并生成建议后,PHASR会在后台持续学习,不断适应用户行为变化。

注意

根据可用的历史EDR数据量,PHASR可利用这些数据缩短学习阶段时长——这意味着学习阶段可能缩短至数天或立即获得建议。

当PHASR检测到当前有权访问特定资产的用户行为发生变化时,将生成"限制访问"建议。生成该建议后,您可以查看相关行为画像并允许应用该建议。

当PHASR阻止某工具时,终端用户可通过 访问请求 直接在BEST界面申请解除限制(无论限制是自动应用[自动驾驶模式]还是手动设置[直接控制模式])。

要查看生成的建议并通过应用这些建议来减少攻击面,请前往 PHASR建议 页面。

管理监控规则

受监控规则是PHASR用于识别潜在攻击向量的机制,允许用户减少攻击面暴露。每条规则可生成多项建议。

若要查看构成建议基础的规则,或手动应用/移除限制,请前往 PHASR受监控规则 页面。

试用PHASR

试用PHASR需遵循以下步骤:

  1. GravityZone 控制台中进入 PHASR受监控规则 .

  2. 选择PHASR目标活动类型中可用的进程,例如 teamviewer.exe .

  3. 点击 规则名称 列下的进程名,将显示规则详情侧边面板。

  4. 选择 编辑访问权限 .

  5. 编辑访问权限 窗口中,于 行为配置文件 部分选择需限制访问的设备。

  6. 选择 编辑访问权限 以应用更改。

  7. 在选定设备上尝试访问先前受限的进程(如teamviewer.exe)。

当PHASR在特定终端阻止某进程时,该限制会显示在Bitdefender终端安全工具界面中。此信息仅在进程实际尝试运行或访问资源时出现,且变更可能需要数秒甚至数分钟完成同步。

在本节中 :