跳至主内容

阻止列表

阻止列表功能可有效管理并控制对事件调查中被识别为潜在威胁的文件及网络连接的访问。通过将可能有害的文件添加至阻止列表,可确保这些文件无法在网络上运行,从而降低损害风险或恶意软件的传播。

阻止列表 页面中可查看和管理阻止列表规则。相关活动记录可在 用户活动日志 .

重要提示

  • 该功能需要 企业安全高级版 许可证,或任何支持 终端检测与响应(EDR) 功能的许可证。

  • 拦截规则会递归应用于所有包含EDR功能许可证的企业。

在拦截列表中,您可以查看每个项目的以下详细信息:

  • 目标企业

  • 备注

  • 创建者

  • 创建日期

  • 规则类型

  • 来源类型

  • 哈希类型

  • 文件名

  • 文件哈希值

  • 防火墙规则名称

  • 命令行

  • 本地IP/掩码

  • 远程IP/掩码

  • 本地端口/端口范围

  • 远程端口/端口范围

  • 直连计算机

  • 远程MAC地址

  • 协议

  • 方向

  • IP版本

注意

  • 拦截列表功能支持以下文件类型: .exe,.bat,.js,.vbs,.ps1,.jar,.scr,.dll,.hta,.reg,.lnk,.msi,.cpl,.com,.pif,.tmp,.cmd .

  • 日期和时间将根据您的本地设置显示。

向拦截列表添加规则

拦截列表规则作为创建和管理潜在威胁实体拒绝访问清单的准则或标准。

向拦截列表添加哈希值

  1. 点击 添加规则 表格顶部的按钮。

  2. 从下拉菜单中选择 应用程序哈希 .

  3. 您可选择性输入与所创建拦截列表规则相关的 备注

  4. MD5 SHA256 中选择一种哈希类型,并将数值粘贴至下方输入框。

  5. 为拦截列表规则选择目标公司。

    注意

    您可为公司拦截列表添加最多100,000个哈希值。

Blocklist_rules_add_hash_rule.png

重要提示

将应用程序路径值添加到阻止列表

前提条件

需在终端设备上安装 内容控制 模块,且必须在终端的 应用程序黑名单 策略中启用 策略 才能使 基于路径的应用程序阻止列表 在终端上生效。

重要提示

Linux终端无需安装 内容控制 模块。

操作步骤

  1. 点击表格顶部的 添加规则 按钮。

  2. 从下拉菜单中选择 应用程序路径 .

  3. 可选输入与所创建阻止列表规则相关的 备注

  4. 在指定字段中添加 应用程序路径

    注意

    请确保路径格式与目标终端的操作系统匹配。

  5. 选择要应用拦截列表规则的目标公司。

    注意

    您最多可以为公司拦截列表添加10,000个应用程序路径值。

Blocklist_rules_add_app_path_rule.png

向拦截列表添加连接规则

重要提示

此功能仅适用于Windows和macOS终端。

前提条件

终端上必须安装并启用 防火墙 模块,且在终端 策略 中启用该模块,才能使拦截列表连接规则在指定终端上生效。

操作步骤

  1. 点击表格顶部的 添加规则 按钮。

    注意

    拦截列表规则将优先于策略规则执行。这意味着拦截列表中指定的任何限制或允许都将覆盖通用策略规则。

    拦截列表规则不受监控进程或适配器设置变更的影响,所有规则始终适用于所有适配器。

  2. 从下拉菜单中选择 连接 .

  3. 添加连接规则 界面中填写必要信息:

    • 防火墙规则名称 - 输入该规则在规则表中显示的名称(例如规则所适用的应用程序名称)。

    • 备注 - 您可以选择输入 备注 与您正在创建的黑名单规则相关。

    • 操作系统类型 - 从可用操作系统类型中选择一项。当选择不支持的操作系统时,相关选项将被禁用,但若切换回受支持系统,原有设置将保留。

    • 应用程序路径 - 可指定目标公司设备上应用程序可执行文件的路径。

      • 从菜单中选择预定义位置,并按需补全路径。

        例如,对于安装在 Program Files 文件夹中的应用程序,请选择 %ProgramFiles% 并通过添加反斜杠(\)和应用程序名称补全路径。

      • 在编辑字段中输入完整路径。

        建议使用系统变量(如适用)以确保路径在所有目标计算机上有效。

    • 命令行 - 若需规则仅在通过Windows命令行界面以特定指令打开指定应用程序时生效,请在编辑字段输入相应命令。否则可留空。

    • 应用程序MD5 - 若需规则基于MD5哈希值校验应用程序文件完整性,请在编辑字段输入哈希值。否则请留空。

      注意

      确保命令行与MD5哈希均与应用程序路径正确关联。为使规则正常运作,必须准确指定应用程序文件路径及其MD5哈希和关联命令行指令。

  4. 选择要应用的 连接规则 设置。

    • 本地地址

      可设置为IP或IP/掩码格式。指定规则适用的本地IP地址、IP/掩码及端口。

      若存在多个网络适配器,可取消勾选 任意 复选框并输入特定IP地址。

      同理,要筛选特定端口或端口范围的连接,请在对应字段输入目标端口或端口范围。

    • 远程地址

      指定规则适用的远程IP地址及端口。

      若要筛选与特定计算机之间的流量,请清除 任意 复选框并输入其IP地址。

    • 仅对直接连接的计算机应用规则

      可根据MAC地址筛选访问权限。

    • 协议

      选择规则适用的IP协议。

      • 若要使规则适用于所有协议,请选择 任意 .

      • 若要使规则适用于TCP,请选择 TCP .

      • 若要使规则适用于UDP,请选择 UDP .

      • 若要使规则适用于特定协议,请从 其他 菜单中选择该协议。

        注意

        IANA分配的互联网协议编号由互联网号码分配机构(IANA)分配。

        您可以在以下网址查看完整的IANA分配协议编号列表: http://www.iana.org/assignments/protocol-numbers .

    • 方向

      选择规则适用的流量方向。

      方向

      描述

      出站

      该规则仅适用于出站流量。

      入站

      该规则仅适用于入站流量。

      双向

      该规则适用于双向流量。

    • IP版本

      选择规则适用的IP版本(IPv4、IPv6或任意)。

  5. 为阻止列表规则选择目标公司。

注意

每家公司最多可添加1000条连接规则。若批量添加时遇到问题,请查看 控制中心 .

解决方法:可选择有效的子公司作为目标,或返回主表删除部分旧阻止列表。若需为先前被忽略的子公司添加阻止列表,请返回底部目标列表仅选择有效公司后重试。

Blocklist_rules_add_connection_rule.png

导入规则到阻止列表

将哈希值导入阻止列表

  1. 点击 导入CSV 按钮。

  2. 浏览并选择CSV文件。

  3. 点击 保存 .

也可将设备本地CSV文件导入阻止列表页面,但需确保CSV文件格式有效。

创建有效导入CSV文件需在前三列填入以下数据:

  1. CSV首列必须包含哈希类型: md5sha256 .

  2. 第二列需填入对应的十六进制哈希值。

  3. 第三列可填入与该哈希值相关的可选字符串信息。 注意 列在 阻止列表 页面中。

注意

导入CSV文件时,阻止列表页面中其他列对应的信息将自动填充。

若备注字符数少于256个,则视为有效。

将连接规则导入阻止列表

  1. 点击 导入 规则表格上方的

  2. 在新窗口中点击 添加 并选择CSV文件。

  3. 点击 保存 ,表格将填充有效规则。

要创建可导入的有效CSV文件,必须按以下数据填充各列:

  1. 第一列应显示 列值 中每个条目对应的文本,如下例所示。

  2. 第二列可包含与 备注 列相关的可选字符串信息,位于 阻止列表 页面中。

  3. 第三列应包含每个特定条目的可接受值。

    注意

    导入连接阻止列表CSV文件时,请勿包含列值名称(标题)。CSV文件应仅包含每列的可接受值,且严格遵循格式定义的顺序。

列编号

列值

注意

允许值

1

规则名称

必填字段

最大允许长度为256个字符。

文本

2

备注

可选字段

最大允许长度为256个字符。

文本

3

路径

可选字段

最大允许长度为260个字符。

绝对路径、系统变量及 系统 关键字。

注意

当规则同时针对Windows和macOS时不支持。

4

命令行

可选字段

包含命令的文本。示例: cmd--line

注意

当规则同时针对Windows和macOS时不支持。

5

applicationMD5

可选字段

最大允许长度为32个十六进制字符。

md5

注意

当规则同时针对Windows和macOS时不支持。

6

protocol

必填字段

  • any

  • tcp

  • udp

  • custom

7

customprotocol

仅当先前在 custom 字段中选择了 protocol 值时,此字段为必填。

可接受的值为此处列出的十进制值 here .

8

direction

必填字段

  • both

  • inbound

  • outbound

9

IP版本

必填字段

  • 任意

  • IPv4

  • IPv6

10

本地地址任意

必填字段

允许的值为 .

11

本地地址IP掩码

仅当您先前在 字段中选择了 本地地址任意 时,此字段为必填项。

此时您必须输入任意有效的IP地址或子网。

多个条目可用分号(;)分隔添加。

有效的IP地址或子网。

12

本地地址端口范围

可选字段

多个条目可用分号(;)分隔添加。

接受任何有效的端口号或端口范围(例如:443-446)。

13

远程地址任意

必填字段

可接受值为 .

14

远程地址IP掩码

仅当您先前在 字段中选择 任意远程地址 时,此字段为必填项。此时您必须输入任意有效的IP地址或子网。

有效的IP地址或子网。

15

远程地址端口范围

可选字段

多个条目可通过分号(;)分隔添加。

支持任意有效的端口号或端口范围(例如:443-446)。

16

直连启用

必填字段

可接受值为 .

17

直连远程MAC地址

可选字段

仅当您之前在 选项中选择了 directlyConnectedEnable 时,才需填写此字段。

可输入任意有效MAC地址,若以分号(;)分隔,最多可添加100条记录。

注意

macOS系统不支持此字段。

18

operatingSystem

可选字段

示例:Windows; macOS。默认值:Windows

将应用程序路径值导入阻止列表

  1. 点击 导入 规则表格上方的

  2. 在新窗口中点击 添加 并选择CSV文件。

  3. 点击 保存 ,表格将自动填充有效规则。

创建可导入的有效CSV文件需按以下步骤填写列数据:

  1. 第一列必须包含有效的应用程序路径。符合以下标准的路径视为有效:

    • 字符数少于260个。

    • 包含Windows绝对路径。

    • 不包含任何通配符

  2. 第二列为可选列,可填写规则备注。

    备注字符数少于256个即为有效。

在本章节中 :