配置
默认规则
默认规则由 Bitdefender 创建并维护。这些规则覆盖最流行的操作系统、应用程序、服务及用户实体,确保终端完整性。
有关默认操作系统规则和默认应用程序规则的更多信息,请参阅 完整性监控默认规则 .
注意
部分规则需进行额外配置才能应用于终端。此外,已弃用的规则需予以删除。
自定义规则
自定义规则可由具有合作伙伴、公司管理员或网络管理员角色的用户创建及管理。
需确保待创建的自定义规则未被默认规则覆盖。运行重复规则会影响产品整体性能。
关键严重性的自定义规则会针对注册表键值、文件及目录生成 EDR 警报。您可在 节点详情 面板的 EDR 事件中查看这些警报。
注意
注册表键与注册表值仅适用于Windows终端。
有关生成 EDR 事件时的限制详情,请参阅 完整性监控 限制 章节(位于 完整性监控 .
创建规则
可通过以下步骤创建自定义规则:
-
登录 GravityZone 控制中心 .
-
从左侧菜单进入 策略 > 完整性监控 规则 页面。
-
点击 操作 下拉菜单。
-
选择 新建规则 .
创建自定义规则时可配置以下字段:
-
规则名称 :必须唯一,不可存在同名规则。
-
描述 :规则的概述说明。
-
严重性 :可选值为:低、中、高或严重。
-
实体类型 :可选类型包括:
-
文件
-
目录
-
注册表键
-
注册表值
-
选定实体类型后,将显示以下字段:
-
文件
此字段提供以下选项:
-
操作系统适用性 :Windows或Linux。
-
键值 :此处可添加前缀和/或扩展类型。
-
监控范围 :
-
Windows系统:可监控文件的创建、修改、删除、重命名操作,同时支持监控文件哈希值、大小及属性变化。
注意
可自动删除或隔离非预期创建的文件,并支持修正文件属性变更。
-
Linux系统:可监控文件的创建、修改、删除、重命名操作,以及哈希值、大小、文件权限、所有者和所属组的变更。
注意
可自动删除或隔离非预期创建的文件,并支持修正权限、所有者和所属组变更。
-
-
-
目录
此字段提供以下选项:
-
操作系统适用性 :Windows或Linux。
-
目录路径 :被监控目录的路径。勾选该字段下方的复选框可包含子目录。
-
监控范围 :
-
Windows系统:可监控目录的创建、删除、重命名及其属性变更。
注意
支持修正目录属性变更。
-
Linux系统:可监控目录的创建、删除、重命名及其权限、所有者和所属组变更。
注意
支持修正权限、所有者和所属组变更。
-
-
-
注册表键
此字段提供以下选项:
-
注册表项 :添加您想要监控的注册表项。
-
监控范围 :您可以监控注册表项的创建和删除,以及其子项和键值是否发生更改。
-
-
注册表值
此字段提供以下选项:
-
注册表值 :添加您想要监控的注册表值。
-
监控范围 :您可以监控注册表值的创建和删除、最后修改时间,或注册表哈希及注册表值大小是否发生更改。
注意
-
当注册表值哈希发生变化时,您可以选择进行修正。此外,对于大小变化,您可以选择自动删除该值。
-
当注册表值被修正时,它将恢复到生成警报之前的值。规则处理模式可能会影响此修正。
-
-
编辑规则
您可以按照以下步骤编辑规则:
-
登录 GravityZone 控制中心 .
-
转到 策略 > 完整性监控 规则 页面(通过左侧菜单)。
-
选择您想要修改的规则。
-
在 配置 下修改规则。
-
点击 保存 .
删除规则
您可以通过以下步骤删除自定义规则:
-
登录 GravityZone 控制中心 .
-
从左侧菜单进入 策略 > 完整性监控 规则 页面。
-
勾选要删除规则旁的复选框。
-
点击 操作 下拉菜单。
-
选择 删除 .
-
按下 删除 按钮确认操作。
限制器
完整性监控 已实现限制器功能。该保护层专为减少警报疲劳而设计,旨在覆盖人为错误场景。
例如,用户无法监控
.log
扩展名的文件。此类文件用于持续日志记录且频繁变更,监控它们将产生大量事件,可能导致终端被通知和/或事件淹没。
规则集
规则集是您可以分配给 GravityZone 策略的规则集合。任何需要分配给策略的规则都必须属于某个规则集。
注意
即使仅包含默认规则,也必须创建规则集才能启用 实时监控 (在策略设置中)。
创建规则集
请按以下步骤创建规则集:
-
打开 完整性监控 规则 窗口。
-
通过勾选规则旁边的复选框,选择要添加到规则集中的每条规则。
-
点击 操作 并选择 从规则新建规则集 .
-
在新页面中,填写 规则集名称 和 描述 (可选)。
注意
这些字段只能包含字母数字字符
-
点击 保存 .
编辑规则集
您可以通过以下步骤编辑规则集:
-
登录 GravityZone 控制中心 .
-
转到 策略 > 完整性监控 规则 页面(通过左侧菜单)。
-
选择所需的规则集。
-
点击
更多
-
选择 编辑 .
-
编辑 规则集名称 和 描述 .
-
点击 保存 .
删除规则集
您可以通过以下步骤删除规则集:
-
登录 GravityZone 控制中心 .
-
进入 策略 > 完整性监控 规则 页面(通过左侧菜单)。
-
选择目标规则集。
-
点击
更多
-
选择 删除 .
-
按下 删除 按钮确认操作。
为规则集分配或移除现有规则
分配现有规则至规则集需执行以下步骤:
-
登录 GravityZone 控制中心 .
-
进入 策略 > 完整性监控 规则 页面(通过左侧菜单)。
-
勾选需分配到规则集的规则旁的选择框。
-
点击 操作 下拉菜单。
-
选择 将规则分配至规则集 .
-
从下拉菜单中选择您希望分配规则的规则集。
-
点击 分配 .
要从规则集中移除规则,您需要:
-
登录 GravityZone 控制中心 .
-
进入 策略 > 完整性监控 规则 页面(通过左侧菜单)。
-
勾选您希望从规则集中移除的规则旁边的复选框。
-
点击 操作 下拉菜单。
-
选择 取消分配规则 .
将规则集分配至策略
要为策略分配 完整性监控 规则集分配给策略时,需先在策略设置中启用 实时监控 功能,随后分配所需规则集:
-
登录 GravityZone 控制中心 .
-
通过左侧菜单进入 策略 页面。
-
新建策略或编辑现有策略。
-
在策略设置中,导航至 完整性监控 模块。
-
切换开关并从下拉列表添加现有规则集。
-
根据需求配置其他策略选项。
-
保存策略并应用到终端。
策略应用(或重新应用)后,实体基线属性将重置。因此后续触发的告警将以更新后的属性作为比对基准。此重置操作不受 完整性监控 是否暂停的影响。
此外,策略应用后终端会开始向 GravityZone 发送事件,您可在 完整性监控 事件 页面查看。
重要提示
通过配置配置文件或策略内添加的文件、文件夹及进程的实时访问排除项,同样适用于 完整性监控 模块。 完整性监控 基于扩展伯克利数据包过滤器(eBPF)探针。这些排除项会传播至eBPF探针(Kprobes),从而不再生成触发 完整性监控 警报的对应事件。
规则处理模式
规则处理模式决定了事件在 完整性监控 事件 页面中被处理和显示的速度:
-
快速 - 事件处理尽可能接近实时。
-
普通 - 将事件缓冲3秒后处理。此为默认设置。
-
慢速 - 将事件缓冲6秒后处理。
为优化资源占用,所有规则处理模式均采用事件队列和压缩机制。
对已处理事件会应用一组去重操作,以提供最佳信息并避免警报疲劳:
-
同类事件会被压缩。
例如,对于同一实体的多次 文件哈希已更改 事件, 完整性监控 仅记录最新事件。
-
由于基线变更,某些操作将不再被处理。
例如,在 文件哈希已更改 事件连续发生后,紧接着出现 文件已删除 或 文件被重命名 事件会被丢弃。此时由于对象已不存在,无法建立文件哈希变更的基线。
去重操作适用于 文件 , 目录 , 注册表键 及 注册表值 事件(所有处理模式均适用)。 快速 处理模式会实时处理事件无延迟。但当所有可用资源都忙于处理事件时,新事件将开始排队。这些排队事件会在资源释放后立即处理,但仍需接受去重操作。