跳至主内容

管理建议

PHASR通过分析用户设备行为提供可执行的安全增强建议。这些建议将针对名为行为配置文件的用户设备组合发布,每条建议可包含多个行为配置文件。

PHASR将生成 限制访问 针对未主动使用受监控类别工具的行为配置文件的建议。若用户行为发生变化,PHASR会通过生成 允许访问 建议来动态调整。

PHASR的建议基于篡改工具、无文件攻击工具、加密矿工、盗版工具、远程管理工具等行为类型相关的监控规则。

可在 PHASR建议 页面查看完整建议列表。

PHASR_recommendations_page_smart_views_981499_en.png

  1. 视图选项 菜单。此部分提供多种智能视图操作功能:

    • 保存 - 将当前智能视图与最新更改一并保存

    • 另存为 - 基于当前视图创建新智能视图

    • 放弃更改 - 将所有未保存的编辑回滚至上个保存版本

    • 添加到收藏夹 - 将已保存的智能视图添加至收藏夹

    • 显示或隐藏筛选器 - 隐藏或显示筛选器菜单

    • 打开设置 - 显示 设置 面板

      可通过此面板自定义视图中显示的列,并启用或禁用 紧凑 视图

  2. 智能视图 部分。智能视图为推荐页面提供全新定制层级,可创建自定义视图或使用预设视图,并根据需求快速切换

  3. 筛选器 部分。可通过这些选项自定义下方网格中显示的风险项

    当前提供以下筛选器:

    筛选选项

    详情

    公司

    使用可搜索的下拉菜单,根据推荐所属公司名称筛选推荐列表

    仅显示属于所选公司的推荐项。此筛选功能仅对合作伙伴类型公司开放。

    名称

    使用可搜索的下拉菜单根据推荐项名称筛选列表。

    仅显示选定的推荐项。

    创建日期

    使用日历选择起止日期。

    仅显示在选定日期范围内创建的推荐项。

    行为画像身份

    使用可搜索的下拉菜单根据推荐项对应的身份名称筛选列表。

    仅显示为选定身份生成的推荐项。

    行为画像资源

    使用可搜索的下拉菜单根据推荐项对应的资源名称筛选列表。

    仅显示为选定资源生成的推荐项。

    目标活动类型

    使用下拉菜单根据目标活动类型名称筛选推荐项。

    仅显示针对选定活动类型的推荐项。

    采取的措施

    使用下拉菜单根据推荐建议采取的措施筛选推荐项。

    仅显示建议采取选定措施的推荐项。

    推荐类型

    使用下拉菜单根据推荐项类型进行筛选。

  4. 推荐项表格 表格根据PHASR学习阶段显示所有已知PHASR推荐项。

    每个发现项的可用信息通过以下列显示:

    • 名称 - 推荐项的名称。

    • 攻击面缩减 - 表示应用该推荐项对总攻击面的影响程度。

    • 推荐类型 - 基于PHASR分析生成的建议类型。

      • 允许访问 - 此选项显示建议中 允许 作为建议操作,表示将为选定用户授予对推荐资产的访问权限。

      • 限制访问 - 此选项显示建议中 限制 作为建议操作,表示将为选定用户授予对推荐资产的访问权限。

      • 允许访问请求 - 此选项显示用户已 请求访问 当前受限工具的建议,供您审查并决定是否授予访问权限。

    • 创建时间 - 建议创建的日期和时间。

    • 描述 - 建议的描述信息。

    • 目标活动类型 - 建议所针对的活动类型。

      可能取值:

      • 篡改工具

      • Living of the Land二进制文件

      • 加密挖矿程序

      • 远程管理工具

      • 盗版工具

    • 监控规则 - 显示用于生成建议的规则名称。此列可隐藏。

    • 行为配置文件 - 受建议所涵盖漏洞影响的行为配置文件总数。该列最多显示9999项,悬停图标时将显示精确计数。

      点击网格中的行为配置文件图标将打开行为配置文件侧面板,其中列出了生成此建议的行为配置文件。

    • 采取的措施 - 根据建议所采取的行动。

      可能的值:

      • 需采取行动 - PHASR生成建议的默认状态。用户需审查建议并对其采取行动。

      • 已应用 - 当建议已应用于生成该建议的所有行为配置文件时,设置此状态。

      • 部分应用 - 当建议仅应用于用户选择的特定行为配置文件集时,设置此状态。

      当需要采取行动时,状态可能朝两个方向之一变化。它可以从 需采取行动 变为 已应用 如果行动成功完成,或者可以从 需采取行动 变为 部分应用 当建议仅应用于用户选择的特定行为配置文件子集时。

    • 公司 - 提出建议的公司。

  5. 操作菜单 - 对于 允许访问请求 建议,您可以直接通过点击内联菜单按钮允许或限制访问:

    • 限制访问 - 此选项将自动应用建议所建议的操作,并限制所选用户对推荐资产的访问。 采取的措施 字段将更改为 已应用部分应用 .

    • 允许访问 - 此选项将自动应用推荐建议的操作,并允许选定用户访问推荐资产。 采取的操作 与推荐相关联的字段将变为 已应用部分应用 .

    注意

    PHASR在完成不同行为画像的学习阶段时会发出推荐。同一推荐可能多次生成,但仅当先前推荐状态为 已应用 部分应用 时才会再次生成,因为初始学习阶段在不同终端上完成时间不同。

    若推荐状态为 需采取行动 ,则随着学习阶段完成,将更新更多行为画像。

使用智能视图

智能视图允许管理员自定义推荐显示方式。智能视图保存当前筛选条件、列和布局偏好配置,可快速切换不同上下文(例如按公司、推荐类型或活动类型)。

智能视图可分为:

  • 预定义 - 默认提供的标准视图。

  • 自定义 - 用户创建的配置,可供后续重复使用。

对智能视图的修改可保存以更新现有视图(预定义视图除外),或另存为新的自定义视图。

基于收到的推荐允许访问

当PHASR检测到先前访问受限的用户行为发生变化时,可能生成 允许访问 建议。一旦生成此建议,您可以查看生成该建议的行为配置文件,并允许应用该建议。

您可以通过以下方法之一根据特定建议限制访问:

  1. GravityZone 控制台中,转到PHASR建议部分。

  2. 在表格中,选择PHASR目标活动类型中可用的进程。或者,点击建议网格右侧的菜单按钮并选择 允许访问 .

  3. 点击进程名称。将显示建议详细信息侧面板。

  4. 选择 允许访问 .

  5. 在允许访问窗口中,在行为配置文件部分下,选择您希望允许访问的设备。

    您可以使用行为配置文件部分中的复选框,为整个部门、特定用户或特定设备上的特定用户允许访问。

    PHASR_allow_access_recommendation_981499_en.png

  6. 选择 应用 .

根据收到的建议限制访问

当PHASR检测到当前有权访问某些资产的用户行为发生变化时,它将生成一个 限制访问 建议。一旦生成此建议,您可以查看生成该建议的行为配置文件,并允许应用该建议。

您可以通过以下步骤根据特定建议限制访问:

  1. GravityZone 控制台中,转到PHASR建议。

  2. 在表格中,选择PHASR目标活动类型中可用的进程。或者,点击建议网格右侧的菜单按钮并选择限制访问。

  3. 点击进程名称。将显示建议详细信息侧面板。

  4. 选择 限制访问 .

  5. 在“限制访问”窗口中,于“行为配置文件”部分下,选择您希望限制访问的设备。

    您可以通过“行为配置文件”部分提供的复选框,为整个部门、特定用户或特定设备上的特定用户限制访问权限。

    PHASR_remove_access_recommendation_981499_en.png

  6. 选择 应用 .

通过检查Bitdefender终端安全工具界面,您可以查看PHASR在特定终端上限制了哪些应用程序。

请求访问工具

当PHASR阻止某个工具时,无论限制是自动(Autopilot)还是手动(Direct Control)应用的,行为配置文件均可直接从BEST界面请求访问权限。

注意

此功能仅在BEST新用户界面中可用。“请求访问”仅支持运行Windows 10版本1809或更高版本或Windows Server 2019版本1809或更高版本的终端。

要使行为配置文件接收到 请求访问 的警报弹窗,必须在所应用策略的 显示警报弹窗 选项中启用该功能,路径为 常规 > 代理 > 通知 .

PHASR_policy_agent_alerts_popups.png

仅当所应用安全策略中 请求访问 设置为启用时,该选项才可用,路径为 风险管理 > PHASR 下对应的PHASR类别。

PHASR_policy.png
在终端上

  1. 当行为配置文件尝试访问PHASR基于建议阻止的进程时,BEST界面会生成一个PHASR事件。

    行为配置文件点击 请求访问 生成事件中的按钮。

    BEST_GUI_Event_request_access.png

  2. 在打开的对话框窗口中,行为配置文件输入简短业务理由并点击 请求访问 按钮。

    注意

    若端点离线,请求将在本地排队,待与 GravityZone 恢复连接后自动发送。

    若行为配置文件对同一应用提交多个访问请求,系统不会创建重复推荐,而是自动用最新请求更新现有推荐。

    BEST_GUI_Event_request_access_business_justification.png

提交后,请求将发送至 GravityZone 供管理员审核处理。

GravityZone 控制中心

  1. PHASR推荐 页面中,打开 请求访问 智能视图以显示收到的请求。您也可通过 推荐类型 筛选器选择 允许访问请求 .

    GZ_PHASR_recommendations_request_access.png

  2. 点击推荐名称可查看请求详情,包括业务理由和可执行操作。

    GZ_PHASR_recommendations_request_access_side_panel.png

  3. 选择以下操作之一:

    • 允许访问 - 该选项将自动执行推荐建议的操作,允许选定行为配置文件访问推荐资产。

    • 拒绝访问 - 此选项会自动拒绝请求,保持对推荐资产上所选行为档案的访问限制。

    注意

    请求访问操作会被记录在 用户活动 中。要查看这些记录,请在 PHASR推荐 区域(例如 请求访问已批准 请求访问已拒绝 ).

    应用操作后,该推荐的 已采取操作 字段将更新为 已应用 .

    • 行为档案有五天的窗口期可以使用该工具。

    • 如果五天内未使用该工具,它将再次被阻止。

    • 如果行为档案确实使用了该工具,只要持续使用,访问权限将保持活跃。

    • 只有当行为档案停止使用该工具且PHASR学习期(最短30天,根据规则最长可达60天)结束后,PHASR才会再次阻止该工具。

查看推荐详情

您可以通过打开 推荐详情 侧边面板查看推荐的更多信息。要打开侧边面板,请点击 名称 列下的推荐名称:

PHASR_recommendations_sidebar_981499_en.png

  • 常规 - 此部分包含以下信息:

    • 目标活动类型 - 推荐所针对的活动类型。

    • 攻击面缩减 - 表示应用该建议对总攻击面的影响。

    • 创建时间 - 建议创建的时间和日期。

    • 监控规则 - 显示用于生成建议的规则名称。

      注意

      监控规则名称显示为链接,点击后会在新标签页中打开PHASR监控规则网格,并按所选规则预筛选。

    • 行为配置文件 - 显示建议对应的配置文件总数。

    • 采取的措施 - 根据建议采取的行动。

  • 详细信息 - 本节提供漏洞的书面描述及其可利用方式

  • 建议缓解措施 - 建议修复漏洞的行动。

  • 操作按钮 - 根据建议的状态,此按钮允许您 限制访问 .

本节内容 :