跳至主内容

PHASR

PHASR(主动强化与攻击面缩减)通过分析用户及系统行为来缩减组织内部攻击面。其学习阶段最短持续30天,根据规则可延长至60天,但若有足够EDR历史数据也可立即生成建议。基于每用户-设备对的观测行为,PHASR会提供针对性强化建议,以缓解诸如无文件攻击、加密矿工、盗版工具、篡改工具及远程管理工具等风险。

注意

尽管PHASR利用EDR历史数据缩短学习周期,但即使已过30-60天周期,仍不保证能获取完整历史数据。缓存区容量固定,某些情况下较少天数的数据可能已占满可用缓存空间。

组件

端点需满足以下前提条件方可运行PHASR功能:

  • GravityZone 控制中心

  • Windows端点需安装Bitdefender终端安全工具

  • 需安装并启用EDR模块

  • 策略中需启用以下功能:EDR与风险管理

功能兼容性

PHASR仅可部署在Windows 10及更高版本系统上。

安装并配置PHASR

在终端上安装此功能存在三种可能场景:

  • 终端未安装 BEST 代理程序。此时请采用 创建安装包 流程。

  • 终端已安装 BEST 代理程序,但模块列表中未包含PHASR。此时请采用 通过重新配置代理任务添加PHASR 流程。

  • 终端已安装 BEST 代理程序且包含PHASR模块。此时可直接进入配置并启用PHASR章节。

配置并启用PHASR

策略用于在终端及通用功能层面启用和配置各项功能。

GravityZone 提供一组默认策略设置,专为满足最常见客户需求而定制。这些策略默认在安装 BEST 代理后应用于终端。您无法修改或删除默认的 GravityZone 策略。

您可以直接使用这些默认策略设置稍后再配置,也可按以下步骤自定义功能:

  1. 登录 GravityZone 控制中心 .

  2. 进入 策略 从左侧菜单进入页面。

    注意

    通过分配规则应用的PHASR设置可能会覆盖或移除现有设备级限制,因为终端的控制模式会在Autopilot和直接控制之间切换。当模式变更时,设备级配置可能不再适用,并会被自动替换。请检查您的设置以避免意外覆盖。

  3. 您可以:

  4. 事件传感器 下启用并配置该功能。

    重要提示

    必须启用事件传感器才能确保PHASR正常运行。禁用事件传感器将导致PHASR无法获取风险分析所需的历史EDR数据。为保持PHASR功能,请确保事件传感器处于激活状态。

  5. 风险管理 , 启用并配置 该功能。

  6. 在同一页面中,请确保 PHASR 开关已启用,并勾选需要监控的每类活动。

    每类活动有3种可选设置:

    • 关闭 - PHASR不会收集相关数据,且对应组件不会在PHASR仪表板显示任何数据。

    • Autopilot - PHASR将收集选定类型的数据,并据此自动创建和应用推荐策略。

      注意

      选择Autopilot时,所有PHASR推荐策略均由与BEST集成的Bitdefender Autopilot技术自动应用。因此推荐网格中不会显示单独条目,因为Autopilot无需用户干预即可执行操作。您可以通过PHASR监控规则打开受限行为配置文件面板,查看Autopilot应用的限制措施。

    • 直接控制 - PHASR将收集选定类型的数据并生成推荐策略显示在控制台,相关操作需经手动批准后才会执行。

    警告

    当从 自动模式 切换至 直接控制 模式时,所有由自动模式强制执行的规则限制将被重置。将特定PHASR类别的设置更改为 关闭 会禁用限制,但不会移除它们。当再次将设置更改为关闭前的状态时,这些限制仍将可用。

  7. 保存 您的策略。

  8. 如果您创建了新策略,请将其应用于部署该功能的所有终端:

    1. 前往 网络 页面(通过左侧菜单)。

    2. 选择需要应用策略的 终端。

    3. 操作 菜单中,选择 分配策略 .

    4. 选择要应用的策略。

    5. 点击 完成 .

      注意

      更多信息,请参阅 此知识库文章 .

  9. 如果您编辑了现有策略,请确保将其应用于部署该功能的所有终端。

这将确保功能已启用并配置为最适合您公司的需求。

您可以在 Bitdefender终端安全工具 界面中检查PHASR模块是否已在终端启用。

管理PHASR建议

PHASR中的建议是基于观察到的用户和设备行为提出的安全措施。它们指示是否应限制或允许访问某些工具类别,帮助减少攻击面,同时适应用户行为的动态变化。

PHASR激活且模块安装到终端后,学习阶段开始。此阶段最短持续30天,最长可延长至60天,具体取决于规则严重性。在此期间,PHASR通过分析用户和设备活动构建行为档案,并逐渐开始生成建议。当检测到某些工具未被使用时,PHASR会生成“限制访问”建议以缩小攻击面。

重要提示

行为档案是通过用户和设备组合创建的独特配对。

行为档案示例:

  • 张三 - 台式机

  • 张三 - 笔记本电脑

  • 李四 - 笔记本电脑1

  • 李四 - 笔记本电脑2

初始学习阶段完成并生成建议后,PHASR会在后台持续学习,不断适应用户行为变化。

注意

根据可用历史数据量,PHASR可利用历史EDR数据缩短学习阶段时长,这意味着学习阶段可能缩短至数天或立即获得建议。

当PHASR检测到当前有权访问某些资产的用户行为发生变化时,将生成“限制访问”建议。生成该建议后,您可以查看相关行为档案并允许应用该建议。

当PHASR阻止某工具时,终端用户可 请求访问 (无论限制是自动应用[自动驾驶模式]还是手动应用[直接控制]),均可直接从BEST界面操作。

要查看生成的建议并通过应用它们来减少攻击面,请前往 PHASR建议 页面。

管理受监控规则

受监控规则是PHASR用于识别潜在攻击向量的机制,允许用户减少攻击面暴露。每条规则可产生多项建议。

要查看构成建议基础的规则,或手动应用/移除限制,请前往 PHASR受监控规则 页面。

测试PHASR

要测试PHASR,请按照以下步骤操作:

  1. GravityZone 控制台中,转到 PHASR监控规则 .

  2. 选择PHASR目标活动类型中可用的进程,例如 teamviewer.exe .

  3. 点击 规则名称 列下的进程名称。将显示规则详细信息侧边面板。

  4. 选择 编辑访问权限 .

  5. 编辑访问权限 窗口中,于 行为配置文件 部分下,选择您希望限制访问的设备。

  6. 选择 编辑访问权限 以应用您的更改。

  7. 在所选设备上尝试访问之前受限的进程,例如teamviewer.exe。

当PHASR在特定终端上阻止某个进程时,该限制会在Bitdefender端点安全工具界面中显示。此信息仅在该进程实际尝试运行或访问资源时出现,且更改可能需要几秒甚至几分钟才能同步。

本节内容 :