跳至主内容

阻止列表

阻止列表功能可有效管理并控制对事件调查中被识别为潜在威胁的文件及网络连接的访问。通过将可能有害的文件添加至阻止列表,可确保这些文件无法在网络上运行,从而降低损害风险或恶意软件的传播。

阻止列表 页面中,您可以查看和管理阻止列表规则。相关活动记录可在 用户活动日志 .

重要提示

  • 该功能需要 企业安全高级版 许可证,或任何支持 终端检测与响应(EDR) 功能的许可证。

  • 拦截规则会递归应用于所有包含EDR功能的授权企业。

在拦截列表表中,您可以查看每个条目的以下详细信息:

  • 目标企业

  • 备注

  • 创建者

  • 创建日期

  • 规则类型

  • 来源类型

  • 哈希类型

  • 文件名

  • 文件哈希值

  • 防火墙规则名称

  • 命令行

  • 本地IP/掩码

  • 远程IP/掩码

  • 本地端口/端口范围

  • 远程端口/端口范围

  • 直连计算机

  • 远程MAC地址

  • 协议

  • 方向

  • IP版本

备注

  • 拦截列表功能支持以下文件类型: .exe、.bat、.js、.vbs、.ps1、.jar、.scr、.dll、.hta、.reg、.lnk、.msi、.cpl、.com、.pif、.tmp、.cmd .

  • 日期和时间将根据您的本地设置显示。

向阻止列表添加规则

阻止列表规则作为创建和管理潜在威胁实体访问拒绝名单的指导准则或标准。

向阻止列表添加哈希值

  1. 点击 添加规则 表格顶部的按钮。

  2. 从下拉菜单中选择 应用程序哈希 .

  3. 您可以选择输入与所创建阻止列表规则相关的 备注

  4. MD5 SHA256 中选择,并将值粘贴到下方框中。

  5. 为阻止列表规则选择目标公司。

    注意

    您可为公司向阻止列表添加最多10万个哈希值。

Blocklist_rules_add_hash_rule.png

重要提示

向阻止列表添加应用程序路径值

前提条件

需在终端上安装 内容控制 模块且 应用程序黑名单 必须在端点的 策略 中启用,才能使 基于路径的应用程序阻止列表 在端点上生效。

重要提示

在Linux端点上,不需要 内容控制 模块。

步骤

  1. 点击表格顶部的 添加规则 按钮。

  2. 从下拉菜单中选择 应用程序路径 .

  3. 您可以选择性地输入与所创建的阻止列表规则相关的 备注

  4. 在指定字段中添加 应用程序路径

    注意

    请确保路径格式与目标端点的操作系统匹配。

  5. 为阻止列表规则选择目标公司。

    注意

    您可以为公司阻止列表添加最多10,000个应用程序路径值。

Blocklist_rules_add_app_path_rule.png

将连接规则添加到阻止列表

重要提示

此功能仅适用于Windows和macOS终端。

先决条件

需在终端上安装 防火墙 模块,并在终端的 策略 中启用,方可使阻止列表连接规则在指定终端生效。

操作步骤

  1. 点击表格顶部的 添加规则 按钮。

    注意

    阻止列表规则将优先于策略规则执行。这意味着阻止列表中指定的任何限制或允许将覆盖通用策略规则。

    阻止列表规则不受监控进程或适配器设置变更的影响,所有规则始终适用于所有适配器。

  2. 从下拉菜单中选择 连接 .

  3. 添加连接规则 界面中填写必要信息:

    • 防火墙规则名称 - 输入该规则在规则表中显示的名称(例如规则所适用的应用程序名称)。

    • 备注 - 可选输入与所创建阻止列表规则相关的 备注

    • 操作系统类型 - 选择可用操作系统类型之一。当选择不支持的操作系统时,相关选项将禁用,但切换回支持系统时原有数值会保留。

    • 应用程序路径 - 可指定目标公司设备上应用程序可执行文件的路径。

      • 从菜单中选择预定义位置,并根据需要补全路径。

        例如,对于安装在 Program Files 文件夹中的应用程序,请选择 %ProgramFiles% 并通过添加反斜杠 (\) 和应用程序名称来完成路径。

      • 在编辑字段中输入完整路径。

        建议使用系统变量(如适用)以确保路径在所有目标计算机上均有效。

    • 命令行 - 若希望规则仅在通过Windows命令行界面使用特定命令打开指定应用程序时生效,请在编辑字段中输入相应命令。否则可留空。

    • 应用程序MD5 - 若希望规则根据应用程序的MD5哈希值校验文件数据完整性,请在编辑字段中输入该值。否则请留空。

      注意

      请确保命令行和MD5哈希均与应用程序路径正确关联。为使规则正常运作,必须准确指定应用程序文件路径及其MD5哈希和任何相关命令行指令。

  4. 选择要应用的 连接规则 设置。

    • 本地地址

      可设置为IP或IP/掩码格式。指定规则适用的本地IP地址、IP/掩码及端口。

      若存在多个网络适配器,可取消勾选 任意 复选框并输入特定IP地址。

      同理,若需筛选特定端口或端口范围的连接,请在对应字段输入目标端口或端口范围。

    • 远程地址

      指定规则适用的远程IP地址及端口。

      要筛选与特定计算机之间的流量,请取消勾选 任意 复选框并输入其IP地址。

    • 仅对直接连接的计算机应用规则

      可根据MAC地址筛选访问权限。

    • 协议

      选择规则适用的IP协议。

      • 若希望规则适用于所有协议,请选择 任意 .

      • 若希望规则适用于TCP,请选择 TCP .

      • 若希望规则适用于UDP,请选择 UDP .

      • 若希望规则适用于特定协议,请从 其他 菜单中选择该协议。

        注意

        IANA分配的互联网协议编号由互联网号码分配机构(IANA)分配。

        您可以在以下网址查看完整的IANA分配互联网协议编号列表: http://www.iana.org/assignments/protocol-numbers .

    • 方向

      选择规则适用的流量方向。

      方向

      描述

      出站

      该规则仅适用于出站流量。

      入站

      该规则仅适用于入站流量。

      双向

      该规则适用于双向流量。

    • IP版本

      选择该规则适用的IP版本(IPv4、IPv6或任意版本)。

  5. 为阻止列表规则选择目标公司。

备注

每家公司最多可添加1000条连接规则。若批量添加时出现问题,请查看 控制中心 .

解决方法:选择有效的子公司作为目标,或返回主表删除部分旧阻止列表。若需为先前忽略的子公司添加阻止列表,请返回底部目标列表仅选择有效公司后重试。

Blocklist_rules_add_connection_rule.png

导入规则至阻止列表

将哈希值导入阻止列表

  1. 点击 导入CSV 按钮。

  2. 浏览并选择CSV文件。

  3. 点击 保存 .

也可将设备本地CSV文件导入阻止列表页面,但需确保文件格式有效。

创建有效CSV导入文件需在前三列填入以下数据:

  1. CSV第一列必须包含哈希类型: md5sha256 .

  2. 第二列需填入对应的十六进制哈希值。

  3. 第三列可填入与 备注 列相关的可选字符串信息,对应 阻止列表 页面。

注意

导入CSV文件时,黑名单页面中其他列对应的信息将自动填充。

备注内容若少于256个字符则视为有效。

将连接规则导入黑名单

  1. 点击 导入 位于规则表格上方的

  2. 在新窗口中点击 添加 并选择CSV文件。

  3. 点击 保存 ,表格将填充有效规则。

要创建用于导入的有效CSV文件,必须按以下数据填写CSV各列:

  1. 第一列应显示 列值 中每个条目对应的文本,如下例所示。

  2. 第二列可包含与 备注 列相关的可选字符串信息,位于 黑名单 页面。

  3. 第三列应包含每个特定条目的可接受值。

    注意

    导入连接黑名单CSV文件时,请勿在文件中包含列值名称(标题)。CSV文件应仅包含每列的可接受值,且严格遵循格式定义的顺序。

列编号

列值

备注

可接受值

1

规则名称

必填字段

最大允许长度为256个字符。

文本

2

备注

可选字段

最大允许长度为256个字符。

文本

3

路径

可选字段

最大允许长度为260个字符。

绝对路径、系统变量及 系统 关键字。

注意

当规则同时针对Windows和macOS时不支持。

4

命令行

可选字段

包含命令的文本。例如: cmd--line

注意

当规则同时针对Windows和macOS时不支持。

5

应用程序MD5

可选字段

最大允许长度为32个十六进制字符。

MD5

注意

当规则同时针对Windows和macOS时不支持此功能。

6

协议

必填字段

  • 任意

  • TCP

  • UDP

  • 自定义

7

自定义协议

仅当您之前在 自定义 字段中选择了 协议 值时,此字段为必填项。

可接受的值为此处列出的十进制值 此处 .

8

方向

必填字段

  • 双向

  • 入站

  • 出站

9

IP版本

必填字段

  • 任意

  • IPv4

  • IPv6

10

本地地址任意

必填字段

允许的值为 .

11

本地地址IP掩码

仅当您先前在 字段中选择了 本地地址任意 时,此为必填字段。

此时您必须输入任意有效的IP地址或子网。

多个条目可用分号(;)分隔添加。

有效的IP地址或子网。

12

本地地址端口范围

可选字段

多个条目可用分号(;)分隔添加。

接受任何有效的端口号或端口范围(例如:443-446)。

13

远程地址任意

必填字段

允许的值为 .

14

remoteAddressIpMask

仅当您之前在 选项中选择了 remoteAddressAny 时,此字段为必填项。此时您必须输入任意有效的IP地址或子网。

有效的IP地址或子网。

15

remoteAddressPortRange

可选字段

多个条目可通过分号(;)分隔添加。

支持任意有效的端口号或端口范围(例如:443-446)。

16

directlyConnectedEnable

必填字段

允许的值为 .

17

directlyConnectedRemoteMac

可选字段

仅当您在 字段中选择了 directlyConnectedEnable 时需填写此值。

任何有效的MAC地址均可接受,若以分号(;)分隔,最多可添加100个条目。

注意

macOS系统不支持此字段。

18

操作系统

可选字段

示例:Windows; macOS。默认值:Windows

将应用程序路径值导入阻止列表

  1. 点击 导入 (位于规则表格上方)。

  2. 在新窗口中点击 添加 并选择CSV文件。

  3. 点击 保存 ,表格将填充有效规则。

创建用于导入的有效CSV文件需遵循以下步骤,并按如下要求填写各列数据:

  1. 第一列必须包含有效的应用程序路径。符合以下标准的路径视为有效:

    • 字符数少于260个。

    • 包含Windows绝对路径。

    • 不含任何通配符。

  2. 第二列为可选列,可填写规则备注。

    字符数少于256的备注视为有效。

本节内容 :