配置
默认规则
默认规则由 Bitdefender 创建并维护。这些规则覆盖最流行的操作系统、应用程序、服务及用户实体,确保终端完整性。
有关默认操作系统规则和默认应用程序规则的更多信息,请参阅 完整性监控默认规则 .
注意
部分规则需进行额外配置方可应用于终端。此外,已弃用规则需被删除。
自定义规则
自定义规则可由具有合作伙伴、公司管理员和网络管理员角色的任何用户创建和管理。
您必须确保要创建的任何自定义规则未被默认规则覆盖。运行重复规则会影响产品的整体性能。
严重级别的自定义规则会生成 EDR 针对注册表键和值、文件及目录的警报。您可以在 节点详情 面板的 EDR 事件中查看这些警报。
注意
注册表键和注册表值仅适用于Windows终端。
有关生成 EDR 事件时的限制更多信息,请参阅 完整性监控 限制 章节中的 完整性监控 .
创建规则
您可以通过以下步骤创建自定义规则:
-
登录 GravityZone 控制中心 .
-
进入 策略 > 完整性监控 规则 页面从左侧菜单。
-
点击 操作 下拉菜单。
-
选择 新建规则 .
创建自定义规则时可配置以下字段:
-
规则名称 :必须唯一,不可存在同名规则。
-
描述 :规则概述。
-
严重性 :可选值为:低、中、高或严重。
-
实体类型 :可选类型包括:
-
文件
-
目录
-
注册表键
-
注册表值
-
选定实体类型后,将显示以下字段:
-
文件
该字段提供以下选项:
-
操作系统适用性 :Windows或Linux。
-
键 :此处可添加前缀和/或扩展类型。
-
监控范围 :
-
Windows系统:可监控文件的创建、修改、删除、重命名操作。同时支持监控文件哈希值、大小及属性变化。
注意
可删除或隔离非预期创建的文件,并支持修正文件属性变更。
-
Linux系统:可监控文件的创建、修改、删除、重命名操作,以及哈希值、大小、文件权限、所有者和所属组的变更。
注意
可删除或隔离非预期创建的文件,并支持修正权限、所有者和所属组变更。
-
-
-
目录
本字段提供以下选项:
-
操作系统适用性 :Windows或Linux。
-
目录路径 :被监控目录的路径。勾选该字段下方的复选框可包含子目录。
-
监控范围 :
-
Windows系统:可监控目录的创建、删除、重命名及其属性变更。
注意
支持修正目录属性变更。
-
Linux系统:可监控目录的创建、删除、重命名及其权限、所有者和所属组变更。
注意
支持修正权限、所有者和所属组变更。
-
-
-
注册表项
本字段提供以下选项:
-
注册表项 :添加需监控的注册表项。
-
监控范围 :可监控注册表项的创建与删除,及其子项和键值的变更。
-
-
注册表值
本字段提供以下选项:
-
注册表值 :添加需要监控的注册表值。
-
监控范围 :可监控注册表值的创建与删除、最后修改时间,以及注册表哈希值和注册表值大小是否发生变化。
注意
-
当注册表值哈希值改变时,您可选择进行修正。此外,对于大小变化,您可选择自动删除该值。
-
修正注册表值时,将恢复为生成警报前的原始值。规则处理模式可能影响此修正操作。
-
-
编辑规则
请按以下步骤编辑规则:
-
登录 GravityZone 控制中心 .
-
通过左侧菜单进入 策略 > 完整性监控 规则 页面。
-
选择需要修改的规则。
-
在 配置 项下修改规则。
-
点击 保存 .
删除规则
请按以下步骤删除自定义规则:
-
登录 GravityZone 控制中心 .
-
进入 策略 > 完整性监控 规则 页面(通过左侧菜单)。
-
勾选要删除规则旁的复选框。
-
点击 操作 下拉菜单。
-
选择 删除 .
-
按下 删除 按钮确认操作。
限制器
完整性监控 内置了限制器功能。这是一层专为减少告警疲劳设计的保护机制,旨在覆盖人为错误场景。
例如:用户无法监控扩展名为
.log
的文件。这类文件持续记录日志且频繁变更,监控它们会产生大量事件,可能导致终端被通知或事件淹没。
规则集
规则集是可分配给 GravityZone 策略的规则集合。任何需要关联到策略的规则都必须属于某个规则集。
注意
您必须创建一个规则集(即使仅包含默认规则),才能在 实时监控 策略设置中启用该功能。
创建规则集
请按以下步骤创建规则集:
-
打开 完整性监控 规则 窗口。
-
通过勾选复选框,选择要添加到规则集中的每条规则。
-
点击 操作 并选择 从规则新建规则集 .
-
在新页面中填写 规则集名称 及 描述 (可选)。
注意
这些字段只能包含字母数字字符
-
点击 保存 .
编辑规则集
请按以下步骤编辑规则集:
-
登录 GravityZone 控制中心 .
-
转到 策略 > 完整性监控 规则 页面(通过左侧菜单)。
-
选择所需的规则集。
-
点击
更多
-
选择 编辑 .
-
编辑 规则集名称 和 描述 .
-
点击 保存 .
删除规则集
您可以通过以下步骤删除规则集:
-
登录 GravityZone 控制中心 .
-
转到 策略 > 完整性监控 规则 页面,从左侧菜单进入。
-
选择所需的规则集。
-
点击
更多
-
选择 删除 .
-
通过点击 删除 按钮确认您的选择。
将现有规则分配或移出规则集
要将现有规则分配到规则集,您必须:
-
登录 GravityZone 控制中心 .
-
转到 策略 > 完整性监控 规则 页面,从左侧菜单进入。
-
勾选要分配到规则集的规则旁边的复选框。
-
点击 操作 下拉菜单。
-
选择 将规则分配到规则集 .
-
从下拉菜单中选择您要将规则分配到的规则集。
-
点击 分配 .
要从规则集中移除规则,您必须:
-
登录 GravityZone 控制中心 .
-
进入左侧菜单中的 策略 > 完整性监控 规则 页面。
-
选中您要分配到规则集的规则旁边的复选框。
-
点击 操作 下拉菜单。
-
选择 取消分配规则 .
将规则集分配到策略
要将 完整性监控 规则集分配到策略,您需先在策略设置中启用 实时监控 ,然后分配您希望应用的规则集:
-
登录 GravityZone 控制中心 .
-
前往 策略 页面(通过左侧菜单)。
-
新建策略或编辑现有策略。
-
在策略设置中,进入 完整性监控 模块。
-
启用开关并从下拉列表添加现有规则集。
-
根据需求调整策略中的其他配置。
-
保存策略并应用到终端。
策略生效(或重新应用)后,实体基线属性将被更新。此后触发的告警将以更新后的属性作为比对基准。该更新过程不受 完整性监控 是否暂停的影响。
此外,策略应用后终端会开始向 GravityZone 发送事件。您可在 完整性监控 事件 页面查看。
重要说明
通过配置配置文件或在策略中为文件/文件夹/进程添加的实时防护排除项,同样适用于 完整性监控 模块。 完整性监控 基于扩展伯克利包过滤器(eBPF)探针实现。这些排除项会同步至eBPF探针(Kprobes),使触发 完整性监控 告警的对应事件不再生成。
规则处理模式
规则处理模式决定了事件在 完整性监控 事件 页面中被处理和显示的速度:
-
快速 - 事件尽可能接近实时处理。
-
普通 - 将事件缓冲3秒后进行处理。此为默认设置。
-
慢速 - 将事件缓冲6秒后进行处理。
为实现最优资源占用,所有规则处理模式均采用事件队列和压缩机制。
对已处理事件会应用一系列去重操作,以提供最佳信息并避免告警疲劳:
-
同类事件会被压缩处理。
例如,对于同一实体的多个 文件哈希值被更改 事件, 完整性监控 仅会记录最新事件。
-
由于基线变更,部分操作将不再被处理。
例如,在 文件哈希值被更改 事件后紧接发生 文件被删除 或 文件被重命名 事件时,前述更改事件将被丢弃。此时由于目标对象已不存在,文件哈希变更的基线无法建立。
去重操作适用于 文件 , 目录 , 注册表项 及 注册表值 事件在所有处理模式下均适用。 快速 处理模式会实时处理事件,无延迟。但当所有可用资源都忙于处理事件时,新事件将开始排队。这些排队事件会在资源释放后立即处理,但不会免除去重操作。