跳至主要内容

拦截列表

拦截列表功能可有效管理并控制对事件调查中被识别为潜在威胁的文件及网络连接的访问。通过将可能有害的文件添加至拦截列表,可确保这些文件在网络上被禁止运行,从而降低损害风险或恶意软件的传播。

拦截列表 页面中,您可以查看和管理拦截列表规则。活动记录可在 用户活动日志 .

重要提示

  • 该功能需要 企业安全高级版 许可证,或任何支持 终端检测与响应 功能的许可证。

  • 拦截规则会递归应用于所有持有包含终端检测与响应功能许可证的公司。

在拦截列表表格中,您可以查看每个项目的以下详细信息:

  • 目标公司

  • 备注

  • 创建者

  • 创建日期

  • 规则类型

  • 来源类型

  • 哈希类型

  • 文件名

  • 文件哈希值

  • 防火墙规则名称

  • 命令行

  • 本地IP/掩码

  • 远程IP/掩码

  • 本地端口/端口范围

  • 远程端口/端口范围

  • 直接连接的计算机

  • 远程MAC地址

  • 协议

  • 方向

  • IP版本

备注

  • 拦截列表功能支持以下文件类型: .exe、.bat、.js、.vbs、.ps1、.jar、.scr、.dll、.hta、.reg、.lnk、.msi、.cpl、.com、.pif、.tmp、.cmd .

  • 日期和时间根据您的本地设置显示。

向拦截列表添加规则

拦截列表规则是创建和管理潜在威胁访问拒绝清单的准则或标准。

向拦截列表添加哈希值

  1. 点击 添加规则 点击表格顶部的

  2. 从下拉菜单中选择 应用程序哈希值 .

  3. 您还可以输入一条 备注 (与正在创建的阻止列表规则相关)。

  4. MD5 SHA256 中选择一种哈希类型,并将值粘贴到下方输入框中。

  5. 为阻止列表规则选择目标公司。

    注意

    您可为公司阻止列表添加最多10万个哈希值。

Blocklist_rules_add_hash_rule_onprem.png

重要提示

向阻止列表添加应用程序路径值

前提条件

需在终端安装 内容控制 模块,且必须在终端的 应用程序黑名单 策略中启用 策略 基于路径的应用程序阻止列表 在终端上生效。

重要提示

在Linux终端上, 内容控制 模块并非必需。

操作步骤

  1. 点击表格顶部的 添加规则 按钮。

  2. 从下拉菜单中选择 应用程序路径 .

  3. 可选输入与所创建阻止列表规则相关的 备注

  4. 在指定字段中添加 应用程序路径

    注意

    请确保路径格式与目标终端的操作系统匹配。

  5. 为阻止列表规则选择目标公司。

    备注

    每个公司最多可向阻止列表添加10,000个应用程序路径值。

Blocklist_rules_add_app_path_rule_onprem.png

向阻止列表添加连接规则

重要说明

此功能仅适用于Windows和macOS终端。

前提条件

需在终端安装并启用 防火墙 模块。 策略 需在终端设备上安装并启用防火墙模块,才能使阻断名单连接规则在指定终端生效。

操作步骤

  1. 点击 添加规则 表格顶部的按钮。

    注意

    阻断名单规则将优先于策略规则执行。这意味着阻断名单中指定的任何限制或放行都将覆盖通用策略规则。

    阻断名单规则不受监控进程或适配器设置变更的影响,所有规则始终适用于全部适配器。

  2. 从下拉菜单中选择 连接 .

  3. 添加连接规则 界面中填写必要信息:

    • 防火墙规则名称 - 输入该规则在规则表中显示的命名(例如规则所适用的应用程序名称)。

    • 备注 - 可选项,可输入与当前创建的阻断名单规则相关的 备注 信息。

    • 应用程序路径 - 可指定目标公司设备上应用程序可执行文件的路径。

      • 从菜单中选择预定义位置,并根据需要补全路径。

        例如,对于安装在 Program Files 文件夹的应用程序,选择 %ProgramFiles% 后,通过添加反斜杠(\)和应用程序名称补全路径。

      • 在编辑字段中输入完整路径。

        建议使用系统变量(如适用)以确保路径在所有目标计算机上均有效。

    • 命令行 - 若希望规则仅在通过Windows命令行界面以特定命令打开指定应用程序时生效,请在编辑字段中输入相应命令。否则可留空。

    • 应用程序MD5 - 若希望规则基于应用程序的MD5哈希码校验文件数据完整性,请在编辑字段中输入哈希码。否则请留空。

      注意

      确保命令行与MD5哈希均正确关联至应用程序路径。为使规则正常运作,必须准确指定应用程序文件路径及其MD5哈希和任何相关命令行指令。

  4. 选择要应用的 连接规则 设置。

    • 本地地址

      可设置为IP或IP/掩码格式。指定规则适用的本地IP地址、IP/掩码及端口。

      若存在多个网络适配器,可取消勾选 任意 复选框并输入特定IP地址。

      同理,若需筛选特定端口或端口范围的连接,请在对应字段输入目标端口或端口范围。

    • 远程地址

      指定规则适用的远程IP地址及端口。

      要筛选与特定计算机之间的流量,请取消勾选 任意 复选框并输入其IP地址。

    • 仅对直接连接的计算机应用规则

      可基于MAC地址过滤访问。

    • 协议

      选择规则适用的IP协议。

      • 若希望规则适用于所有协议,请选择 任意 .

      • 若希望规则适用于TCP,请选择 TCP .

      • 若要使规则适用于UDP协议,请选择 UDP .

      • 若要使规则适用于特定协议,请从 其他 菜单中选择该协议。

        注意

        IANA分配的互联网协议编号由互联网号码分配机构(IANA)分配。

        您可以在以下网址查看完整的IANA分配互联网协议编号列表: http://www.iana.org/assignments/protocol-numbers .

    • 方向

      选择规则适用的流量方向。

      方向

      说明

      出站

      该规则仅适用于出站流量。

      入站

      该规则仅适用于入站流量。

      双向

      该规则在出入站双向均适用。

    • IP版本

      选择规则适用的IP版本(IPv4、IPv6或任意)。

  5. 为拦截列表规则选择目标公司。

注意

每家公司最多可添加1000条连接规则。若尝试添加大量连接时遇到问题,请查看 控制中心 .

解决方法:您可以选择有效的子公司作为目标,或返回主表删除部分旧拦截列表。此外,若要为先前被忽略的子公司添加部分拦截列表,请返回底部目标列表,仅选择有效公司后重试。

Blocklist_rules_add_connection_rule_onprem.png

将规则导入至拦截列表

向拦截列表导入哈希值

  1. 点击 导入CSV 按钮

  2. 浏览并选择您的CSV文件

  3. 点击 保存 .

您也可以将设备中的本地CSV文件导入至拦截列表页面,但需首先确保CSV文件格式有效。

创建有效CSV导入文件时,前三个列必须按以下要求填写数据:

  1. CSV第一列必须包含哈希类型: md5sha256 .

  2. 第二列必须包含对应的十六进制哈希值

  3. 第三列可填写与 备注 列相关的可选字符串信息 拦截列表 页面

注意

拦截列表页面中其他列对应的信息将在导入CSV文件时自动填充

备注内容若少于256个字符则视为有效

向拦截列表导入连接规则

  1. 点击 导入 规则表格上方的

  2. 在新窗口中点击 添加 并选择CSV文件。

  3. 点击 保存 。表格将填充有效规则。

要创建用于导入的有效CSV文件,必须按以下数据填充CSV列:

  1. 第一列应显示 列值 中每个条目对应的文本,如下例所示。

  2. 第二列可包含与 备注 列相关的可选字符串信息,位于 阻止列表 页面。

  3. 第三列应包含每个特定条目的可接受值。

    注意

    导入连接阻止列表CSV文件时,请勿在文件中包含列值名称(标题)。CSV文件应仅包含每列的可接受值,且严格按格式定义的顺序排列。

列号

列值

备注

可接受值

1

规则名称

必填字段

最大允许长度为256个字符。

文本

2

备注

可选字段

最大允许长度为256个字符。

文本

3

路径

可选字段

最大允许长度为260个字符。

绝对路径、系统变量及 系统 关键字。

注意

当规则同时针对Windows和macOS时不支持。

4

命令行

可选字段

包含命令的文本。示例: cmd--line

注意

当规则同时针对Windows和macOS时不支持。

5

应用程序MD5

可选字段

最大允许长度为32个十六进制字符。

md5

注意

当规则同时针对Windows和macOS时不支持。

6

协议

必填字段

  • 任意

  • tcp

  • udp

  • 自定义

7

自定义协议

仅当您先前在 协议 字段中选择了 自定义 值时,此字段为必填项。

可接受的值为此处列出的十进制值 此处 .

8

方向

必填字段

  • 双向

  • 入站

  • 出站

9

IP版本

必填字段

  • 任意

  • IPv4

  • IPv6

10

本地地址任意

必填字段

可接受值为 .

11

本地地址IP掩码

仅当您之前选择 作为 本地地址任意 字段时才需填写此项。

此时您必须输入任意有效的IP地址或子网。

多个条目可用分号(;)分隔添加。

有效的IP地址或子网。

12

本地地址端口范围

可选字段

多个条目可用分号(;)分隔添加。

接受任何有效的端口号或端口范围(例如:443-446)。

13

远程地址任意

必填字段

允许值为 .

14

远程地址IP掩码

仅当您之前选择 作为 远程地址任意 字段。此时必须输入任意有效的IP地址或子网。

有效的IP地址或子网。

15

remoteAddressPortRange

可选字段

多个条目可通过分号(;)分隔添加。

支持任意有效的端口号或端口范围(例如:443-446)。

16

directlyConnectedEnable

必填字段

允许的值为 .

17

directlyConnectedRemoteMac

可选字段

仅当此前在 字段中选择了 directlyConnectedEnable 时才需填写。

可输入任意有效MAC地址,最多支持100个以分号(;)分隔的条目。

注意

macOS系统不支持此字段。

18

operatingSystem

可选字段

示例:Windows; macOS。默认值:Windows

将应用程序路径值导入阻止列表

  1. 点击 导入 位于规则表上方。

  2. 在新窗口中点击 添加 并选择CSV文件。

  3. 点击 保存 。表格将填充有效规则。

要创建可导入的有效CSV文件,必须按以下步骤操作并在列中填入以下数据:

  1. 第一列必须包含有效的应用程序路径。符合以下标准的路径被视为有效:

    • 包含少于260个字符。

    • 包含Windows绝对路径。

    • 不包含任何通配符

  2. 第二列为可选列,可包含规则备注。

    少于256个字符的备注被视为有效。

本节内容 :