客户在云安全中心遇到精准防御高危操作加白问题,告警中经常出现自动拦截集团正常脚本的告警,尽管已加白主机规则和选择仅防御不通知,但告警仍存在。 【原因分析】加白的规则类型没有完全匹配;告警命中的规则是进程启动,而设置的加白规则是命令行。
1、在安全告警处理页面点击告警右侧的处理选项,在弹出的选项框中选择最下方的批量处理,直接勾选同类告警进行加白。 2、增加一条规则,选择命令行,匹配内容为powershell.exe -command "(Get-WmiObject win32_process -filter "Name='powershell.exe' AND CommandLine LIKE '%New-Object Net.WebClient).DownloadStrin%'")| ForEach-Object {$_.terminate()}",并用通配符代替空格。 3、进程路径用c:/windows/*/powershell.exe,命令行填*CommandLine *DownloadString*。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。