<p>&nbsp;</p> <p>操作步骤</p> <ol> <li>登录<a href="https://www.ocftcloud.com/console/microApp/apt/list" target="_blank">APT控制台</a>。</li> <li>在实例管理页面，在目标实例对应的操作列，单击管理，进入APT攻击预警平台。</li> <li>选择配置 页签，在左侧导航栏选择检测配置。检测配置的功能和说明如下表。 <table> <caption>&nbsp;</caption> <tbody> <tr> <td> <p><strong>功能</strong></p> </td> <td> <p><strong>说明</strong></p> </td> </tr> <tr> <td> <p>引擎管理</p> </td> <td> <p>用来控制各种风险检测机制的停止和运行。</p> </td> </tr> <tr> <td> <p>文件检测</p> </td> <td> <p>文件检测包含安全文件大小、检测结果复用、压缩文件中子文件真实格式识别、沙箱操作系统设置、分离文件后缀、恶意文件MD5等检测功能。</p> <p>APT暂不支持：沙箱检查配置、沙箱操作系统设置。</p> </td> </tr> <tr> <td> <p>IP检测配置</p> </td> <td> <p>用于配置包含IP过滤和指定IP检测。</p> <p>IP过滤、指定IP检测页签名称的括号内数字表示启用该规则的数目。</p> </td> </tr> <tr> <td> <p>黑IP黑域名</p> </td> <td> <p>手动添加黑IP黑域名后，当攻击者访问用户配置的黑IP黑域名时，系统就会产生远程控制（用户配置数据）告警。</p> </td> </tr> <tr> <td> <p>白名单</p> </td> <td> <p>用于新增、启用、禁用白名单。</p> <p>包括文件白名单、域名白名单、黑IP白名单、黑域名白名单、客户端IP白名单、服务端IP白名单、IDS规则白名单、Web特征风险白名单、发件人邮箱白名单和发件人域名白名单等。</p> </td> </tr> <tr> <td> <p>Web特征</p> </td> <td> <p>用于启用和禁用Web特征规则。</p> <p>特征管理的攻击类型有：SQL注入、命令注入、跨站脚本、远程代码执行、文件上传、路径遍历、信息泄露、越权访问及其他。</p> </td> </tr> <tr> <td> <p>Web登录</p> </td> <td> <p>设置Web登录相关的配置，包括用户名、密码和用户名来源、登录状态码及返回值内容等配置。</p> </td> </tr> <tr> <td> <p>IDS规则</p> </td> <td> <p>用于启用、禁用IDS规则。</p> <p>IDS规则主要有WEB攻击、远程控制、WEB后门访问、拒绝服务攻击、隧道通信、挖矿、恶意工具利用、漏洞利用、其他等风险。</p> </td> </tr> <tr> <td> <p>邮箱防护</p> </td> <td> <p>用于添加域名及邮箱服务器IP地址。</p> <p>添加后的邮箱才会有发件人欺骗检测，及在引擎管理 &gt; 邮件社工检测中针对发件人欺骗的检测才会生效。</p> </td> </tr> <tr> <td> <p>ARP检测</p> </td> <td> <p>用于将IP地址与MAC地址绑定，便于识别解析ARP欺骗，提高检测精度。</p> </td> </tr> <tr> <td> <p>弱口令配置</p> </td> <td> <p>通过提取常见应用的用户名、口令，并进行复杂度判断，以识别应用中存在的弱口令的 情况，减除企业应用中潜在的风险隐患。</p> </td> </tr> <tr> <td> <p>自定义规则</p> </td> <td> <p>根据用户需要可以自定义特征检测规则。</p> <p>当规则状态为启用时，如果流量中有满足配置的内容，风险页面就会产生自定义特征检测告警。</p> </td> </tr> <tr> <td> <p>特权账户配置</p> </td> <td>涉及登录行为相关的应用场景，例如特权账号登录、弱口令、脆弱性分析等，需要对特权账户进行标识，因此需对应增加配置界面进行区分。</td> </tr> <tr> <td> <p>智能语义分析</p> </td> <td> <p>智能语义分析是把人类自然语言转化为机器能读懂的代码。即对检测内容进行语法分析，提高规则模型的适用性。</p> <p>为了防止现场智能语义分析误报过多，该模块可以针对单个智能语义分析（例如：智能语义分析XSS攻击等）进行引擎的关闭。</p> </td> </tr> <tr> <td> <p>SSL流量检测</p> </td> <td>SSL流量检测是对当前用户网络环境中出现的加密协议流量（HTTPS、SMTP、POP、IMAP）进行检测。该检测需要上传相对应证书，即该加密协议流量中网站的私钥（目前只支持RSA私钥解密）。</td> </tr> <tr> <td> <p>UDP端口过滤</p> </td> <td>自定义对UDP协议（传输层）进行端口过滤，过滤掉无需检测的协议端口。</td> </tr> <tr> <td> <p>暴力破解模型</p> </td> <td>用于设置暴力破解模型的触发机制，以适应用户的实际使用环境，主要涉及<strong>时间范围、登录次数、检测机制</strong>等关键指标进行配置，满足设置的触发机制的风险才会产生告警信息。</td> </tr> <tr> <td> <p>扫描行为模型</p> </td> <td>可以设置扫描行为模型、爬虫扫描模型的触发机制，以适应用户的实际使用环境。主要涉及<strong>统计周期、访问</strong><strong>IP</strong><strong>、访问端口、访问次数</strong>等关键指标进行配置，满足设置的触发机制的风险才会产生告警信息。</td> </tr> <tr> <td> <p>拒绝服务攻击模型</p> </td> <td>对拒绝服务攻击模型的触发机制进行配置，适应用户的实际使用环境，主要涉及<strong>统计周期</strong>、<strong>单包长度阈值</strong>、<strong>统计周期内访问阈值</strong>、<strong>统计周期内总流量阈值</strong>等关键指标进行配置，满足设置的触发机制的风险才会产生告警信息。</td> </tr> </tbody> </table> </li> </ol>