更新时间:2023-12-20
拦截域名是指阻止主机对特定域名的访问。拦截域名允许您统一查看已被组件(EDR/CWPP/AF)拦截的域名记录,目前该功能仅支持任意版本分布式XDR联动EDR3.0.35及以上版本、CWPP3.3.39B6及以上版本、AF老架构8.0.48版本、新架构8.0.79及以上版本生效。
通过响应管理->拦截域名导航栏统一查看XDR平台联动组件(EDR/CWPP/AF)拦截的域名信息,包括匹配方式、域名、生效资产、处置状态以及关联告警以及联动设备等信息,域名匹配方式分为全字符匹配以及作为域名结尾匹配两种,联动设备默认为该威胁上报设备。
对于业务主机由于用户行为感染挖矿病毒,经常访问恶意域名,对于安全运营产生一定程度的干扰甚至被监管单位通报的场景一定都比较熟悉,对于这种场景下由于用户安全意识不足经常下载恶意文件导致挖矿无法根治,但会在一些检测平台上面频繁出现相关事件、造成告警干扰,希望可以从源头上封堵终端对该域名的访问。
比如资产10.10.10.11经常访问lplp.ab*bny.com、lplp.ha*qo.net等恶意域名,希望从对应的终端上就阻止发起恶意连接。点击具体安全事件详情->响应处置,勾选需要拦截的域名,点击处置域名。
选择联动终端(该终端需要安装EDR或者CWPP的agent)开始拦截域名,域名选择作为域名结尾匹配,生效资产以及联动设备默认都为对应的威胁信息上报设备,无需更改。
点击确定后,分布式XDR联动CWPP设备下发拦截规则到对应终端上,可以前往响应->拦截域名导航栏查看。
域名的拦截状态一般有拦截成功、拦截失败、拦截中、取消拦截中、取消拦截失败,其中需要注意的是拦截中跟取消拦截中状态代表XDR正在对联动的设备下发联动指令。
拦截域名下发成功之后就可以看到处置状态为拦截成功,对应的终端无法访问对应的域名,解决了上述场景中的告警干扰问题。