1、可编程对抗
ATD支持根据实际业务场景,完全贴合自身业务,通过灵活的参数和策略设置,自定义模型来对抗特定的威胁,丰富和完善安全场景。
2、设置可编程对抗模型步骤
第一步、设置模型
第二步、设置参数
第三步、设置策略
2.1、设置模型
在可编程对抗模型中,点击“添加”按钮,即可添加模型。根据实际需求,输入对应的【名称】及【描述】。
2.2、设置参数
2.2.1、什么是参数?
参数表示对日志字段做处理/计算的方式,用于后面的策略设置。 点击“参数管理”,即可进行参数设置。
2.2.1、如何添加参数?
点击“添加”按钮,进行添加参数。 添加参数有3个需要设置的内容,包括:条件、参数算法、参数名称。
1、条件
选择需要处理的字段并设置对应的条件。 如果有多组条件,可以点击“+”添加多个条件。 如需切换逻辑关系,可以点击下拉按钮进行切换。
2、参数算法
可以对已设置好的字段进行聚合计算,算法包括:计数、求和、求平均、唯一数。
3、参数名称
在设置策略时,将会用到参数名称,建议设置名称时,表示出该参数的内容,方便后面的应用。 比如:参数为状态码为200的计数时,参数名称可设置为:status_200_count
注意:如果不需要设置条件,可以不添加条件。 如:计算uri的唯一数时,可以用如下方式:
2.3、设置策略
点击模型中的“设置”,即可进入设置策略页面。 点击“添加”即可开始添加策略。 设置策略主要分7部分:
1、策略ID
是策略的唯一标识,数值约小,优先级越高。
2、威胁分数
用来表示威胁的严重程度,可以根据实际场景进行设置。
3、策略模式
包括:标准和高级两种模式 一般推荐选择“标准模式” 对于复杂的策略,不能用简单的逻辑运算来表达的情况,我们可以用高级模式来实现。 查看高级模式
4、滑动窗口
可以选择滑动窗口的长度,当前支持1分钟和5分钟两种滑动窗口。
5、参数规则
可以在参数规则中,选择参数,并设置参数的条件。
条件包括如下6种:
此处可以选择参数,也可以输入数值
6、备注
可在备注中,添加策略的描述,方便以后查看。
7、策略状态
策略状态分3种:
1、上线
ATD会匹配上线状态的策略,如果命中了策略,将会为在威胁事件回溯中展示出命中的事件,并支持查看威胁画像。
2、测试
ATD会匹配测试状态的策略,如果命中了策略,将会为在威胁事件回溯中展示出命中的事件,并支持查看威胁画像。同时该事件会展示“测试”图标,如果开启拦截,将不会拦截该类事件。
3、下线
ATD不再匹配下线状态的策略。 如下图所示,可以根据实际需求,选择策略状态:
3、可编程对抗模型案例
【案例一】暴力破解成功
案例场景详情:5分钟内,一个IP成功登录baishancloud.com/user/login的次数大于1次,并且失败的次数大于100次。
第一步:设置模型
在可编程对抗模型中,点击“添加”按钮,【名称】输入“暴力破解成功”。
第二步:设置参数
设置两个参数: 1、成功登录的次数 2、失败登录的次数
第三步:设置策略
【案例二】竞争对手刷接口
案例场景详情:访问URL: baishancloud.com/user/login,并且referer不能是baidu.com
第一步:设置模型
在可编程对抗模型中,点击“添加”按钮,【名称】输入“竞争对手刷接口”。
第二步:设置参数
第三步:设置策略