|
| 1 | +--- |
| 2 | +title: 火绒高级威胁防护规则 |
| 3 | +date: 2022-07-15 18:00:00 -0500 |
| 4 | +categories: [Project, Antivirus] |
| 5 | +tags: [hips, huorong, antivirus] |
| 6 | +--- |
| 7 | + |
| 8 | +## 简介 |
| 9 | + |
| 10 | +火绒高级威胁防护规则基于 [MITRE ATT\&CK™](https://attack.mitre.org/) 和恶意软件行为特征编写。它可以检测、阻止和拦截各种恶意软件、[高级持续性威胁 (APT)](https://zh.m.wikipedia.org/zh-hans/%E9%AB%98%E7%BA%A7%E9%95%BF%E6%9C%9F%E5%A8%81%E8%83%81) 攻击向量和攻击路径,例如无文件攻击、漏洞利用攻击、加密勒索软件等。它还具有高度的可扩展性、可维护性,并且对社区开发者友好。 |
| 11 | + |
| 12 | +## 安装/导入规则 |
| 13 | + |
| 14 | +下载 [最新规则版本](https://github.com/JerryLinLinLin/Huorong-ATP-Rules/releases/latest),解压文件得到 `Rule.json` 和 `Auto.json`。打开火绒主界面 -> 防护中心 -> 高级防护 -> 自定义规则,点击开关启用,点击该项 -> 进入高级防护设置,在自定义规则设置界面 -> 导入 -> 选择 `Rule.json`,在自动处理设置界面 -> 导入 -> 选择 `Auto.json`。 |
| 15 | + |
| 16 | +更新到新版本时,请手动删除旧规则并重新导入。 |
| 17 | + |
| 18 | +## 新手指南 |
| 19 | + |
| 20 | +如图 [所示](https://github.com/JerryLinLinLin/Huorong-ATP-Rules/blob/master/images/import_rules.jpg) 导入规则。 |
| 21 | + |
| 22 | +为了防止误报,某些规则默认未启用,请阅读规则文档,然后选择启用它们。 |
| 23 | + |
| 24 | +## 规则内容 |
| 25 | + |
| 26 | +- MS Office 漏洞攻击防护 |
| 27 | +- 勒索软件防护 |
| 28 | +- 无文件攻击防护 |
| 29 | +- 流行恶意软件家族威胁预防 |
| 30 | +- [... 详见规则文档](https://github.com/JerryLinLinLin/Huorong-ATP-Rules/blob/master/rules/README_en_us.md) |
| 31 | + |
| 32 | +## 规则目录 |
| 33 | + |
| 34 | +所有规则都位于 `rules/` 目录下,子文件夹代表不同的规则组,以 `威胁类别.行为描述/病毒家族` 命名,例如 `Exploit.MSOffice`。 |
| 35 | + |
| 36 | +每个子目录包含规则文件 `rule.json`、`auto.json`,分别是当前规则组的规则文件和相应的自动处理文件。每条规则以当前规则组 `组名 + 字母` 命名,例如 `Exploit.MSOffice`。 |
| 37 | + |
| 38 | +每条规则的具体用途可以在每个规则组文件夹下的 `README_en_us.md` 中找到,或者在 `Rules` 的根目录中找到。 |
| 39 | + |
| 40 | +目录结构如下 |
| 41 | + |
| 42 | + . |
| 43 | + ├── Classification.Description1 |
| 44 | + ├── Classification.Description2 |
| 45 | + │ ├── rule.json |
| 46 | + │ ├── auto.json |
| 47 | + │ └── README.md |
| 48 | + └── README.md |
| 49 | + |
| 50 | +## 自动化脚本 |
| 51 | + |
| 52 | +位于 `scripts/` 目录下,用于自动检查规则文件格式、导出/合并所有规则组、生成规则说明文档等,仅限于此规则目录结构。 |
| 53 | + |
| 54 | +- `validate_rules.py` - 验证规则文件,基于此 [schema](https://github.com/JerryLinLinLin/Huorong-HIPS-Rule-Schema) |
| 55 | + |
| 56 | +<!----> |
| 57 | + |
| 58 | + usage: validate_rules.py [-h] --path PATH |
| 59 | + |
| 60 | + optional arguments: |
| 61 | + -h, --help show this help message and exit |
| 62 | + --path PATH folder path to check |
| 63 | + |
| 64 | +- `merge_rules.py` - 将规则合并为一个文件以便于导入。 |
| 65 | + |
| 66 | +<!----> |
| 67 | + |
| 68 | + usage: merge_rules.py [-h] --path PATH --output OUTPUT |
| 69 | + |
| 70 | + optional arguments: |
| 71 | + -h, --help show this help message and exit |
| 72 | + --path PATH rule folder path to merge |
| 73 | + --output OUTPUT output folder path |
| 74 | + |
| 75 | +- `md_parser.py` - 生成规则文件。 |
| 76 | + |
| 77 | +<!----> |
| 78 | + |
| 79 | + usage: md_parser.py [-h] --path PATH |
| 80 | + |
| 81 | + optional arguments: |
| 82 | + -h, --help show this help message and exit |
| 83 | + --path PATH rule folder path to generate markdown |
| 84 | + |
| 85 | +## 更新日志 |
| 86 | + |
| 87 | +详情请参阅 [发布日志](https://github.com/JerryLinLinLin/Huorong-ATP-Rules/releases/latest) |
| 88 | + |
| 89 | +TO-DO: 添加 changelog.md |
| 90 | + |
| 91 | +## 反馈/贡献 |
| 92 | + |
| 93 | +在提交 Issue 或 PR 之前,请确保您已阅读 [贡献指南](https://github.com/JerryLinLinLin/Huorong-ATP-Rules/blob/master/CONTRIBUTING.md)。 |
| 94 | + |
| 95 | + |
| 96 | +## [查看项目](https://github.com/JerryLinLinLin/Huorong-ATP-Rules) |
0 commit comments