基于 MITRE ATT&CK™ 和恶意软件行为特征编写而成的火绒自定义防护规则,能够检测,阻止,拦截各类恶意软件,高级持续性威胁(APT)的攻击载体和攻击途径,典型的如无文件攻击,漏洞攻击,加密勒索等。同时具有较高的可扩展性和可维护性,对社区开发者友好。
下载最新规则版本,解压文件可得Rule.json
, Auto.json
。打开火绒主界面->防护中心->高级防护->自定义规则,点击开关启用,点击项目->进入高级防护设置项,在自定义规则设置界面->导入->选择Rule.json
,在自动处理设置页面->导入->选择Auto.json
。
版本更新时请手动删除旧规则然后重新导入。
按照此图所示导入规则。
为防止误报,部分规则默认未启用,请在阅读规则文档后再选择开启。
- Office 漏洞攻击防护
- 勒索防护
- 无文件攻击防护
- 流行恶意软件家族防护
- ...详见规则文档
所有规则位于rules/
目录下,子文件夹代表不同规则组,以威胁类别.行为描述/病毒家族
命名,例如Exploit.MSOffice
。
每个子目录下含有规则文件rule.json
、auto.json
,为当前规则组的规则文件和对应的自动处理文件。每项规则以当前规则组名称 字母
命名,例如Exploit.MSOffice
。
每条规则的具体用途可在各规则组文件夹下README.md
找到,或在Rules
根目录下找到。
目录结构如下
.
├── Classification.Description1
├── Classification.Description2
│ ├── rule.json
│ ├── auto.json
│ └── README.md
└── README.md
位于scripts/
目录下,用于自动检查规则文件格式、导出/合并所有规则组,生成规则说明文档等,仅限于此规则目录结构。
validate_rules.py
- 验证规则文件,基于此schema
usage: validate_rules.py [-h] --path PATH
optional arguments:
-h, --help show this help message and exit
--path PATH folder path to check
merge_rules.py
- 将规则组合并为一个文件,方便导入。
usage: merge_rules.py [-h] --path PATH --output OUTPUT
optional arguments:
-h, --help show this help message and exit
--path PATH rule folder path to merge
--output OUTPUT output folder path
md_parser.py
- 生成规则文档。
usage: md_parser.py [-h] --path PATH
optional arguments:
-h, --help show this help message and exit
--path PATH rule folder path to generate markdown
详见每次发布日志
TO-DO: Add changelog.md
在开Issues或者PR前,请确保阅读contributing guidelines。