# 云鲨RASP操作手册

本手册旨在提供云鲨（Xshark）RASP（下文均简称"云鲨"）自适应威胁免疫平台的使用方式，阅读前您应该先至云鲨官网（https://rasp.xmirror.cn） (opens new window)注册云鲨（Xshark）RASP账号。

# 1. 官网介绍

# 1.1 首页

图 1.1-1 官网首页

# 产品介绍

云鲨首页首先展示介绍了云鲨的产品能力与产品特性，力求准确精简的说明云鲨平台能以强大的功能，深度融入企业现有的安全管理流程，成为位身于前的应用安全守卫骑士；使用云鲨平台接入您的应用中，配置防护策略开启攻击阻断模式，您可以安心让软件运行在业务环境中，而不必忧心潜藏的威胁时刻会导致应用崩溃、业务瘫痪。

# 社区支持

云鲨平台官网首页的社区支持模块展示了邮箱、微信、QQ等联系方式，用户可选择通过其中任一方式联系工作人员获取服务，以及加入社群沟通产品相关任何问题，您将获得及时、准确的解答。

# 最新动态

云鲨平台官网首页最新动态模块会展示安全行业、RASP技术及云鲨平台相关的最新资讯，用户可随时点击查阅。

# 帮助文档

此处会提供云鲨平台的白皮书、操作手册等相关文档，用户可按需查阅。

# 登录/注册

云鲨官网首页的登录/注册功能是用户获取账号，使用云鲨平台的唯一最终入口，用户可自主注册获得账号，并登录平台开始功能使用。

# 2. Web功能

进入云鲨web界面后，展开左侧功能菜单，可看到云鲨共有左侧菜单栏及右上角个人中心两大功能区；可大致分为产品的核心功能与基础功能两部分。左侧菜单栏包括安全态势、事件分析、应用管理、基线检查、节点管理、黑白名单管理、防护策略管理、应用热修复8大功能模块。右上角菜单栏有添加节点、个人中心等功能。

接下来依次讲解这两大功能模块。

图 2.1-1 产品功能菜单

# 2.1 安全态势

安全态势提供了平台内数据的可视化分析与展示。如图2.1-1所示，安全态势处共统计管理了：

已发现攻击：平台发现的所有攻击事件的统计以及提供应用保护的天数
今日攻击：当日内攻击事件数量的统计，以及与上个周期相比，攻击事件的同比变化情况
风险应用：当前存在风险应用的数量统计以及所有应用的总数
攻击趋势：近期内攻击事件的趋势折线图
攻击列表：最近十次攻击事件的摘要信息
攻击分析：所有攻击事件中数量最多的前五类攻击类型和数量统计
攻击来源Top10：攻击事件中攻击来源的统计柱状图
风险应用Top10：根据应用的攻击事件整理出的风险点的分布，并按照风险数量进行排序

# 2.2 事件分析

在事件分析中您可以对攻击事件进行分类筛选，并生成对应的攻击趋势图，以便辅助您来判断哪些问题需要优先处理。

图 2.2-1 事件分析

事件分析主要分为三个部分：

一. 攻击趋势

图 2.2-2攻击趋势图

其中其中横轴代表攻击时间，纵轴代表攻击数量。点击展开攻击趋势图，则会同步根据趋势图时间范围删选下方事件列表展示内容，用户可再次在高级搜索中置换条件进行重新筛选。

二. 高级搜索

图 2.2-3 高级搜索

风险等级：根据风险等级进行筛选
风险类型：根据风险类型进行筛选
攻击时间：根据时间进行筛选
拦截状态：根据策略防护模式进行筛选
来源IP：根据来源IP进行筛选
所属应用：根据应用名称进行筛选
语言筛选：根据应用语言进行筛选
安装人：根据节点安装人进行筛选
节点名称：根据节点名称进行筛选

设定好筛选条件后，点击筛选按钮进行筛选。也可以通过重置按钮来清空所有筛选条件。点击筛选后，攻击事件列表会根据筛选内容进行重新罗列，攻击趋势图表也将随之更新。

三、攻击事件列表

图 2.2-4 攻击事件列表

攻击事件列表根据筛选条件选择性展示相应的攻击事件信息。列表内容包括：

事件名称：攻击事件的危险等级和对应风险名称
风险类型：发生的攻击事件类型
拦截状态：对于该事件所设置的防御模式(阻断——拦截该事件，告警——仅记录事件而不进行阻断，并发出告警通知，日志——仅记录事件而不进行阻断)
URL：受到攻击的地址及其参数
来源IP：攻击来源IP(当应用处在反向代理或类似设备之后时，识别可能不准)
危险参数：此次攻击事件中被判断为可能产生攻击行为的参数值
应用名称：受到攻击事件影响的应用名称
攻击时间：攻击事件被处理接受的时间
安装人：受到攻击事件影响的节点安装人
节点名称：受到攻击事件影响的节点名称
探针语言：安装探针时选择的应用语言
探针语言：安装探针时选择的应用语言

通过按钮可以展开攻击事件详情，通过按钮可以快速将该事件添加至规则白名单，将此事件添加至白名单后则携带此事件中危险参数的请求将不会被拦截、告警或记录。已添加的规则白名单内容可在【节点管理】中，对应节点【节点详情】下的【自定义规则】中查看或编辑此部分内容。

# 2.2.1 攻击事件详情

图 2.2-5 攻击事件详情

攻击事件详情展示了关于本次攻击事件的详细信息，包括2个页面：

一、漏洞信息

图 2.2-6 漏洞信息

关于该风险的相关描述，包括：

风险地址：涉及风险的URL路径
风险来源：风险设计的应用和节点
风险详情：风险的详细描述
代码调用片段:风险涉及的代码位置
风险成因：此攻击事件得以发生的可能原因
漏洞堆栈信息：风险最后触发时涉及的堆栈
风险危害：风险可能造成的危害
通用防治方法：对于该类风险的通用预防手段
影响类型：此攻击事件可能产生的影响

二、攻击详情

图 2.2-7 攻击详情

展示攻击事件的详细信息，包括：

攻击时间：攻击被上报处理的时间
URL：被攻击的地址及其参数
函数调用堆栈：涉及代码调用堆栈的信息
参数值：被判断为敏感行为的参数内容
攻击来源：攻击来源IP
HOST：攻击者请求的服务器地址
原始请求：攻击者原始请求体内容
User-Agent：攻击来源客户端标识符

# 2.3 应用管理

应用管理提供以应用的维度来管理风险，主要包括监控中和未监控两个模块。

# 2.3.1 未监控列表

图 2.3-1 未监控应用列表

未监控页面展示了所有在线且未处于监控状态的应用。当您的应用出现在这里表明您已成功安装云鲨RASP探针，但是由于您未启动监控，所以防护策略还未下发至对应的探针中。因此，处于这个页面的应用程序无法受到云鲨RASP的保护。

若您希望开启云鲨RASP应用保护功能，您可以采取以下两种方式：

对指定应用的启用监控模式：

点击应用后的按钮，将弹出策略选择页面，根据需要选择合适的策略，关于防护策略，详见防护策略管理部分。若已监控列表中已经存在同名的应用，则会自动继承同名应用的防护策略配置。
批量监控应用：

通过应用列表前的多选操作框，勾选多个需要开启监控的应用，并点击按钮，选择防护策略后，即可批量将多个应用转为监控状态。批量监控设置的防护策略仅会对未配置过防护策略的应用生效，对于已存在同名的监控中应用，则会继承相关配置。

# 2.3.2 监控列表

图 2.3-2 监控中应用列表

监控中页面展示了所有处于保护状态的应用。列表内容包括：

应用名称：探针自动识别出的应用名称（或探针安装时指定的应用名称）
风险摘要：展示该应用中，合并具有相同代码调用片段的攻击事件后，包含的风险摘要。例如，若黑客多次利用了应用中同一处SQL注入缺陷，云鲨RASP只会生成一条应用风险记录，因为这些攻击利用的是相同的函数调用堆栈。
标签：为应用添加的标签标记，点击标签可以筛选出所有拥有相同标签的应用
操作：
- ：置顶应用
- ：查看应用详情

# 2.3.2.1 应用详情

图 2.3-3 应用详情

应用详情包含四个模块：

应用概览：展示应用相关信息，包括涉及的语言&版本、中间件&版本、启用监控的时间、已发现的攻击、24小时内的攻击、应用的风险分布情况。
风险列表：风险列表根据针对该应用的攻击事件进行合并，即针对相同代码调用片段的攻击将会被计算为一处风险。列表展示了风险名称及其严重程度、风险类型、URL、攻击次数、风险状态、首次发现时间、最后触发时间。通过按钮可以展开应用风险详情。应用风险详情包括攻击历史、漏洞信息两个模块。其中，攻击历史为利用该风险的所有攻击实现的列表，通过按钮可以快速将该事件添加至规则白名单。
安全基线：安全基线展示此应用下存在风险的基线记录。
关联节点：关联节点模块展示了该应用关联的节点列表。点击按钮可以展开节点详情页面。

# 2.4 基线检查

图 2.4-1 基线检查

基线检查处展示了平台上所有应用不安全的基线配置，可根据基线类型、节点名称或应用名称进行检索，也可点击查看此条不安全配置基线详情。

图 2.4-2 基线详情

基线详情对不安全的配置基线做了解释并提供了修复建议以供参考。

# 2.5 节点管理

# 2.5.1 添加节点

通过按钮可以展开添加节点引导页面。添加节点的具体步骤请参考《云鲨RASP插桩教程》。

图 2.5-1 节点管理

# 2.5.2 管理节点

节点管理页面展示了当前监控中的所有节点：

节点IP：圆形图标表示当前节点是否在线，IP表示当前节点的IP地址
节点名称：对应节点的名称
语言：节点所处运行时环境的语言类型及其版本
中间件：节点发现的中间件类型及其版本
探针版本：探针的版本
熔断状态：表示当前探针的熔断状态，包括正常和熔断两种状态
安装人：安装探针的用户名称
点击按钮可以展开节点详情

# 2.5.2.1 节点详情

图 2.5-2 节点详情

节点详情：展示节点的基本信息
节点设置：

图 2.5-3 节点设置

节点开关：控制实例节点功能的开关
防护策略：开启开关后，节点的策略不从应用继承，而是独立进行配置
性能熔断设置：开启开关后，可以设置自动熔断触发条件
流量限流设置：开启开关后，可以设置流量条件
自定义规则：在此页添加的规则及在【事件分析】处的风险列表中添加了白名单的内容
拦截页面配置：当攻击被拦截时返回给攻击者的页面内容

基线检查设置：节点在线状态下可配置节点的基线检查内容

图 2.5-4 基线检查设置

# 2.6 黑白名单管理

图 2.6-1 黑白名单管理

黑名单主要用来进行应用的访问控制。黑名单分为两种

URL黑名单
IP黑名单

可以通过按钮来添加一个新的黑名单

图 2.6-2 添加黑名单

在黑白名单管理页面中，亦可对现有的黑白名单进行编辑、删除等操作。

# 2.7 防护策略管理

图 2.7-1 防护策略管理

云鲨RASP预置五个策略集，业务优先、防护优先、试运行模式、全部阻断、全部日志。其中各个策略集是对不同风险事件的处理逻辑组合，分别在业务和防护等方面做了取舍，用户可根据自己需求判断哪一策略集更适用于自己应用的防护需求。预设策略集不可编辑、删除。如需修改预设策略，可以从预设策略复制，进行微调，也可创建一个全新的策略。

# 2.8 应用热修复

应用热修复功能支持在云鲨RASP平台上动态下发一系列的虚拟补丁，以更高的自定义功能来满足日常安全运营的需要。

图2.8-1 应用热修复

应用热修复支持下发两种类型的虚拟补丁：流量补丁与插桩补丁；流量类虚拟补丁：根据请求URL、请求方法、请求头、请求体以及响应状态码、响应头来添加处理逻辑，当规则命中后，可以选择告警或者拦截动作。插桩类虚拟补丁：根据方法/函数传参、返回值、执行堆栈来添加处理逻辑，当命中规则后，可以选择告警和拦截两种动作。添加成功的虚拟补丁在开启状态下无法修改，需要先停用，方可进行修改或删除操作。

# 2.9 个人中心

图 2.9-1 个人中心

右上角的个人中心功能区域提供了账号信息、账户安全与通知设置三大功能模块。

# 2.9.1 账号设置

账号信息如图2.9-1主要分为个人信息与企业信息两部分。个人信息提供此账号相关基本信息的查询与编辑功能；其中用户头像与用户昵称均可点击编辑按钮，进入编辑状态进行修改；用户名、角色、节点个数均为不可自主修改内容；手机号码与邮箱需要在账号安全功能下进行管理，未绑定邮箱用户可在此处直接俄跳转至账号安全进行绑定也可从账户安全处直接进行绑定操作。企业信息用户可用于补充相关信息获取更多节点及其他增值服务，包括不限于体验会员专属功能、一对一客服等。