需依次启用自定义防护、导入rule.json、配置auto.json自动响应、启用联网控制并导入联网控制.json、最后验证规则生效并微调误报项。
如果您希望提升火绒安全软件对高级威胁的识别与拦截能力,则需正确配置其自定义防护规则。以下是实现该目标的具体操作路径:
一、启用自定义防护功能
该步骤是激活火绒高级威胁防护能力的前提,只有开启此功能,后续导入的规则文件才能被系统识别并加载运行。
1、打开火绒安全软件主界面,点击顶部导航栏的“防护中心”选项卡。
2、在左侧功能菜单中,找到并展开“高级防护”(部分版本显示为“自定义防护”)。
3、确保“自定义规则”开关处于开启状态(图标呈黄色或显示“已启用”)。
二、导入主防护规则文件
rule.json 文件包含针对勒索软件、无文件攻击、恶意进程注入等高级威胁的行为检测逻辑,导入后即赋予火绒主动识别异常行为的能力。
1、在“自定义规则”界面底部,点击灰色“导入”按钮。
2、在弹出窗口中,定位并选择已准备好的rules/目录下的rule.json文件。
3、点击“打开”,等待提示“导入成功”后关闭窗口。
三、配置自动处理响应机制
仅检测不足以形成闭环防护,auto.json 文件定义了规则触发后的自动化处置动作(如终止进程、隔离文件),确保威胁被即时遏制。
1、在“自定义规则”界面顶部,切换至“自动处理”选项卡。
2、点击该页面底部的“导入”按钮。
3、选择项目中对应的auto.json文件完成导入。
四、启用联网控制增强防护
通过联网控制规则可限制可疑程序外连行为,阻断C2通信链路,是防御APT类攻击的关键补充。
1、返回火绒主界面,点击左侧栏的“联网控制”图标。
2、确保“联网控制”总开关已开启。
3、点击右上角设置按钮,再点“三个点”菜单 → 选择“导入规则”,载入联网控制.json文件。
五、验证与微调规则状态
导入完成后需确认规则已生效,并根据实际环境关闭易引发误报的个别规则,以平衡安全性与可用性。
1、回到“自定义规则”列表页,检查新增规则是否出现在规则表格中。
2、逐条查看规则名称与描述,确认其类型匹配预期(如“检测PowerShell内存加载”、“拦截恶意WMI持久化”)。
3、对特定规则行右侧的开关进行操作,手动关闭存在误报倾向的单条规则,其余保持开启状态。
