本地文件

tCell提供了本地文件特性，可以保护文件系统免受应用程序级攻击。这个运行时应用程序自我保护(RASP)特性为本地文件包含(LFI)攻击提供了覆盖范围，在这种攻击中，攻击者可以以不希望的方式读取或写入文件。例如，通过目录遍历访问文件(../../..）.当像这样的RASP特性与Web应用程序防火墙(WAF)功能相结合时，比如tCell的WebApp防火墙特性，就可以为您的系统提供更深层次的保护。

此帮助文档将提供本地文件的概述，在创建策略时应该考虑的事项，并让您通过启用该特性的过程。

启用本地文件将使您能够检测并阻止应用程序写入未经授权的目录。本地文件的工作原理与其他tCell功能类似—配置代理以收集应用程序数据，为预期行为创建基线，然后为目录中允许的活动定义策略。

在激活本地文件之前，让我们仔细看看:

• 代理
• 这一政策
• 的事件

代理人

本地文件仅适用于应用程序服务器代理并依赖于特定于语言的控件。例如，代理可以在Java中装备相关的文件类来监视和控制应用程序对文件系统的作用。

政策

策略告诉代理应用程序可以访问哪些目录。与大多数tCell策略一样，此策略是一个允许列表，因此您可以定义应用程序可以读写的目录。目录允许列表还包括子目录。访问不在允许列表目录中的文件将导致tCell收集的事件。

事件

应用程序启动后，代理将向tCell发送文件访问事件。在评估这些事件以确定应该报告和阻止什么之后，您可以定义策略来监视应用程序行为。

当应用程序第一次使用代理启动时，代理将发送所有访问目录的摘要，并根据该概要文件建议策略。在定义了策略之后，任何违反策略的读或写操作都将导致发送给tCell的事件。您可以检查这些事件并相应地更新策略。为了保持允许列表简短，系统偶尔会建议父目录(在修剪的路径节)而不是单独的子目录。

启用本地文件

要启用本地文件功能，请执行以下操作：

1. 为所需的应用程序安装代理。
2. 启动应用程序。
3. 如果希望观察应用程序的读写访问，请保留tCell Local Files策略报告只模式。
4. 查看应用程序对系统的读写访问权限后，构建读写访问策略。
5. 几天后，观察是否有任何违规行为表明需要更新策略。
6. 当所有正常的after操作都封装在策略中时，启用块和报告模式。

创建一个策略

tCell的本地文件功能可帮助安全团队保护文件系统免受未经授权的读写访问。您可以创建策略来定义允许或不允许哪些访问或活动。

策略的粒度或详细程度基于：

• 的目录
• 访问类型:读或写

目录

策略是一种allowlist类型。您将列出允许活动的目录。策略中的目录包括子目录，以保持策略简明和可管理。例如，允许写入的策略/ tmp文件夹也将应用于子目录，如/ tmp / foo．

读或写访问

对于策略中的每个目录，可以定义是否允许写操作、读操作或同时允许写操作和读操作。

策略创建

在“本地文件”仪表板中，您将看到一个简短的目录列表，系统已将其标识为在中制定策略的候选目录修剪的路径部分。作为用户，您可以接受并保存这些目录以创建策略。如果您想查看完整的列表，您可以查看所有路径选项卡，或在策略页面中进一步自定义。

更新并维护您的政策

制定策略后，任何不允许的读或写操作都会导致每次违规事件。

可以通过仪表板查看这些违规，并使用事件查看器进行分析。从这两个视图中，您可以确定读或写访问是否有效和可接受。如果违规是有效的，您可以转到配置页面将它们添加到您的策略中。

要配置策略，请执行以下操作：

1. 点击本地文件在左侧导航中，转到“本地文件”仪表板。
2. 选中任何您想要允许列表的建议路径旁边的框。可选择多条路径。
3. 单击Allowlist按钮。
4. 部署策略。

仅报告和块模式

默认情况下，报告只模式已启用，因此您可以查看策略冲突并根据需要更新策略，同时将对应用程序的任何影响降至最低。在涉众对策略表示应用程序应该做什么或不应该做什么感到满意之后，您可以启用块和报告模式这意味着tCell将阻止任何访问违反allowlist的文件的尝试，并向tCell发送包含事件详细信息的事件。

局限性

以下是本地文件包含功能的一些已知限制。

。net和。net核心代理

本地文件功能可能与.NET和.NET核心平台上的某些监视工具冲突。如果您正在与.NET或.NET核心代理一起运行这些工具中的任何一个，则在该平台上安装或配置tCell代理的可选探查器之前，需要卸载或禁用它们。您可以使用命令注入来卸载或禁用.NET应用程序．

节点代理

在本地文件检测期间，节点代理无法访问HTTP请求信息。只能按与HTTP请求不关联的以下属性进行筛选：

• 此 路 不通？
• 规则Id
• 文件路径
• 模式
• 目录类型
• 文件类型
• 路径的风格
• 文件已存在？