当您创建策略组后,需要修改策略内容时,可按照本文档的指导完成策略内容的修改。
- 策略内容的修改,只在当前所修改的策略组生效。
- 默认策略组有默认配置,不建议修改。
- Windows的HIPS策略目前不支持修改。
约束限制
需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。
进入策略管理
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、在弹窗界面单击“体验新版”,切换至主机安全服务页面。
4、在左侧导航栏,选择“安全运营 > 策略管理”,进入“策略管理”界面,查看显示的策略组,字段说明如下所示:
说明
tenant_linux_container_default_policy_group:容器版linux系统预置策略,仅可被查看,不可复制和删除。
tenant_linux_enterprise_default_policy_group:企业版linux系统预置策略,仅可被查看,不可被复制和删除。
tenant_windows_enterprise_default_policy_group:企业版windows系统预置策略,仅可被查看,不可被复制和删除。
tenant_linux_premium_default_policy_group:旗舰版linux系统预置策略,可通过复制该策略组来创建新的策略组。
tenant_windows_premium_default_policy_group:旗舰版windows系统预置策略,可通过复制该策略组来创建新的策略组。
可在列表右上角单击 ,手动刷新当前列表。
可单击关联服务器数的数量,查看策略组关联的服务器。
策略组列表字段说明
| 字段 | 说明 |
|---|---|
| 策略组名称 | 策略组的名称。 |
| ID | 策略组的ID号,对策略组的唯一标识。 |
| 描述 | 对策略组的描述。 |
| 支持的版本 | 策略组支持的主机安全的版本。 |
5、单击目标策略组名称,进入策略详情列表,单击策略名称对不同策略进行修改。
Linux策略组详情
资产发现
1、单击“资产发现”,弹出“资产发现”策略详情界面。
2、在弹出的资产管理界面中,修改“策略内容”,参数说明如表8-4所示。
修改资产发现策略
资产管理策略内容参数说明
| 参数名称 | 参数说明 |
|---|---|
| 自启动信息检测的时间间隔(秒) | 自启动信息检测的时间间隔,可配置范围为“3600秒~86400秒”。 |
| 需要获取信息的软件名称 | 软件名称中不能包含空格且内容长度不得超过5000字符,多个软件名称用逗号分隔。 如果不配置,则获取所有已安装软件信息。 |
| 软件搜索路径 | 软件搜索的路径,Windows主机不需要添加。 |
| 指定待扫描web目录 | 需要扫描的web目录。 |
| web目录扫描深度 | 指定web目录扫描的层级深度。 |
3、确认无误,单击“确认”,完成修改。
弱口令检测
弱口令/密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞。数据、程序都储存在系统中,若密码被破解,系统中的数据和程序将毫无安全可言。
主机安全服务会对使用经典弱口令的用户帐号告警,主动检测出主机中使用经典弱口令的帐号。您也可以将疑似被泄露的口令添加在自定义弱口令列表中,防止主机中的帐户使用该弱口令,给主机带来危险。
1、单击“弱口令检测”,弹出“弱口令检测”策略详情界面。
2、在弹出的“策略内容”界面中,修改“策略内容”,参数说明如表所示。
修改弱口令检测
弱口令检测策略内容参数说明
| 参数 | 说明 |
|---|---|
| 检测时间 | 配置弱口令检测的时间,可具体到每一天的每一分钟。 |
| 随机偏移时间(秒) | 检测配置的弱口令时间的随机偏移时间,在“检测时间”的基础上偏移,可配置范围为“0~7200秒”。 |
| 检测日 | 弱口令检测日期。勾选周一到周日检测弱口令的时间。 |
| 检测休息时间(ms) | 检测配置的单个帐号的时间间隔,可配置范围为“0ms~2000ms”。 例如:配置为“50”,检测“/bin/ls”后,等待“50”毫秒再检测“/bin/ls”。 |
| 自定义弱口令 | 您可以将疑似被泄露的口令添加在自定义弱口令文本框中,防止主机中的帐户使用该弱口令,给主机带来危险。 填写多个弱口令时,每个弱口令之间需换行填写,最多可添加300条。 |
3、确认无误,单击“确认”,完成修改。
配置检测
1、单击“配置检测”,弹出“配置检测”策略详情界面。
2、在“配置检测”界面,修改“策略内容”,参数说明如表所示。
修改配置检测
系统配置检测策略内容参数说明
| 参数 | 说明 |
|---|---|
| 检测时间 | 配置系统检测的时间,可具体到每一天的每一分钟。 |
| 随机偏移时间(秒) | 配置系统检测的随机偏移时间,可配置范围为“0~7200秒”。 |
| 检测日 | 系统配置检测日期,勾选周一到周日的检测系统配置的时间。 |
3、勾选需要检测的基线或自定义基线。
说明若有等保合规的需求,可按需勾选“标准类型”为“等保合规”的基线项。
4、确认无误,单击“确认”,完成修改。
Webshell检测
Webshell检测功能只有设置了“用户指定扫描路径”之后才会生效。
1、单击“Webshell检测”,弹出“Webshell检测”策略详情界面。
2、在弹出的“Webshell检测”界面中,修改“策略内容”,参数说明如表所示。
修改Webshell检测策略
Webshell检测策略内容参数说明
| 参数 | 说明 |
|---|---|
| 检测时间 | 配置Webshell检测的时间,可具体到每一天的每一分钟。 |
| 随机偏移时间(秒) | 配置随机偏移时间,可配置范围为“0~7200秒”。 |
| 检测日 | Webshell检测日期,勾选周一到周日的检测Webshell的时间。 |
| 用户指定扫描路径 | 手动添加需要检测的Web目录。 文件路径以“/”开头,不能以“/”结尾。 多个路径通过回车换行分隔且名称中不能包含空格。 |
| 检查文件后缀 | 检查文件的后缀,可以检测“jsp”、“jspx”、“jspf”、“php”、“php5”和“php4”。 |
3、确认无误,单击“确认”,完成修改。
文件保护
1、单击“文件保护”,弹出“文件保护”策略详情界面。
2、在弹出的文件保护界面中,修改“策略内容”,参数说明如表所示。
修改文件保护策略
文件保护策略内容参数说明
| 参数 | 说明 |
|---|---|
| 文件提权检测 | 启用:是否开启文件提权检测。 忽略的文件路径:填写需要忽略的文件路径。文件路径以“/”开头,不能以“/”结尾,多个路径通过回车换行分隔且名称中不能包含空格。 |
| 关键文件完整性检测 | 启用:是否开启关键文件完整性检测。 监控文件:配置监控文件。 |
| 关键文件目录变更检测 | 启用:是否开启关键文件目录变更检测。 开启Audit:是否开启Audit检测功能,开启后,请注意系统的inotify使用限制,超过限制,部分文件目录变更将检测不到。 会话IP白名单:如果操作文件的进程属于以上IP的会话,则不予审计。 忽略监控文件类型后缀:忽略监控的文件类型的后缀。 忽略监控的文件路径:配置忽略监控文件的路径。 监控登录密钥:是否开启监控登录密钥。 |
3、确认无误,单击“确认”,完成修改。
登录安全检测
1、单击“登录安全检测”,弹出“登录安全检测”策略详情界面。
2、在弹出的“登录安全检测”策略内容中,修改“策略内容”,参数说明如表所示。
修改安全检测策略
登录安全检测策略内容参数说明
| 参数 | 说明 |
|---|---|
| 阻断攻击IP | 开启阻断攻击IP后,HSS将阻断爆破行为的IP登录。 Agent会修改系统配置,阻断帐户爆破IP。 |
| 封禁时间(分钟) | 可设置存在爆破行为IP的封禁时间,封禁时间内不可登录,封禁时间结束后自动解封,可配置范围为“1~43200”。 |
| 破解行为判断阈值(秒) | 与“破解行为判断阈值(登录失败次数)”一起配置使用。可配置范围为“5~3600”。 例如:破解行为判断阈值“30”,破解行为判断阈值(登录失败次数)“5”,表示“30秒内同一IP发生5次登录失败会被判定为帐户爆破行为。” |
| 破解行为判断阈值(登录失败次数) | 与破解行为判断阈值一起配置使用,可配置范围为“1~36000”。 |
| 慢破解行为判断阈值(秒) | 与慢破解行为判断阈值(登录失败次数)一起配置使用。可配置范围为“600~86400”。 例如:慢破解行为判断阈值“3600”,慢破解行为判断阈值(登录失败次数)“15”,表示“3600秒内同一IP发生15次登录失败会被判定为帐户爆破行为。” |
| 慢爆破行为判断阈值(登录失败次数) | 与慢破解行为判断阈值一起配置使用。可配置范围为“6~100”。 |
| 破解行为判定解除时间(秒) | 清理破解行为出现登录失败记录的时间间隔,可配置范围为“60~86400”。 解除的暴破IP为已出现暴力破解告警的IP。 |
| 是否审计登录成功 | 开启此功能后,HSS将上报登录成功的日志。 |
3、确认无误,单击“确认”,完成修改。
恶意文件检测
1、单击“恶意文件检测”,弹出“恶意文件检测”策略详情界面。
2、在弹出的恶意文件检测界面中,修改“策略内容”,参数说明如表所示。
修改恶意文件检测策略
恶意文件检测策略内容参数说明
| 参数 | 说明 |
|---|---|
| 反弹shell忽略的进程文件路径 | 反弹shell忽略的进程文件的路径。 文件路径以“/”开头,不能以“/”结尾。多个路径通过回车换行分隔且名称中不能包含空格。 |
| 反弹shell扫描周期(秒) | 反弹shell扫描的周期,可配置范围为“30-86400”。 |
| Audit检测增强 | 选择是否开启Audit检测增强,建议开启。 |
| 进程打开文件上限 | 进程打开文件的上限数,可配置范围为“10-300000”。 |
| 反弹shell检测 | 选择是否开启反弹shell检测,建议开启。 |
| 异常shell检测 | 选择是否开启异常shell检测,建议开启。 |
3、确认无误,单击“确认”,完成修改。
进程异常行为
1、单击“进程异常行为”,弹出“进程异常行为”策略详情界面。
2、在弹出的进程异常行为管理界面中,修改“策略内容”,参数说明如表所示。
修改进程异常行为检测策略
进程异常行为策略内容参数说明
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 检测扫描周期(秒) | 检测主机运行程序的时间周期,可配置范围为“30-1800”。 | 1800 |
| 上报分值阈值 | 上报分值阈值。可配置范围为“1-100”。 | 3 |
3、确认无误,单击“确认”,完成修改。
root提权
1 、单击“root提权”,弹出“root提权”策略详情界面。
2 、在弹出的root提权界面中,修改“策略内容”,参数说明如表所示。
修改root提权策略
root提权策略内容参数说明
| 参数 | 说明 |
|---|---|
| 忽略的进程文件路径 | 忽略的进程文件的路径。文件路径以“/”开头,不能以“/”结尾。多个路径通过回车换行分隔且名称中不能包含空格。 |
| 检测时间间隔(秒) | 进程文件检测时间间隔,可配置范围为“5~3600”。 |
3、确认无误,单击“确认”,完成修改。
实时进程
1、单击“实时进程”,弹出“实时进程”策略详情界面。
2、在弹出的实时进程界面中,修改“策略内容”,参数说明如表所示。
修改实时进程策略
实时进程策略内容参数说明
| 参数 | 说明 |
|---|---|
| 全量进程上报时间间隔(秒) | 所有进程上报间隔的时间周期,可配置范围为“3600~86400”。 |
| 高危命令 | 检测时包含关键词的高危命令。 |
| 白名单(不记录/不上报) | 添加检测时放行、忽略的路径或程序名。 |
3、确认无误,单击“确认”,完成修改。
