配置入侵检测
接入防护后,系统默认开启入侵检测防护,部分检测项需用户根据业务实际需求配置自定义检测规则。
配置异常登录白名单
通过配置异常登录白名单,将常用登录地、常用登录IP等添加至白名单中,非白名单中的登录操作,将被视为异常登录。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“入侵检测 > 异常登录”,进入异常登录页面。
单击页面右上角的“白名单管理”,进入白名单管理页面。
单击“新增白名单”,配置白名单参数。当所有字段都选择完成后,单击“确定”,会生成白名单规则,显示在白名单列表中。
参数 说明 是否必选 登录IP 支持单个IP、IP范围和IP段。多个IP之间用英文逗号(,)隔开。
示例:
- 单个IP:1.1.1.1
- IP范围:1.1.1.1-1.1.1.10
- IP段:172.168.34.1/20
登录IP、登录用户名、登录时间、登录地区,这几个参数至少需要填写一项,可填写多项。 登录用户名 支持输入多个用户名,用英文逗号(,)隔开。 登录地区 可选择多个登录地。 登录时间 可选择开始时间和结束时间。 服务器分类 可选择全部服务器或部分服务器。 必选 描述 白名单的描述信息。 可选
配置可疑操作规则
系统提供默认检测规则,用户也可以自定义检测规则。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“入侵检测 > 可疑操作”,进入可疑操作页面。
单击页面右上角的“自定义规则配置”,进入自定义规则配置页面。
同时自定义规则配置列表可根据规则启用状态、威胁等级、规则名称等进行搜索。单击“新增规则”,配置规则参数。当所有字段都选择完成后,单击“确定”,完成配置。
参数 说明 规则名称 自定义规则的名称。 正则表达式 通过正则表达式匹配满足要求的操作。 威胁等级 配置规则的威胁等级,包括高危、中危、低危。 服务器分类 可选择全部服务器和部分服务器。 描述 规则的描述信息。
关于更多入侵检测功能的介绍及风险处理,请参见入侵检测。
开启定时漏洞扫描
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“风险管理 > 漏洞扫描”,进入漏洞扫描页面。
单击定时扫描右侧的“设置”,页面右侧弹出定时扫描设置窗口,可进行定时扫描设置。
设置选项包括漏洞类别、定期检测周期、设置生效范围,详细参数说明如下。
参数 说明 定时扫描 开启或关闭定时扫描。 漏洞类别 支持扫描“Linux软件漏洞”、“Windows系统漏洞”、“Web-CMS漏洞”和“应用漏洞”。 定期检测周期 设置后会在周期选定的时间点开始定期检测。
- 扫描周期:选择每天、3天或7天。
- 扫描时间:默认为02:00,可以手动选择一天中的任一整点时间。
设置生效范围 选择扫描哪些服务器。可以选择“全部服务器”或“自选服务器”。
选择“自选服务器”时,您可以通过区域、服务器名称、服务器IP搜索需要扫描的服务器。
说明
以下服务器不能被选中执行漏洞扫描:
非“运行中”状态的服务器。
Agent状态为“离线”的服务器。
单击“确定”,设置完成。
配置基线检测策略
基线检测设置分为一键检测和定时检测。当您需要进行基线检测时,先设置您需要的基线策略。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“风险管理 > 基线检测”,进入基线检测页面。
单击“策略管理”,进入策略管理页面。
该页面展示了已经设置好的基线策略,包括策略名称、检测周期、检测服务器数、创建日期、策略开关和操作。可以新建、编辑和删除基线策略。
单击“新建策略”,页面右侧弹出新建基线策略窗口。
设置策略名称、检查时间、选择基线名称和服务器。
设置完成后,单击“确认”即可完成新建基线策略。
开启弱口令定时检测
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“风险管理 > 弱口令检测”,进入弱口令检测页面。
单击定时扫描右侧的“设置”,页面右侧弹出定时检测设置窗口,可进行定时检测设置。
设置选项包括检测周期、弱口令分类、设置生效范围,详细参数说明如下。
参数 说明 定时扫描 开启或关闭定时扫描。 检测周期 设置后会在周期选定的时间点开始定期检测。
- 扫描周期:选择每天、3天或7天。
- 扫描时间:默认为02:00,可以手动选择一天中的任一整点时间。
弱口令分类 支持“应用弱口令”和“系统弱口令”。 设置生效范围 选择检测哪些服务器。可以选择“全部服务器”或“自选服务器”。
选择“自选服务器”时,您可以通过区域、服务器名称、服务器IP搜索需要检测的服务器。
说明
以下服务器不能被选中执行弱口令检测:
使用“基础版”的服务器。
非“运行中”状态的服务器。
Agent状态为“离线”的服务器。
开启定时扫描病毒
定时查杀是用来配置服务器定时启动病毒查杀的功能,按照用户设置的检测周期执行扫描任务。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“文件安全 > 病毒查杀”,进入病毒查杀页面。
单击定时扫描右侧的“设置”,页面右侧弹出定时扫描设置窗口,可进行定时扫描设置。
根据界面提示,配置相关参数,详情参数说明如下。
参数 说明 检测模式 可选择快速检测、全盘检测、自定义检测。 检查周期 可选择每天、每3天或每7天检查周期。 超时时间 设置扫描任务时长,超过设置时长即为扫描失败。 生效范围 自定义选择需要执行病毒扫描任务的服务器。 单击“确认”,设置完成。
设置文件完整性保护检测规则
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“文件安全 > 文件完整性保护”,进入文件完整性保护页面。
单击列表右上方的“检测设置”,进入检测设置页面。
配置相关参数。
参数 说明 启用文件变更检测 开启或关闭文件变更检测功能。 关键文件监控 - 系统内置:对系统关键文件、文件路径、文件目录进行实时监控,发现文件变更篡改行为进行告警。
- 自定义:根据用户特定的防护场景,自定义添加监控路径,发现文件变更篡改行为进行告警。
监控排除设置 对用户添加的信任文件路径不再进行监控,方便用户更加灵活创建检测策略。 设置生效范围 自定义选择需要执行文件变更篡改行为监控的服务器。 配置完成后,单击“确认提交”。
配置网页防篡改
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“网页防篡改(原生版) > 防护管理”,进入防护管理页面。
在列表中选择要开启网页防篡改防护的服务器,单击操作列的“防护设置”,进入防护设置页面。
选择需要绑定的配额后,单击“配置防护策略”。
为服务器配置防护策略,包括配置防护目录和设置特权进程。
配置防护目录:可对服务器的防护目录进行管理,包括添加、编辑、删除操作。
分为添加白名单或添加黑名单两种模式,可根据实际使用场景进行配置。一台服务器不能同时使用白名单模式和黑名单模式,建议您使用白名单模式。白名单模式:会对添加的防护目录和文件类型进行保护。配置完成后,即开始对配置的文件进行防护,防护目录下的防护文件被修改时,系统会进行拦截或告警。
黑名单模式:会防护目录下所有未排除的子目录、文件类型和指定件。配置完成后,即开始对防护目录下所有未排除的子目录、文件类型和指定文件进行防护,防护目录下已排除的子目录、文件类型、指定文件被修改时,不会告警或拦截。
设置特权进程:特权进程为您信任的进程文件,拥有对防护目录进行操作的权限,请确保特权进程安全可靠。
单击“添加”,弹出新增特权进程窗口,配置特权进程路径后,单击“确定”,完成特权进程配置。
配置完成后,单击“完成防护配置”,回到防护管理页面。
单击防护状态图标,为服务器开启网页防篡改防护。
配置文件防勒索
启用诱饵防护
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“文件安全 > 文件防勒索”,进入文件防勒索页面。
单击诱饵防护模块的“设置”按钮。
在页面右侧弹出的防护设置页面,配置防护参数。
参数 说明 启用诱饵防护 自动在在系统关键位置投放诱饵文件,实时捕捉勒索行为并进行阻断。 病毒处置方式 支持手动处理和自动处理。
- 手动处理:人工手动对勒索病毒文件进行处理。
自动处理:检测出勒索病毒文件自动隔离。
说明
自动隔离后,若出现误报,可在告警列表中对文件进行恢复。
指定防护目录 根据用户的特定防护场景,可自定义创建勒索诱饵文件。 生效范围 自定义选择需要开启诱饵防护的服务器。 配置完成后,单击“确认”。
开启勒索备份
为了避免被勒索后数据丢失,请为服务器开启勒索备份,定期备份数据。
说明
数据备份/恢复属于增值服务,如果您未购买存储库,请先购买备份存储库后再开启勒索备份。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“文件安全 > 文件防勒索”,进入文件防勒索页面。
安装备份Agent。
在“备份与恢复”页面,选择需要进行数据备份的服务器,单击操作列的“安装备份Agent”,Agent状态为“已激活”则安装成功。创建备份计划。
在“备份与恢复”页面,选择需要进行数据备份的服务器,单击操作列的“备份计划”,按照设置的策略进行周期性数据备份。
备份目录:可指定全部目录或自定义目录进行数据备份。
备份周期:可选择每小时、每天、每周或月设置备份周期。
保留规则:可设置备份计划生效时间,支持永久保留和自定义设置时间。
绑定存储库:选择一个可用状态的存储库,备份数据大小应小于存储库剩余容量。
开启告警通知
开启告警通知后,当检测到资产存在风险时,会根据您配置的告警策略,向您发送告警通知,帮助您及时了解资产的安全情况。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏选择“设置中心 > 告警通知”,进入告警通知页面。
根据您的使用场景进行告警通知配置。
配置项 说明 告警开关 自定义开启需要通知的事件类型。 告警时间 事件发生时实时发送告警通知。 通知方式 通过邮件方式发送告警通知。 告警项 根据威胁等级自定义发送通知。 配置完成后单击“保存配置”,界面弹出“保存告警设置成功”提示信息,则说明告警通知配置成功。
订阅报表
服务器安全卫士(原生版)支持生成日报、周报、月报,并支持订阅报表,订阅后系统会在报表生成后将报表发送至您的邮箱。
说明
基础版只支持订阅周报,若需要订阅日报、月报,您需购买并使用企业版、旗舰版。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏选择“设置中心 > 报表管理”,进入报表管理页面。
在“报表管理”页面右上角,单击“报表配置”,进入报表配置页面。
报表配置参数说明如下:
参数名称 说明 报表生成 支持生成日报、周报、月报。根据需要进行开启,可多选。 报表订阅 该页面自动列出当前账号及其全部子账号。
勾选需要订阅报表的账号,报表生成后,系统会自动发送报表至订阅账号的邮箱。
单击“确认”,完成报表配置。