步骤二：优化防护配置

开启恶意软件云查

HW场景攻击者一般会对攻击中使用的黑客工具、恶意软件等进行修改，改变文件Hash。这类文件无法通过病毒库检出，只能通过恶意软件云查功能的AV恶意文件检测引擎进行识别。

配置告警通知

开启告警通知后，HSS可以通过短信或邮件的形式向您发送风险告警，方便您及时了解主机或容器存在的安全风险。不开启告警通知，您只能自行登录HSS管理控制台查看告警信息。

1. 登录管理控制台。
2. 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入主机安全平台界面。
3. 在左侧导航树中，选择“安全与配置 > 告警配置”，进入“告警配置”页面。
4. 在“告警配置”页面，配置告警事件、告警方式等信息。相关参数配置请参见表 配置告警信息。
   图2 告警配置
   

   表1 配置告警信息

   参数名称	参数说明	取值样例
   实时告警通知	实时告警通知会在事件发生时，及时发送告警通知至您添加的手机号或者邮箱。每小时每类安全事件的告警通知发送上限为10条。 ：表示开启状态。 ：表示关闭状态
   告警等级	告警通知事件的威胁等级，勾选后，系统才会发送对应等级告警。 必选：致命、高危。 可选：中危、低危。	致命、高危、中危
   屏蔽事件	需要屏蔽无需发送告警通知的事件。 为了避免大量低危告警掩盖入侵告警，建议屏蔽“文件/目录变更”、“登录成功”和“Crontab可疑任务”事件。	文件/目录变更、登录成功、Crontab可疑任务
   选择告警方式	消息中心 告警通知默认发送给账号联系人的消息中心，如需修改接收人请参见修改指定消息接收人。 消息主题 单击下拉列表选择已创建的主题，或者单击“查看消息通知服务主题”创建新的主题。创建新的主题，即配置接收告警通知的手机号码或邮箱地址，具体操作如下： 创建主题。 定制一个HSS消息事件类型。 添加订阅。 为创建的主题添加加一个或多个订阅，即配置接收告警通知的手机号码或邮箱地址。 确认订阅。 添加订阅后，按接收到的短信或邮件提示，完成订阅确认。主题订阅确认的信息可能被当成垃圾短信拦截，如未收到，请查看是否设置了垃圾短信拦截。	消息主题

5. 单击“应用”，完成配置主机安全告警通知的操作。

   界面弹出“告警通知设置成功”提示信息，则说明告警通知设置成功。

优化防护策略

通过精细化策略配置，可提升主机防护能力。

1. 登录管理控制台。
2. 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入主机安全平台界面。

3. 在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面。
4. 单击需要编辑的策略组，进入策略组页面。
5. 单击如下策略名称，进入策略详情页面，编辑策略。
   • webshell检测：在“用户指定扫描路路径”中添加您的Web目录，防止因HSS未能自动识别Web目录，导致漏报告警。
     图3 编辑webshell检测策略
     
   • 进程异常行为策略：修改检测模式为“高检出模式”，增强进程异常行为的检测灵敏度。
     

     高检出模式下的进程异常行为告警可能存在误报情况。

     图4 编辑进程异常行为策略