步骤二:优化防护配置
在护网/重保场景下,建议通过开启恶意软件云查、配置告警通知以及优化防护策略等系列优化防护配置的操作,提高入侵检测与响应的灵敏度。
开启恶意软件云查
HW场景攻击者一般会对攻击中使用的黑客工具、恶意软件等进行修改,改变文件Hash。这类文件无法通过病毒库检出,只能通过恶意软件云查功能的AV恶意文件检测引擎进行识别。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击
,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航树中,选择“主机安装与配置”页面。 ,进入
- 选择“恶意程序隔离查杀”页面。 ,进入
- 在“恶意软件云查”功能所在行,单击
开启该功能。
图1 开启恶意软件云查 - 在“开启恶意软件云查”弹窗中,单击“”。
按钮显示
,表示“恶意软件云查”已开启。
配置告警通知
开启告警通知后,HSS可以通过短信或邮件的形式向您发送风险告警,方便您及时了解主机或容器存在的安全风险。不开启告警通知,您只能自行登录HSS管理控制台查看告警信息。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击
,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航树中,选择“告警配置”页面。 ,进入
- 在“告警配置”页面,配置告警事件、告警方式等信息。相关参数配置请参见表 配置告警信息。
图2 告警配置
表1 配置告警信息 参数名称
参数说明
取值样例
实时告警通知
实时告警通知会在事件发生时,及时发送告警通知至您添加的手机号或者邮箱。每小时每类安全事件的告警通知发送上限为10条。
:表示开启状态。
:表示关闭状态
告警等级
告警通知事件的威胁等级,勾选后,系统才会发送对应等级告警。
- 必选:致命、高危。
- 可选:中危、低危。
致命、高危、中危
屏蔽事件
需要屏蔽无需发送告警通知的事件。
为了避免大量低危告警掩盖入侵告警,建议屏蔽“文件/目录变更”、“登录成功”和“Crontab可疑任务”事件。
文件/目录变更、登录成功、Crontab可疑任务
选择告警方式
- 消息中心
告警通知默认发送给账号联系人的消息中心,如需修改接收人请参见修改指定消息接收人。
- 消息主题
消息主题
- 单击“应用”,完成配置主机安全告警通知的操作。
界面弹出“告警通知设置成功”提示信息,则说明告警通知设置成功。
优化防护策略
通过精细化策略配置,可提升主机防护能力。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击
,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏,选择“策略管理”界面。 ,进入
- 在目标策略组所在行的操作列,单击“编辑防护模式”,系统弹出“编辑防护模式”对话框。
- 在对话框中,选择“高检出”,并单击“”。
高检出模式下的进程异常行为告警可能存在误报情况。
- 单击目标策略组名称,进入策略列表页面。
- 单击“webshell检测”名称,进入策略详情页面,编辑策略。
在“用户指定扫描路路径”中添加您的Web目录,防止因HSS未能自动识别Web目录,导致漏报告警。图3 编辑webshell检测策略
- 策略修改完成,单击“”,修改完成。