编辑策略内容
当您创建策略组后,需要修改策略内容时,可按照本文档的指导完成策略内容的编辑。
- 策略内容的修改,只在当前所修改的策略组生效。
- 默认策略组有默认配置,不建议修改。
- Windows的HIPS策略目前不支持修改。
约束限制
需开启企业版、旗舰版、网页防篡改版、容器版中任一版本。
进入策略管理
- 登录管理控制台。
- 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
- 在左侧导航栏,选择“策略管理”界面,查看显示的策略组,字段说明如表1所示。
,进入
- tenant_linux_container_default_policy_group:容器版linux系统预置策略,可通过复制该策略组来创建新的策略组。tenant_linux_enterprise_default_policy_group:企业版linux系统预置策略,仅可被查看,不可被复制和删除。
- tenant_windows_enterprise_default_policy_group:企业版windows系统预置策略,仅可被查看,不可被复制和删除。
- tenant_linux_premium_default_policy_group:旗舰版linux系统预置策略,可通过复制该策略组来创建新的策略组。
- tenant_windows_premium_default_policy_group:旗舰版windows系统预置策略,可通过复制该策略组来创建新的策略组。
- 可在列表右上角单击,手动刷新当前列表。
- 可单击关联服务器数的数量,查看策略组关联的服务器。
- 单击目标策略组名称,进入策略详情列表,单击策略名称对不同策略进行修改。
资产发现
- 单击“资产发现”,弹出“资产发现”策略详情界面。
- 在弹出的资产管理界面中,修改“策略内容”,参数说明如表2所示。
- 确认无误,单击“确认”,完成修改。
弱口令检测
弱口令/密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞。数据、程序都储存在系统中,若密码被破解,系统中的数据和程序将毫无安全可言。
企业主机安全会对使用经典弱口令的用户账号告警,主动检测出主机中使用经典弱口令的账号。您也可以将疑似被泄露的口令添加在自定义弱口令列表中,防止主机中的账户使用该弱口令,给主机带来危险。
- 单击“弱口令检测”,弹出“弱口令检测”策略详情界面。
- 在弹出的“策略内容”界面中,修改“策略内容”,参数说明如表3所示。
表3 弱口令检测策略内容参数说明 参数
说明
检测时间
配置弱口令检测的时间,可具体到每一天的每一分钟。
随机偏移时间(秒)
检测配置的弱口令时间的随机偏移时间,在“检测时间”的基础上偏移,可配置范围为“0~7200秒”。
检测日
弱口令检测日期。勾选周一到周日检测弱口令的时间。
检测休息时间(ms)
检测配置的单个账号的时间间隔,可配置范围为“0ms~2000ms”。
例如:配置为“50”,检测“/bin/ls”后,等待“50”毫秒再检测“/bin/ls”。
自定义弱口令
您可以将疑似被泄露的口令添加在自定义弱口令文本框中,防止主机中的账户使用该弱口令,给主机带来危险。
填写多个弱口令时,每个弱口令之间需换行填写,最多可添加300条。
- 确认无误,单击“确认”,完成修改。
配置检测
- 单击“配置检测”,弹出“配置检测”策略详情界面。
- 在“配置检测”界面,修改“策略内容”。
表4 系统配置检测策略内容参数说明 参数
说明
检测时间
配置系统检测的时间,可具体到每一天的每一分钟。
随机偏移时间(秒)
配置系统检测的随机偏移时间,可配置范围为“0~7200秒”。
检测日
系统配置检测日期,勾选周一到周日的检测系统配置的时间。
系统默认基线库
系统已经配置好的检测基线,只需要勾选需要扫描检测的基线即可,所有值均为默认,不可修改。
- 勾选需要检测的基线或自定义基线。
- 确认无误,单击“确认”,完成修改。
Webshell检测
如果未设置“用户指定扫描路径”,Webshell检测功能默认扫描您资产中的Web站点路径。设置“用户指定扫描路径”后,Webshell检测功能仅扫描您指定的路径。
- 单击“Webshell检测”,弹出“Webshell检测”策略详情界面。
- 在弹出的“Webshell检测”界面中,修改“策略内容”,参数说明如表5所示。
- 确认无误,单击“确认”,完成修改。
文件保护
- 单击“文件保护”,弹出“文件保护”策略详情界面。
- 在弹出的文件保护界面中,修改“策略内容”,参数说明如表6所示。
表6 文件保护策略内容参数说明 参数
说明
文件提权检测
- 启用:是否开启文件提权检测。
- :开启。
- :关闭。
- 忽略的文件路径:填写需要忽略的文件路径。文件路径以“/”开头,不能以“/”结尾,多个路径通过回车换行分隔且名称中不能包含空格。
关键文件完整性检测
- 启用:是否开启关键文件完整性检测。
- :开启。
- :关闭。
- 监控文件:配置监控文件。
关键文件目录变更检测
- 启用:是否开启关键文件目录变更检测。
- :开启。
- :关闭。
- 开启Audit:是否开启Audit检测功能,开启后,请注意系统的inotify使用限制,超过限制,部分文件目录变更将检测不到。
- :开启。
- :关闭。
- 会话IP白名单:如果操作文件的进程属于以上IP的会话,则不予审计。
- 忽略监控文件类型后缀:忽略监控的文件类型的后缀。
- 忽略监控的文件路径:配置忽略监控文件的路径。
- 监控登录密钥:是否开启监控登录密钥。
- :开启。
- :关闭。
文件目录监控
- 监控模式:监控文件或目录路径的模式。
- 文件或目录路径:系统预置了部分文件或目录监控路径,您可以自行修改需要检测的文件更改类型以及添加需要监控的文件或目录路径。
- 启用:是否开启文件提权检测。
- 确认无误,单击“确认”,完成修改。
登录安全检测
- 单击“登录安全检测”,弹出“登录安全检测”策略详情界面。
- 在弹出的“登录安全检测”策略内容中,修改“策略内容”,参数说明如所示。
表7 登录安全检测策略内容参数说明 参数
说明
封禁时间(分钟)
可设置被阻断攻击IP的封禁时间,封禁时间内不可登录,封禁时间结束后自动解封,可配置范围为“1~43200”。
破解行为判断阈值(秒)
与“破解行为判断阈值(登录失败次数)”一起配置使用。可配置范围为“5~3600”。
例如:破解行为判断阈值“30”,破解行为判断阈值(登录失败次数)“5”,表示“30秒内同一IP发生5次登录失败会被判定为账户爆破行为。”
破解行为判断阈值(登录失败次数)
与破解行为判断阈值一起配置使用,可配置范围为“1~36000”。
慢破解行为判断阈值(秒)
与慢破解行为判断阈值(登录失败次数)一起配置使用。可配置范围为“600~86400”。
例如:慢破解行为判断阈值“3600”,慢破解行为判断阈值(登录失败次数)“15”,表示“3600秒内同一IP发生15次登录失败会被判定为账户爆破行为。”
慢爆破行为判断阈值(登录失败次数)
与慢破解行为判断阈值一起配置使用。可配置范围为“6~100”。
是否审计登录成功
- 开启此功能后,HSS将上报登录成功的事件。
- :开启。
- :关闭。
阻断攻击IP(非白名单)
开启阻断攻击IP后,HSS将阻断爆破行为的IP(非白名单)登录。
白名单爆破行为是否告警
- 开启后,HSS将对白名单IP产生的爆破行为进行告警。
- :开启。
- :关闭。
白名单
将IP添加到白名单后,HSS不会阻断白名单内IP的爆破行为。最多可添加50个IP或网段到白名单,且同时支持IPV4和IPV6。
- 开启此功能后,HSS将上报登录成功的事件。
- 确认无误,单击“确认”,完成修改。
恶意文件检测
- 单击“恶意文件检测”,弹出“恶意文件检测”策略详情界面。
- 在弹出的恶意文件检测界面中,修改“策略内容”,参数说明如表8所示。
表8 恶意文件检测策略内容参数说明 参数
说明
反弹shell忽略的进程文件路径
反弹shell忽略的进程文件的路径。
文件路径以“/”开头,不能以“/”结尾。多个路径通过回车换行分隔且名称中不能包含空格。
反弹shell扫描周期(秒)
反弹shell扫描的周期,可配置范围为“30-86400”。
Audit检测增强
- 选择是否开启Audit检测增强,建议开启。
- :开启。
- :关闭。
进程打开文件上限
进程打开文件的上限数,可配置范围为“10-300000”。
反弹shell检测
- 选择是否开启反弹shell检测,建议开启。
- :开启。
- :关闭。
反弹Shell自动化阻断
选择是否开启反弹Shell自动阻断,建议开启。- :开启。
- :关闭。
异常shell检测
- 选择是否开启异常shell检测,建议开启。
- :开启。
- :关闭。
- 选择是否开启Audit检测增强,建议开启。
- 确认无误,单击“确认”,完成修改。
进程异常行为
- 单击“进程异常行为”,弹出“进程异常行为”策略详情界面。
- 在弹出的进程异常行为管理界面中,修改“策略内容”,参数说明如表9所示。
- 确认无误,单击“确认”,完成修改。
root提权
- 单击“root提权”,弹出“root提权”策略详情界面。
- 在弹出的root提权界面中,修改“策略内容”,参数说明如表10所示。
- 确认无误,单击“确认”,完成修改。
实时进程
- 单击“实时进程”,弹出“实时进程”策略详情界面。
- 在弹出的实时进程界面中,修改“策略内容”,参数说明如表11所示。
- 确认无误,单击“确认”,完成修改。
rootkit检测
- 单击“rootkit检测”,弹出“rootkit检测”策略详情界面。
- 在弹出的rootkit检测界面中,修改“策略内容”。
表12 rootkit检测策略内容参数说明 参数名称
参数说明
取值样例
检测的时间间隔(秒)
策略执行检测的间隔时间周期,可配置范围为“60~86400”。
86400
根据知识库检查
检测时按照已有知识库内容检查,包括对文件和文件夹的检查,建议开启。
- :开启。
- :关闭。
:开启。
根据内核空间检查
检测时按照内核模块为单位进行检查,包括对所有内核模块的检查,建议开启。
- :开启。
- :关闭。
:开启。
内核模块白名单
自定义填写检测时忽略的内核模块名称。
可填写多个,不同模块名称之间用换行隔开,最多可添加10个。
xt_conntrack
virtio_scsi
tun
- 确认无误,单击“确认”,完成修改。
AV检测
- 单击“AV检测”,弹出“AV检测”策略详情界面。
- 在弹出的AV检测界面中,修改“策略内容”,参数说明如表13所示。
表13 AV检测策略内容参数说明 参数名称
参数说明
取值样例
是否开启实时防护
开启后,执行该策略时AV检测提供实时检测防护,建议开启。
- :开启。
- :关闭。
:开启。
防护文件类型
自定义勾选自动实时检测的文件的类型。
- 全部:选中所有文件类型。
- 可执行:常见的exe,dll,sys等。
- 压缩:常见的zip,rar,jar等。
- 文本:常见的php,jsp,html,bash等。
- OLE:复合型文档,常见的office格式文件(ppt,doc)和保存的邮件文件(msg)。
- 其他:除开以上类型的其他类型。
全部
防护动作
目标检测告警的防护动作。
- 自动处理:检测为高危等级病毒文件将自动执行隔离,其余风险等级病毒不自动隔离。
- 人工处理:检测的病毒无论是什么风险等级,都不会自动隔离,需手动处理。
自动处理
- 确认无误,单击“确认”,完成修改。
容器信息收集
- 单击“容器信息收集”,弹出“容器信息收集”策略详情界面。
- 在弹出的容器信息收集界面中,修改“策略内容”,参数说明如表14所示。
白名单优先级更高,若白名单和黑名单配置了一样的目录,则目录以白名单为基准,允许挂载。
- 确认无误,单击“确认”,完成修改。
集群入侵检测
- 单击“集群入侵检测”,滑出“集群入侵检测”策略详情界面。
- 在弹出的集群入侵检测界面中,修改“策略内容”,参数说明如表15所示。
表15 集群入侵检测策略参数说明 参数名称
参数说明
取值样例
基础检测case
提供所有支持基础检测的检测项,根据需求勾选即可。
全选。
白名单
自定义添加在检测中需要忽略的类型及对应的值,且可自定义进行添加的删除。
支持的类型如下:
- ip过滤
- pod名称过滤
- image名称过滤
- 执行用户过滤
- pod标签过滤
- namespace过滤
说明:
每一种类型只能使用一次。
类型:ip过滤
值:192.168.x.x
该策略配置完成后,还需开启日志审计功能,且企业主机安全Agent需要部署在集群的管理节点上(APIServer所在的节点)才能正常生效。
- 确认无误,单击“确认”,完成修改。
容器逃逸
- 单击“容器逃逸”,系统弹出“容器逃逸”策略详情页面。
- 在弹出的“容器逃逸”策略页面中,编辑策略内容,参数说明如表 容器逃逸策略参数说明所示。
- 单击“确认”,完成修改。
容器文件监控
当被监控的文件路径位于挂载路径下,而非容器在主机上的可写层时,无法触发容器文件修改的告警。此类文件可以通过主机的文件保护策略进行防护。
- 单击“容器文件监控”,滑出“容器文件监控”策略详情界面。
- 在弹出的容器文件监控界面中,修改“策略内容”,参数说明如表17所示。
- 确认无误,单击“确认”,完成修改。
容器进程白名单
- 单击“容器进程白名单”,滑出“容器进程白名单”策略详情界面。
- 在弹出的容器进程白名单界面中,修改“策略内容”,参数说明如表18所示。
- 确认无误,单击“确认”,完成修改。
镜像异常行为
- 单击“镜像异常行为”,滑出“镜像异常行为”策略详情界面。
- 在弹出的镜像异常行为界面中,修改“策略内容”,参数说明如表19所示。
表19 镜像异常行为策略参数说明 参数名称
参数说明
取值样例
规则名称
不同规则的名称。
-
规则描述
不同规则的简要描述。
-
规则模板
- 选择不同的规则进行配置,支持的规则项如下:
- 镜像白名单
- 镜像黑名单
- 镜像标签白名单
- 镜像标签黑名单
- 创建容器白名单
- 创建容器黑名单
- 容器mount proc白名单
- 容器seccomp unconfined
- 容器特权白名单
- 容器capabilities白名单
- 规则填写参数说明如下:
- 精准匹配:通过目标镜像名称来检测,填写目标镜像名称匹配镜像,多个名称以英文分号隔开,最多填写20个。
- 正则匹配:通过正则来检测,填写正则表达式匹配镜像,多个表达式以英文分号隔开,最多填写20个。
- 前缀匹配:通过前缀名称来检测,填写前缀名称匹配镜像,多个前缀以英文分号隔开,最多填写20个。
- 标签名称:通过标签及标签值来筛选检测,最多可添加20个标签项。
- 权限类型:通过选择权限进行指定检测或忽略检测,权限说明详情请参见表20。
-
表20 镜像异常行为权限说明 权限名称
权限说明
AUDIT_WRITE
将记录写入内核审计日志的。
CHOWN
对文件UID和GID进行任意更改的。
DAC_OVERRIDE
绕过文件读、写和执行权限检查。
FOWNER
绕过权限检查通常要求进程的文件系统UID与文件UID匹配的操作。
FSETID
修改文件时不清除set-user-ID和set-group-ID权限位。
KILL
放通发送信号的权限检查。
MKNOD
使用mknod创建特殊文件。
NET_BIND_SERVICE
将socket绑定到internet域特权端口(端口号小于1024)。
NET_RAW
使用原始socket和数据包socket。
SETFCAP
设置文件功能。
SETGID
对进程GID和补充GID列表进行任意操作。
SETPCAP
修改进程能力。
SETUID
对进程UID进行任意操作。
SYS_CHROOT
使用chroot,更改根目录。
AUDIT_CONTROL
启用和禁用内核审计;更改审计筛选规则;检索审计状态和筛选规则。
AUDIT_READ
允许通过组播网络链接套接字读取审计日志。
BLOCK_SUSPEND
允许防止系统挂起。
BPF
允许创建BPF映射、加载BPF类型格式(BTF)数据、检索BPF程序的JITed代码等。
CHECKPOINT_RESTORE
允许检查点/恢复相关操作。
DAC_READ_SEARCH
绕过文件读取权限检查和目录读取和执行权限检查。
IPC_LOCK
锁定内存(mlock、mlockall、mmap、shmctl)。
IPC_OWNER
绕过对System V IPC对象的操作的权限检查。
LEASE
在任意文件上建立租赁。
LINUX_IMMUTABLE
设置FS_APPEND_FL和FS_IMMUTABLE_FL i节点标志。
MAC_ADMIN
允许MAC配置或状态更改。
MAC_OVERRIDE
覆盖强制访问控制(MAC)。
NET_ADMIN
执行各种与网络相关的操作。
NET_BROADCAST
进行socket广播,并侦听组播。
PERFMON
允许使用perf_events、i915_perf和其他内核子系统进行系统性能和可观察性特权操作。
SYS_ADMIN
执行一系列系统管理操作。
SYS_BOOT
使用重新启动和kexec_load,重新启动并加载新内核以便以后执行。
SYS_MODULE
加载和卸载内核模块。
SYS_NICE
提升进程良好值(良好,设置优先级),并更改任意进程的良好值。
SYS_PACCT
使用账户,打开或关闭进程记账。
SYS_PTRACE
使用ptrace跟踪任意进程。
SYS_RAWIO
执行I/O端口操作(ipl和ioperm)。
SYS_RESOURCE
覆盖资源限制。
SYS_TIME
设置系统时钟(settimeofday、stime、adjtimex);设置实时(硬件)时钟。
SYS_TTY_CONFIG
使用vhangup;在虚拟终端上使用各种特权ioctl操作。
SYSLOG
执行特权系统日志操作。
WAKE_ALARM
触发将唤醒系统的东西。
- 选择不同的规则进行配置,支持的规则项如下:
- 确认无误,单击“确认”,完成修改。
端口扫描检测
- 单击“端口扫描检测”,滑出“端口扫描检测”策略详情界面。
- 在弹出的端口扫描检测界面中,修改“策略内容”,参数说明如表21所示。
- 确认无误,单击“确认”,完成修改。
自保护
自保护策略是保护企业主机安全的软件、进程和文件不被恶意程序破坏的策略,不支持自定义策略内容。