查看和创建策略组
企业主机安全旗舰版提供灵活的策略管理能力,用户可以根据需要自定义安全检测规则,并可以为不同的主机组或主机应用不同的策略,以满足不同应用场景的主机安全需求。
操作须知
- 开启企业版防护时,默认绑定“默认企业版策略组”(包含“弱口令检测”和“网站后门检测”策略),应用于全部的云服务器,不需要单独部署策略
- 开启旗舰版/网页防篡改版防护时,默认绑定了“默认旗舰版策略组”。
用户也可以通过复制“默认旗舰版策略组”的方式,创建自定义策略组,将“默认旗舰版策略组”替换为用户的自定义策略组,更加灵活的应用于不同的云服务器或者云服务器组。
策略列表
策略名称 |
策略说明 |
支持的操作系统 |
企业版 |
旗舰版 |
网页防篡改版 |
---|---|---|---|---|---|
弱口令检测 |
检测系统账户口令是否属于常用的弱口令,针对弱口令提示用户修改。 |
Linux,Windows |
√ (只支持自定义弱口令) |
√ |
√ |
网站后门检测 |
检测云服务器上Web目录中的文件,判断是否为WebShell木马文件。 |
Linux,Windows |
√ (只支持配置检测路径) |
√ |
√ |
资产管理 |
检测系统中的软件信息,包含软件名称、软件路径、主要应用等,帮助用户识别异常资产。 |
Linux,Windows |
× |
√ |
√ |
系统配置检测 |
对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查,帮助用户识别不安全的配置项。 |
Linux,Windows |
× |
√ |
√ |
高危命令检测 |
实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。 |
Linux |
× |
√ |
√ |
提权检测 |
检测当前系统的“进程提权”和“文件提权”操作。
检测以下异常提权操作:
|
Linux |
× |
√ |
√ |
异常/反弹Shell检测 |
检测系统中异常/反弹Shell的获取行为,包括对shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 |
Linux |
× |
√ |
√ |
文件完整性管理 |
检测操作系统、应用程序软件和其他组件的文件,确定文件是否发生了可能遭受攻击的更改。 |
Linux |
× |
√ |
√ |
进入策略管理
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择 ,进入企业主机安全页面。
- 在左侧导航栏,选择“安全运营”,单击“策略管理”,进入“策略管理”界面。
查看策略组列表
- 在“策略管理”界面,查看显示的策略组,字段说明如表1所示。
- default_enterprise_policy_group(默认企业版策略组):企业版系统预置策略,仅可被查看,不可被复制和删除。
- default_premium_policy_group (默认旗舰版策略组):旗舰版系统预置策略,可通过复制该策略组来创建新的策略组。
- 可在列表右上角单击,手动刷新当前列表。
- 可单击关联服务器数的数量,查看策略组关联的服务器。
- 单击策略组名称,进入查看策略组详情界面,可以查看该策略组的策略列表,包括策略名称、状态、功能类别和支持的操作系统
- “默认企业版策略组”和“默认旗舰版策略组”中的所有策略默认为“已启用”状态。
- 若您不需要执行其中一项策略的检测,您可以在策略所在行的“操作”列,单击“关闭”,关闭该策略项的检测。请根据您的需要“开启”或者“关闭”策略的检测。
- 单击策略名称,可以查看策略的详情,以弱口令为例。
若需要修改策略,请参见修改策略内容。
创建策略组
- 选择“default_premium_policy_group (默认旗舰版策略组)”策略组,在该策略组所在行的操作列中,单击“复制”。
- 在弹出的对话框中,输入“策略组名称”和“描述”。
- 策略组的名称不能重复,如果尝试通过复制来创建一个同名的策略组,将会失败。
- “策略组名称”和“描述”只能包含中文、字母、数字、下划线、中划线、空格,并且首尾不能为空格。
- 单击“确定”,将会创建一个新的策略组。
- 单击已创建的策略组名称,进入策略组的策略页面。
- 单击策略名称,修改具体的策略内容,详细信息请参见修改策略内容。
- 策略内容修改完成后,单击策略所在行的“开启”或者“关闭”,开启或者关闭对应的策略。
相关操作
删除策略组
若被删除的策略组已经部署给了主机,在策略组被删除后,这些主机的策略组信息将被设置为“无”。
- 选中需要删除的一个或多个策略组,单击“删除”。
用户也可以在需要删除的策略组所在行的“操作”列中,单击“删除”,删除单个策略组。
- 在弹出对话框中,单击“确定”,完成策略组的删除。