更新时间:2024-04-15 GMT+08:00

编辑策略内容

当您创建策略组后,需要修改策略内容时,可按照本文档的指导完成策略内容的编辑。

  • 策略内容的修改,只在当前所修改的策略组生效。
  • 默认策略组有默认配置,不建议修改。
  • Windows的HIPS策略目前不支持修改。

约束限制

需开启企业版、旗舰版、网页防篡改版、容器版中任一版本。

进入策略管理

  1. 登录管理控制台。
  2. 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
  1. 在左侧导航栏,选择安全运营 > 策略管理,进入“策略管理”界面,查看显示的策略组,字段说明如表1所示。

    • tenant_linux_container_default_policy_group:容器版linux系统预置策略,仅可被查看,不可复制和删除。
    • tenant_linux_enterprise_default_policy_group:企业版linux系统预置策略,仅可被查看,不可被复制和删除。
    • tenant_windows_enterprise_default_policy_group:企业版windows系统预置策略,仅可被查看,不可被复制和删除。
    • tenant_linux_premium_default_policy_group:旗舰版linux系统预置策略,可通过复制该策略组来创建新的策略组。
    • tenant_windows_premium_default_policy_group:旗舰版windows系统预置策略,可通过复制该策略组来创建新的策略组。
    • wtp_主机名称:网页防篡改版策略,每台主机开启网页防篡改防护时都会默认生成对应的网页防篡改策略组。
    • 可在列表右上角单击,手动刷新当前列表。
    • 可单击关联服务器数的数量,查看策略组关联的服务器。
    表1 策略组列表字段说明

    字段

    说明

    策略组名称

    策略组的名称。

    ID

    策略组的ID号,对策略组的唯一标识。

    描述

    对策略组的描述。

    支持的版本

    策略组支持的企业主机安全的版本。

    支持的操作系统

    策略支持的操作系统类型。

    关联服务器数

    策略关联的服务器数。

  2. 单击目标策略组名称,进入策略详情列表,单击策略名称对不同策略进行修改。

资产发现

  1. 单击“资产发现”,弹出“资产发现”策略详情界面。
  2. 在弹出的资产管理界面中,修改“策略内容”,参数说明如表2所示。

    表2 资产管理策略内容参数说明

    参数名称

    参数说明

    检测时间

    针对不同资产自动执行检测的固定时间点。

    • 账号:Linux每小时自动检测一次,Windows实时检测。
    • 开放端口:每30秒自动检测一次。
    • 进程:每小时自动检测一次。
    • 软件:每天自动检测一次。
    • 自启动项:每小时自动检测一次。

    需要获取信息的软件名称

    • 软件名称中不能包含空格且内容长度不得超过5000字符,多个软件名称用逗号分隔。
    • 如果不配置,则获取所有已安装软件信息。

    软件搜索路径

    软件搜索的路径,Windows主机不需要添加。

    指定待扫描web目录

    需要扫描的web目录。

    web目录扫描深度

    指定web目录扫描的层级深度。

  3. 确认无误,单击“确认”,完成修改。

弱口令检测

弱口令/密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞。数据、程序都储存在系统中,若密码被破解,系统中的数据和程序将毫无安全可言。

企业主机安全会对使用经典弱口令的用户账号告警,主动检测出主机中使用经典弱口令的账号。您也可以将疑似被泄露的口令添加在自定义弱口令列表中,防止主机中的账户使用该弱口令,给主机带来危险。

  1. 单击“弱口令检测”,弹出“弱口令检测”策略详情界面。
  2. 在弹出的“策略内容”界面中,修改“策略内容”,参数说明如表3所示。

    表3 弱口令检测策略内容参数说明

    参数

    说明

    检测时间

    配置弱口令检测的时间,可具体到每一天的每一分钟。

    随机偏移时间(秒)

    检测配置的弱口令时间的随机偏移时间,在“检测时间”的基础上偏移,可配置范围为“0~7200秒”

    检测日

    弱口令检测日期。勾选周一到周日检测弱口令的时间。

    检测休息时间(ms)

    检测配置的单个账号的时间间隔,可配置范围为“0ms~2000ms”

    例如:配置为“50”,检测“/bin/ls”后,等待“50”毫秒再检测“/bin/ls”

    自定义弱口令

    您可以将疑似被泄露的口令添加在自定义弱口令文本框中,防止主机中的账户使用该弱口令,给主机带来危险。

    填写多个弱口令时,每个弱口令之间需换行填写,最多可添加300条。

  3. 确认无误,单击“确认”,完成修改。

配置检测

  1. 单击“配置检测”,弹出“配置检测”策略详情界面。
  2. “配置检测”界面,修改“策略内容”

    表4 系统配置检测策略内容参数说明

    参数

    说明

    检测时间

    配置系统检测的时间,可具体到每一天的每一分钟。

    随机偏移时间(秒)

    配置系统检测的随机偏移时间,可配置范围为“0~7200秒”

    检测日

    系统配置检测日期,勾选周一到周日的检测系统配置的时间。

    系统默认基线库

    系统已经配置好的检测基线,只需要勾选需要扫描检测的基线即可。

  3. 勾选需要检测的基线或自定义基线。
  4. 确认无误,单击“确认”,完成修改。

Webshell检测

如果未设置“用户指定扫描路径”,Webshell检测功能默认扫描您资产中的Web站点路径。设置“用户指定扫描路径”后,Webshell检测功能仅扫描您指定的路径。

  1. 单击“Webshell检测”,弹出“Webshell检测”策略详情界面。
  2. 在弹出的“Webshell检测”界面中,修改“策略内容”,参数说明如表5所示。

    表5 Webshell检测策略内容参数说明

    参数

    说明

    检测时间

    配置Webshell检测的时间,可具体到每一天的每一分钟。

    随机偏移时间(秒)

    配置随机偏移时间,可配置范围为“0~7200秒”

    检测日

    Webshell检测日期,勾选周一到周日的检测Webshell的时间。

    用户指定扫描路径

    手动添加需要检测的Web目录。

    • 文件路径以“/”开头,不能以“/”结尾。
    • 多个路径通过回车换行分隔且名称中不能包含空格。

    检查文件后缀

    检查文件的后缀,可以检测“jsp”“jspx”“jspf”“php”“php5”“php4”

  3. 确认无误,单击“确认”,完成修改。

文件保护

  1. 单击“文件保护”,弹出“文件保护”策略详情界面。
  2. 在弹出的文件保护界面中,修改“策略内容”,参数说明如表6所示。

    表6 文件保护策略内容参数说明

    参数

    说明

    文件提权检测

    • 启用:是否开启文件提权检测。
      • :开启。
      • :关闭。
    • 忽略的文件路径:填写需要忽略的文件路径。文件路径以“/”开头,不能以“/”结尾,多个路径通过回车换行分隔且名称中不能包含空格。

    关键文件完整性检测

    • 启用:是否开启关键文件完整性检测。
      • :开启。
      • :关闭。
    • 监控文件:配置监控文件。

    关键文件目录变更检测

    • 启用:是否开启关键文件目录变更检测。
      • :开启。
      • :关闭。
    • 开启Audit:是否开启Audit检测功能,开启后,请注意系统的inotify使用限制,超过限制,部分文件目录变更将检测不到。
      • :开启。
      • :关闭。
    • 会话IP白名单:如果操作文件的进程属于以上IP的会话,则不予审计。
    • 忽略监控文件类型后缀:忽略监控的文件类型的后缀。
    • 忽略监控的文件路径:配置忽略监控文件的路径。
    • 监控登录密钥:是否开启监控登录密钥。
      • :开启。
      • :关闭。

    文件目录监控

    • 监控模式:监控文件或目录路径的模式。
    • 文件或目录路径:系统预置了部分文件或目录监控路径,您可以自行修改需要检测的文件更改类型以及添加需要监控的文件或目录路径。

  3. 确认无误,单击“确认”,完成修改。

登录安全检测

  1. 单击“登录安全检测”,弹出“登录安全检测”策略详情界面。
  2. 在弹出的“登录安全检测”策略内容中,修改“策略内容”,参数说明如表 登录安全检测策略内容参数说明所示。

    表7 登录安全检测策略内容参数说明

    参数

    说明

    封禁时间(分钟)

    可设置被阻断攻击IP的封禁时间,封禁时间内不可登录,封禁时间结束后自动解封,可配置范围为“1~43200”

    破解行为判断阈值(秒)

    “破解行为判断阈值(登录失败次数)”一起配置使用。可配置范围为“5~3600”

    例如:破解行为判断阈值“30”,破解行为判断阈值(登录失败次数)“5”,表示“30秒内同一IP发生5次登录失败会被判定为账户爆破行为。”

    破解行为判断阈值(登录失败次数)

    与破解行为判断阈值一起配置使用,可配置范围为“1~36000”

    慢破解行为判断阈值(秒)

    与慢破解行为判断阈值(登录失败次数)一起配置使用。可配置范围为“600~86400”

    例如:慢破解行为判断阈值“3600”,慢破解行为判断阈值(登录失败次数)“15”,表示“3600秒内同一IP发生15次登录失败会被判定为账户爆破行为。”

    慢爆破行为判断阈值(登录失败次数)

    与慢破解行为判断阈值一起配置使用。可配置范围为“6~100”

    是否审计登录成功

    • 开启此功能后,HSS将上报登录成功的事件。
      • :开启。
      • :关闭。

    阻断攻击IP(非白名单)

    开启阻断攻击IP后,HSS将阻断爆破行为的IP(非白名单)登录。

    白名单爆破行为是否告警

    • 开启后,HSS将对白名单IP产生的爆破行为进行告警。
      • :开启。
      • :关闭。

    白名单

    将IP添加到白名单后,HSS不会阻断白名单内IP的爆破行为。最多可添加50个IP或网段到白名单,且同时支持IPV4和IPV6。

  3. 确认无误,单击“确认”,完成修改。

恶意文件检测

  1. 单击“恶意文件检测”,弹出“恶意文件检测”策略详情界面。
  2. 在弹出的恶意文件检测界面中,修改“策略内容”,参数说明如表8所示。

    表8 恶意文件检测策略内容参数说明

    参数

    说明

    反弹shell忽略的进程文件路径

    反弹shell忽略的进程文件的路径。

    文件路径以“/”开头,不能以“/”结尾。多个路径通过回车换行分隔且名称中不能包含空格。

    反弹shell扫描周期(秒)

    反弹shell扫描的周期,可配置范围为“30-86400”

    Audit检测增强

    • 选择是否开启Audit检测增强,建议开启。
      • :开启。
      • :关闭。

    进程打开文件上限

    进程打开文件的上限数,可配置范围为“10-300000”

    反弹shell检测

    • 选择是否开启反弹shell检测,建议开启。
      • :开启。
      • :关闭。

    反弹Shell自动化阻断

    选择是否开启反弹Shell自动阻断,建议开启。

    • :开启。
    • :关闭。
    说明:

    异常shell检测

    • 选择是否开启异常shell检测,建议开启。
      • :开启。
      • :关闭。

  3. 确认无误,单击“确认”,完成修改。

进程异常行为

  1. 单击“进程异常行为”,弹出“进程异常行为”策略详情界面。
  2. 在弹出的进程异常行为管理界面中,修改“策略内容”,参数说明如表9所示。

    表9 进程异常行为策略内容参数说明

    参数

    说明

    取值样例

    检测扫描周期(秒)

    检测主机运行程序的时间周期,可配置范围为“30-1800”

    1800

    检测模式

    选择进程异常行为的检测模式

    • 高检出模式:对所有进程进行深度、全量的检测扫描,可能存在一定误报,适用于护网重保等场景。
    • 均衡模式:对所有进程进行全量的检测扫描,检测结果准确性和异常进程的检出率均得到一定平衡,适用于日常防护。
    • 低误报模式:对所有进程进行全量的检测扫描,重点提升检测结果的准确性,减少误报的情况,适用于误报较多的场景。

    均衡模式

  3. 确认无误,单击“确认”,完成修改。

root提权

  1. 单击“root提权”,弹出“root提权”策略详情界面。
  2. 在弹出的root提权界面中,修改“策略内容”,参数说明如表10所示。

    表10 root提权策略内容参数说明

    参数

    说明

    忽略的进程文件路径

    忽略的进程文件的路径。

    文件路径以“/”开头,不能以“/”结尾。多个路径通过回车换行分隔且名称中不能包含空格。

    检测时间间隔(秒)

    进程文件检测时间间隔,可配置范围为“5~3600”。

  3. 确认无误,单击“确认”,完成修改。

实时进程

  1. 单击“实时进程”,弹出“实时进程”策略详情界面。
  2. 在弹出的实时进程界面中,修改“策略内容”,参数说明如表11所示。

    表11 实时进程策略内容参数说明

    参数

    说明

    全量进程上报时间间隔(秒)

    所有进程上报间隔的时间周期,可配置范围为“3600~86400”。

    高危命令

    检测时包含关键词的高危命令。

    白名单(不记录/不上报)

    添加检测时放行、忽略的路径或程序名。

  3. 确认无误,单击“确认”,完成修改。

rootkit检测

  1. 单击“rootkit检测”,弹出“rootkit检测”策略详情界面。
  2. 在弹出的rootkit检测界面中,修改“策略内容”

    表12 rootkit检测策略内容参数说明

    参数名称

    参数说明

    取值样例

    检测的时间间隔(秒)

    策略执行检测的间隔时间周期,可配置范围为“60~86400”。

    86400

    根据知识库检查

    检测时按照已有知识库内容检查,包括对文件和文件夹的检查,建议开启。

    • :开启。
    • :关闭。

    :开启。

    根据内核空间检查

    检测时按照内核模块为单位进行检查,包括对所有内核模块的检查,建议开启。

    • :开启。
    • :关闭。

    :开启。

    内核模块白名单

    自定义填写检测时忽略的内核模块名称。

    可填写多个,不同模块名称之间用换行隔开,最多可添加10个。

    xt_conntrack

    virtio_scsi

    tun

  3. 确认无误,单击“确认”,完成修改。

AV检测

  1. 单击“AV检测”,弹出“AV检测”策略详情界面。
  2. 在弹出的AV检测界面中,修改“策略内容”,参数说明如表13所示。

    表13 AV检测策略内容参数说明

    参数名称

    参数说明

    取值样例

    是否开启实时防护

    开启后,执行该策略时AV检测提供实时检测防护,建议开启。

    • :开启。
    • :关闭。

    防护文件类型

    自定义勾选自动实时检测的文件的类型。

    • 全部:选中所有文件类型。
    • 可执行:常见的exe,dll,sys等。
    • 压缩:常见的zip,rar,jar等。
    • 文本:常见的php,jsp,html,bash等。
    • OLE:复合型文档,常见的office格式文件(ppt,doc)和保存的邮件文件(msg)。
    • 其他:除开以上类型的其他类型。

    全部

    防护动作

    目标检测告警的防护动作。

    • 自动处理:检测为高危等级病毒文件将自动执行隔离,其余风险等级病毒不自动隔离。
    • 人工处理:检测的病毒无论是什么风险等级,都不会自动隔离,需手动处理。

    自动处理

  3. 确认无误,单击“确认”,完成修改。

容器信息收集

  1. 单击“容器信息收集”,弹出“容器信息收集”策略详情界面。
  2. 在弹出的容器信息收集界面中,修改“策略内容”,参数说明如表14所示。

    白名单优先级更高,若白名单和黑名单配置了一样的目录,则目录以白名单为基准,允许挂载。

    表14 容器信息收集策略参数说明

    参数名称

    参数说明

    取值样例

    挂载目录白名单

    填写允许挂载的目录。

    /test/docker或/root/*

    注:路径以*结束表示目标路径下的所有子目录,不包括主目录。

    如:设置/var/test/*为白名单目录,表示:目录/var/test/下的所有子目录为白名单目录,不包括test这层。

    挂载目录黑名单

    填写不允许挂载的目录,如user、bin为主机关键信息文件路径,不建议作为挂载目录,否则重要信息可能存在暴露风险。

  3. 确认无误,单击“确认”,完成修改。

集群入侵检测

  1. 单击“集群入侵检测”,滑出“集群入侵检测”策略详情界面。
  2. 在弹出的集群入侵检测界面中,修改“策略内容”,参数说明如表15所示。

    表15 集群入侵检测策略参数说明

    参数名称

    参数说明

    取值样例

    基础检测case

    提供所有支持基础检测的检测项,根据需求勾选即可。

    全选。

    白名单

    自定义添加在检测中需要忽略的类型及对应的值,且可自定义进行添加的删除。

    支持的类型如下:

    • ip过滤
    • pod名称过滤
    • image名称过滤
    • 执行用户过滤
    • pod标签过滤
    • namespace过滤
      说明:

      每一种类型只能使用一次。

    类型:ip过滤

    值:192.168.x.x

    该策略配置完成后,还需开启日志审计功能,且企业主机安全Agent需要部署在集群的管理节点上(APIServer所在的节点)才能正常生效。

  3. 确认无误,单击“确认”,完成修改。

容器文件监控

当被监控的文件路径位于挂载路径下,而非容器在主机上的可写层时,无法触发容器文件修改的告警。此类文件可以通过主机的文件保护策略进行防护。

  1. 单击“容器文件监控”,滑出“容器文件监控”策略详情界面。
  2. 在弹出的容器文件监控界面中,修改“策略内容”,参数说明如表16所示。

    表16 容器文件监控策略参数说明

    参数名称

    参数说明

    取值样例

    模糊匹配

    是否启动对目标文件的模糊匹配,建议勾选。

    勾选。

    禁止新增可执行文件

    对新增可执行文件行为进行监控,勾选后可禁止新增可执行的文件,建议勾选。

    勾选。

    镜像名称

    执行检测的目标镜像的名称。

    test_bj4

    镜像ID

    执行检测的目标镜像的ID。

    -

    文件

    执行检测的目标镜像下的文件名称。

    /tmp/testw.txt

  3. 确认无误,单击“确认”,完成修改。

容器进程白名单

  1. 单击“容器进程白名单”,滑出“容器进程白名单”策略详情界面。
  2. 在弹出的容器进程白名单界面中,修改“策略内容”,参数说明如表17所示。

    表17 容器进程白名单策略参数说明

    参数名称

    参数说明

    取值样例

    模糊匹配

    是否启动对目标文件的模糊匹配,建议勾选。

    勾选。

    镜像名称

    执行检测的目标镜像的名称。

    test_bj4

    镜像ID

    执行检测的目标镜像的ID。

    -

    进程

    执行检测的目标镜像下的文件路径。

    /tmp/testw

  3. 确认无误,单击“确认”,完成修改。

镜像异常行为

  1. 单击“镜像异常行为”,滑出“镜像异常行为”策略详情界面。
  2. 在弹出的镜像异常行为界面中,修改“策略内容”,参数说明如表18所示。

    表18 镜像异常行为策略参数说明

    参数名称

    参数说明

    取值样例

    规则名称

    不同规则的名称。

    -

    规则描述

    不同规则的简要描述。

    -

    规则模板

    • 选择不同的规则进行配置,支持的规则项如下:
      • 镜像白名单
      • 镜像黑名单
      • 镜像标签白名单
      • 镜像标签黑名单
      • 创建容器白名单
      • 创建容器黑名单
      • 容器mount proc白名单
      • 容器seccomp unconfined
      • 容器特权白名单
      • 容器capabilities白名单
    • 规则填写参数说明如下:
      • 精准匹配:通过目标镜像名称来检测,填写目标镜像名称匹配镜像,多个名称以英文分号隔开,最多填写20个。
      • 正则匹配:通过正则来检测,填写正则表达式匹配镜像,多个表达式以英文分号隔开,最多填写20个。
      • 前缀匹配:通过前缀名称来检测,填写前缀名称匹配镜像,多个前缀以英文分号隔开,最多填写20个。
      • 标签名称:通过标签及标签值来筛选检测,最多可添加20个标签项。
      • 权限类型:通过选择权限进行指定检测或忽略检测,权限说明详情请参见表19

    -

    表19 镜像异常行为权限说明

    权限名称

    权限说明

    AUDIT_WRITE

    将记录写入内核审计日志的。

    CHOWN

    对文件UID和GID进行任意更改的。

    DAC_OVERRIDE

    绕过文件读、写和执行权限检查。

    FOWNER

    绕过权限检查通常要求进程的文件系统UID与文件UID匹配的操作。

    FSETID

    修改文件时不清除set-user-ID和set-group-ID权限位。

    KILL

    放通发送信号的权限检查。

    MKNOD

    使用mknod创建特殊文件。

    NET_BIND_SERVICE

    将socket绑定到internet域特权端口(端口号小于1024)。

    NET_RAW

    使用原始socket和数据包socket。

    SETFCAP

    设置文件功能。

    SETGID

    对进程GID和补充GID列表进行任意操作。

    SETPCAP

    修改进程能力。

    SETUID

    对进程UID进行任意操作。

    SYS_CHROOT

    使用chroot,更改根目录。

    AUDIT_CONTROL

    启用和禁用内核审计;更改审计筛选规则;检索审计状态和筛选规则。

    AUDIT_READ

    允许通过组播网络链接套接字读取审计日志。

    BLOCK_SUSPEND

    允许防止系统挂起。

    BPF

    允许创建BPF映射、加载BPF类型格式(BTF)数据、检索BPF程序的JITed代码等。

    CHECKPOINT_RESTORE

    允许检查点/恢复相关操作。

    DAC_READ_SEARCH

    绕过文件读取权限检查和目录读取和执行权限检查。

    IPC_LOCK

    锁定内存(mlock、mlockall、mmap、shmctl)。

    IPC_OWNER

    绕过对System V IPC对象的操作的权限检查。

    LEASE

    在任意文件上建立租赁。

    LINUX_IMMUTABLE

    设置FS_APPEND_FL和FS_IMMUTABLE_FL i节点标志。

    MAC_ADMIN

    允许MAC配置或状态更改。

    MAC_OVERRIDE

    覆盖强制访问控制(MAC)。

    NET_ADMIN

    执行各种与网络相关的操作。

    NET_BROADCAST

    进行socket广播,并侦听组播。

    PERFMON

    允许使用perf_events、i915_perf和其他内核子系统进行系统性能和可观察性特权操作。

    SYS_ADMIN

    执行一系列系统管理操作。

    SYS_BOOT

    使用重新启动和kexec_load,重新启动并加载新内核以便以后执行。

    SYS_MODULE

    加载和卸载内核模块。

    SYS_NICE

    提升进程良好值(良好,设置优先级),并更改任意进程的良好值。

    SYS_PACCT

    使用账户,打开或关闭进程记账。

    SYS_PTRACE

    使用ptrace跟踪任意进程。

    SYS_RAWIO

    执行I/O端口操作(ipl和ioperm)。

    SYS_RESOURCE

    覆盖资源限制。

    SYS_TIME

    设置系统时钟(settimeofday、stime、adjtimex);设置实时(硬件)时钟。

    SYS_TTY_CONFIG

    使用vhangup;在虚拟终端上使用各种特权ioctl操作。

    SYSLOG

    执行特权系统日志操作。

    WAKE_ALARM

    触发将唤醒系统的东西。

  3. 确认无误,单击“确认”,完成修改。

端口扫描检测

  1. 单击“端口扫描检测”,滑出“端口扫描检测”策略详情界面。
  2. 在弹出的端口扫描检测界面中,修改“策略内容”,参数说明如表20所示。

    表20 端口扫描检测策略参数说明

    参数名称

    参数说明

    取值样例

    重新获取进程信息的时间间隔(秒)

    获取进程的间隔时间。

    勾选。

    扫描源IP白名单

    填写IP白名单,多个用英文分号隔开。

    test_bj4

    单端口最大告警包数

    -

    -

    待检测端口列表

    待检测的端口号和协议类型详情。

    -

  3. 确认无误,单击“确认”,完成修改。

自保护

自保护策略是保护企业主机安全的软件、进程和文件不被恶意程序破坏的策略,不支持自定义策略内容。