文档首页> 企业主机安全(旧版)HSS> 用户指南> 安全运营> 修改策略内容
更新时间:2023-02-16 GMT+08:00
查看PDF

修改策略内容

当您创建策略组后,需要修改策略内容时,可按照本文档的指导完成策略内容的修改。

策略内容的修改,只在当前所修改的策略组生效。

进入策略管理

  1. 登录管理控制台
  1. 在页面左上角选择“区域”,单击,选择安全与合规 > 企业主机安全,进入企业主机安全页面。
  2. 在左侧导航栏,选择“安全运营”,单击“策略管理”,进入“策略管理”界面。

资产管理

  1. 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
  1. 单击“资产管理”,弹出资产管理界面。
  2. 在弹出的资产管理界面中,修改“策略内容”,如图1所示,参数说明如表1所示。

    图1 资产管理策略
    表1 资产管理策略内容参数说明

    参数

    说明

    检测时间

    检测的时间,可具体到每一天的每一分钟。

    检测日

    检测日期,勾选周一到周日的任意日期。

    需要获取信息的软件名称
    • 软件名称中不能包含空格且内容长度不得超过5000字符,多个软件名称用逗号分隔。
    • 如果不配置,则获取所有已安装软件信息。

    软件搜索路径

    软件搜索的路径。Windows主机不需要添加。

    主要应用/组件
    • 软件名:软件名称。
    • 软件主程序 :软件的主程序。
    • 执行命令 :执行的命令。
    • 操作:单击“添加”可以将软件添加到此列表;单击“删除”可以将软件从该列表移除。

    获取UDP端口

    获取UDP端口信息,检测WEB的目录。

    • :开启。
    • :关闭。

    检测端口信息的时间间隔(秒)

    进程文件检测端口信息的时间间隔,可配置范围为“30秒~86400秒”

  3. 单击“确定”,完成修改。

系统配置检测

  1. 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
  1. 在策略组列表中,单击“系统配置检测”,弹出系统配置检测界面。
  2. “系统配置检测”界面,修改“修改策略内容”,如图2所示,参数说明如表2所示。

    图2 系统配置检测
    表2 系统配置检测策略内容参数说明

    参数

    说明

    检测时间

    配置系统检测的时间,可具体到每一天的每一分钟。

    检测日

    系统配置检测日期,勾选周一到周日的检测系统配置的时间。

  3. 勾选需要检测的操作系统。
  4. 单击“确定”,完成修改。

弱口令检测

弱口令/密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞。数据、程序都储存在系统中,若密码被破解,系统中的数据和程序将毫无安全可言。

企业主机安全服务会对使用经典弱口令的用户帐号告警,主动检测出主机中使用经典弱口令的帐号。您也可以将疑似被泄露的口令添加在自定义弱口令列表中,防止主机中的帐户使用该弱口令,给主机带来危险。

  1. 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
  2. 在策略组列表中,单击“弱口令检测”,弹出弱口令检测“策略内容”界面。
  3. 在弹出的“策略内容”界面中,修改“策略内容”,如图3所示,参数说明如表3所示。

    图3 弱口令检测
    表3 弱口令检测策略内容参数说明

    参数

    说明

    使用弱口令字典

    选择是否开启使用弱口令字典。

    • :开启。
    • :关闭。

    弱口令字典更新URL

    弱口令字典更新的网页地址。

    弱口令字典SHA256

    弱口令字典的SHA256值。

    检测日

    弱口令检测日期。勾选周一到周日检测弱口令的时间。

    自定义弱口令

    您可以将疑似被泄露的口令添加在自定义弱口令文本框中,防止主机中的帐户使用该弱口令,给主机带来危险。

    MySQL弱口令检测

    对登录MySQL的口令进行弱口令检测,您可以选择开启或者关闭MySQL弱口令检测。

  4. 单击“确定”,完成修改。

高危命令检测

  1. 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
  1. 单击“高危命令检测”,弹出高危命令检测界面。
  2. 在弹出的高危命令检测界面中,修改“策略内容”,如图4所示,参数说明如表4所示。

    图4 高危命令检测内容
    表4 高危命令检测策略内容参数说明

    参数

    说明

    上报或记录进程消亡消息

    是否开启上报或记录进程消亡消息。

    • :开启。
    • :关闭。

    使用消息通道去重上报

    是否开启使用消息通道去重上报。

    • :开启。
    • :关闭。

    进程统计信息上报间隔(分钟)

    开启消息通道去重上报后有效。

    配置进程统计信息上报间隔,配置为有效数字。

    独立进程最大CPU使用率(%)

    开启消息通道去重上报后有效。

    配置独立进程最大CPU使用率,可配置范围为“5~99”

    独立进程最大内存使用(MB)

    开启消息通道去重上报后有效。

    配置独立进程最大内存使用,可配置范围为“50~1024”

    独立进程数据接收方IP和端口

    开启消息通道去重上报后有效。

    配置独立进程数据接收方IP和端口。

    独立进程数据发送限速(KB/S)

    开启消息通道去重上报后有效。

    独立进程数据发送限速,可配置范围为“1~100”

    精简日志模式

    是否开启使用精简日志模式。

    • :开启。
    • :关闭。

    收集进程网络连接信息

    是否开启收集进程网络连接信息。

    • :开启。
    • :关闭。

    记录日志

    是否开启记录日志。

    • :开启。
    • :关闭。

    日志记录路径

    日志记录的路径。

    日志记录最大文件大小(MB)

    日志记录最大文件的大小,可配置范围“10~1024”

    • 若日志超过配置的最大文件大小,系统会自动将“.log”文件重命名为“.log.0”,并新建“.log”日志文件,将日志继续写入“.log”文件。
    • 最多存在2个日志文件,若日志再次超过配置的最大文件大小,系统会删除“.log.0”的日志文件,将“.log”日志文件重命名为“.log.0”,并新建“.log”日志文件,将日志继续写入“.log”文件。

    高危命令

    设置高危命令,一行一个高危命令。

    白名单(不记录/不上报)
    • 进程全路径或程序名:进程的完整路径或者程序的名称。
    • 命令行正则表达式 :命令行的正则表达式。
    • 操作:单击“添加”可以将进程或者程序添加到此列表;单击“删除”可以将进程或者程序从该列表移除。

  3. 单击“确定”,完成修改。

提权检测

  1. 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
  1. 单击“提权检测”,弹出提权检测界面。
  2. 在弹出的“提权检测”策略内容中,修改“策略内容”,如图5所示,参数说明如表5所示。

    图5 提权检测
    表5 提权检测策略内容参数说明

    参数

    说明

    忽略的进程文件路径

    忽略的进程文件的路径。

    检测时间间隔(秒)

    进程文件检测时间间隔,可配置范围为“5~3600”

  3. 单击“确定”,完成修改。

异常/反弹Shell检测

  1. 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
  1. 单击“异常/反弹Shell检测”,弹出异常/反弹Shell检测界面。
  2. 在弹出的异常/反弹Shell检测界面中,修改“策略内容”,如图6所示,参数说明如图6所示。

    图6 异常/反弹shell检测
    表6 反弹/异常shell检测策略内容参数说明

    参数

    说明

    反弹shell忽略的进程文件路径

    反弹shell忽略的进程文件的路径。

    反弹shell扫描周期(秒)

    反弹shell扫描的周期,可配置范围为“30-86400”

    异常shell检测

    选择是否开启异常shell检测,建议开启。

    • :开启。
    • :关闭。

    进程打开文件上限

    进程打开文件的上限数,可配置范围为“10-300000”

  3. 单击“确定”,完成修改。

文件完整性管理

  1. 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
  1. 单击“文件完整性管理”,弹出关键文件完整性管理界面。
  2. 在弹出的文件完整性管理界面中,修改“策略内容”,如图7所示,参数说明如表7所示。

    图7 文件完整性管理
    表7 文件完整性管理策略内容参数说明

    参数

    说明

    全量检测时间间隔(秒)

    检测配置的所有文件的时间间隔,可配置范围为“3600-100000”

    例如:配置为“3600”,就是间隔一个小时检测一次所有文件。

    文件状态检测时间间隔(秒)

    文件状态检测周期。可配置范围为“10-600”

    检测休息时间(毫秒)

    检测配置的单个文件的时间间隔,可配置范围为“0-1000”

    例如:配置为“50”,检测“/bin/ls”后,等待“50”毫秒再检测“/usr/bin/ls”

    监控文件

    需要检测的文件。

    说明:
    • 策略默认添加的文件是非常关键的文件,请谨慎删除!
    • 若删除默认添加的文件,HSS将不会再对该文件发生的变更进行统计。

  3. 单击“确定”,完成修改。

网站后门检测

网站后门检测功能只有在设置Web路径之后才会生效。

  1. 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
  2. 单击“网站后门检测”,弹出网站后门检测界面。
  3. 在弹出的网站后门检测界面中,修改“策略内容”,如图8所示,参数说明如表8所示。

    图8 网站后门检测

    为防止Web目录中的软件影响企业主机安全服务Agent的正常运行,请勿将Web目录配置在“/usr/local”的路径下。

    表8 网站后门检测策略内容参数说明

    参数

    说明

    自动识别Web目录

    请根据需要开启或关闭自动识别Web路径,若缺少目录请进行手动添加。

    • :开启。
    • :关闭。

    手动添加Web目录

    手动添加需要检测的Web目录。

    • 文件路径以“/”开头,不能以“/”结尾。
    • 结尾必须有端口号。
    • 多个路径通过回车换行分隔且名称中不能包含空格。

    检查文件后缀

    检查文件的后缀,可以检测“jsp”“jspx”“jspf”“php”“php5”“php4”

    监测文件修改

    是否开启监测文件修改功能。

  4. 单击“确定”,完成修改。
父主题: 安全运营