计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
云手机服务器 CPH
Huawei Cloud EulerOS
网络
虚拟私有云 VPC
弹性公网IP EIP
虚拟专用网络 VPN
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
VPC终端节点 VPCEP
云连接 CC
企业路由器 ER
企业交换机 ESW
全球加速 GA
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
边缘安全 EdgeSec
威胁检测服务 MTD
CDN与智能边缘
内容分发网络 CDN
CloudPond云服务
智能边缘云 IEC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
云搜索服务 CSS
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
数据可视化 DLV
数据湖工厂 DLF
湖仓构建 LakeFormation
企业应用
云桌面 Workspace
应用与数据集成平台 ROMA Connect
云解析服务 DNS
专属云
专属计算集群 DCC
IoT物联网
IoT物联网
设备接入 IoTDA
智能边缘平台 IEF
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
国际站常见问题
ICP备案
我的凭证
支持计划
客户运营能力
合作伙伴支持计划
专业服务
区块链
区块链服务 BCS
Web3节点引擎服务 NES
解决方案
SAP
高性能计算 HPC
视频
视频直播 Live
视频点播 VOD
媒体处理 MPC
实时音视频 SparkRTC
数字内容生产线 MetaStudio
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
存储容灾服务 SDRS
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属分布式存储服务 DSS
容器
云容器引擎 CCE
容器镜像服务 SWR
应用服务网格 ASM
华为云UCS
云容器实例 CCI
管理与监管
云监控服务 CES
统一身份认证服务 IAM
资源编排服务 RFS
云审计服务 CTS
标签管理服务 TMS
云日志服务 LTS
配置审计 Config
资源访问管理 RAM
消息通知服务 SMN
应用运维管理 AOM
应用性能管理 APM
组织 Organizations
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
应用身份管理服务 OneAccess
数据库
云数据库 RDS
文档数据库服务 DDS
数据管理服务 DAS
数据复制服务 DRS
云数据库 GeminiDB
云数据库 GaussDB
分布式数据库中间件 DDM
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
人脸识别服务 FRS
图引擎服务 GES
图像识别 Image
内容审核 Moderation
文字识别 OCR
AI开发平台ModelArts
图像搜索 ImageSearch
对话机器人服务 CBS
华为HiLens
视频智能分析服务 VIAS
语音交互服务 SIS
应用中间件
分布式缓存服务 DCS
API网关 APIG
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
多活高可用服务 MAS
事件网格 EG
企业协同
华为云会议 Meeting
云通信
消息&短信 MSGSMS
云生态
合作伙伴中心
云商店
开发者工具
SDK开发指南
API签名指南
Terraform
华为云命令行工具服务 KooCLI
其他
产品价格详情
系统权限
管理控制台
客户关联华为云合作伙伴须知
消息中心
公共问题
开发与运维
应用管理与运维平台 ServiceStage
软件开发生产线 CodeArts
需求管理 CodeArts Req
部署 CodeArts Deploy
性能测试 CodeArts PerfTest
编译构建 CodeArts Build
流水线 CodeArts Pipeline
制品仓库 CodeArts Artifact
测试计划 CodeArts TestPlan
代码检查 CodeArts Check
代码托管 CodeArts Repo
云应用引擎 CAE
开天aPaaS
云消息服务 KooMessage
云手机服务 KooPhone
云空间服务 KooDrive

配置策略

更新时间:2025-02-12 GMT+08:00

操作场景

主机开启防护后,您可以根据自身业务需求配置主机防护策略。

约束限制

  • 已开启专业版、企业版、旗舰版、网页防篡改版、容器版中任一版本。
  • 默认策略组有默认配置,不建议修改。
  • 策略内容的修改只在策略所属策略组内生效。

进入策略管理

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  1. 在左侧导航栏,选择安全运营 > 策略管理,进入“策略管理”界面,查看显示的策略组,字段说明如表 策略组列表字段说明所示。

    说明:

    如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

    图1 策略管理
    表1 策略组列表字段说明

    字段

    说明

    策略组名称

    策略组的名称。系统预置策略组名称如下:

    • tenant_linux_advanced_default_policy_group:专业版linux系统预置策略,仅可被查看,不支持复制和删除。
    • tenant_windows_advanced_default_policy_group:专业版windows系统预置策略,仅可被查看,不可被复制和删除。
    • tenant_linux_container_default_policy_group:容器版linux系统预置策略,可通过复制该策略组来创建新的策略组。
    • tenant_linux_enterprise_default_policy_group:企业版linux系统预置策略,仅可被查看,不可被复制和删除。
    • tenant_windows_enterprise_default_policy_group:企业版windows系统预置策略,仅可被查看,不可被复制和删除。
    • tenant_linux_premium_default_policy_group:旗舰版linux系统预置策略,可通过复制该策略组来创建新的策略组。
    • tenant_windows_premium_default_policy_group:旗舰版windows系统预置策略,可通过复制该策略组来创建新的策略组。
    • wtp_主机名称:网页防篡改版策略,每台主机开启网页防篡改防护时都会默认生成对应的网页防篡改策略组。

    描述

    策略组的详细描述。

    支持的版本

    策略组支持的企业主机安全版本。

    支持的操作系统

    策略组支持的操作系统类型。

    关联服务器数

    策略组关联的服务器数。单击数值,可查看策略组关联的服务器。

  2. 单击目标策略组名称,进入策略详情列表。

    图2 策略列表

  3. 在目标策略所在行的“操作”列,可单击“开启”“关闭”策略。

    策略关闭后,企业主机安全将不再执行对应策略的检测。

  4. 单击目标策略名称对不同策略进行修改,各策略说明如下所示。

资产发现

  1. 单击“资产发现”,弹出“资产发现”策略详情界面。
  2. 在弹出的资产管理界面中,修改“策略内容”,参数说明如表2所示。

    表2 资产管理策略内容参数说明

    参数名称

    参数说明

    检测时间

    针对不同资产自动执行检测的固定时间点,其中中间件、Web框架、内核模块、Web应用、Web站点、Web服务、数据库可进行自定义检测时间。

    偏移时间指在设置的目标时间向前或向后做自动调节执行检测。

    • 账号:Linux每小时自动检测一次,Windows实时检测。
    • 开放端口:每30秒自动检测一次。
    • 进程:每小时自动检测一次。
    • 软件:每天自动检测一次。
    • 自启动项:每小时自动检测一次。
    • 中间件/Web框架:可一起选择检测日和时间。
    • 内核模块:需根据需求独立设置检测日和时间。
    • Web应用/Web站点/Web服务/数据库:可一起选择检测日和时间。

    指定待扫描web目录

    需要扫描的web目录。

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

弱口令检测

弱口令/密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞。数据、程序都储存在系统中,如果密码被破解,系统中的数据和程序将毫无安全可言。

企业主机安全会对使用经典弱口令的用户账号告警,主动检测出主机中使用经典弱口令的账号。您也可以将疑似被泄露的口令添加在自定义弱口令列表中,防止主机中的账户使用该弱口令,给主机带来危险。

  1. 单击“弱口令检测”,弹出“弱口令检测”策略详情界面。
  2. 在弹出的“策略内容”界面中,修改“策略内容”,参数说明如表3所示。

    图3 修改弱口令检测
    表3 弱口令检测策略内容参数说明

    参数

    说明

    检测时间

    配置弱口令检测的时间,可具体到每一天的每一分钟。

    随机偏移时间(秒)

    检测配置的弱口令时间的随机偏移时间,在“检测时间”的基础上偏移,可配置范围为“0~7200秒”

    检测日

    弱口令检测日期。勾选周一到周日检测弱口令的时间。

    自定义弱口令

    您可以将疑似被泄露的口令添加在自定义弱口令文本框中,防止主机中的账户使用该弱口令,给主机带来危险。

    填写多个弱口令时,每个弱口令之间需换行填写,最多可添加300条。

    是否开启口令复杂度策略检测

    口令复杂度策略是指服务器设置的口令规则和标准。开启“口令复杂度策略”检测,企业主机安全会在用户手动执行基线检查时,对服务器设置的口令复杂度策略进行检测。

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

配置检测

  1. 单击“配置检测”,弹出“配置检测”策略详情界面。
  2. “配置检测”界面,修改“策略内容”

    图4 修改配置检测
    表4 系统配置检测策略内容参数说明

    参数

    说明

    检测时间

    配置系统检测的时间,可具体到每一天的每一分钟。

    随机偏移时间(秒)

    配置系统检测的随机偏移时间,可配置范围为“0~7200秒”

    检测日

    系统配置检测日期,勾选周一到周日的检测系统配置的时间。

    系统默认基线库

    系统已经配置好的检测基线,只需要勾选需要扫描检测的基线即可,所有值均为默认,不可修改。

  3. 勾选需要检测的基线或自定义基线。

    说明:

    如果有等保合规的需求,可按需勾选“标准类型”“等保合规”的基线项。

  4. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

Webshell检测

如果未设置“用户指定扫描路径”,Webshell检测功能默认扫描您资产中的Web站点路径。设置“用户指定扫描路径”后,Webshell检测功能会扫描Web站点路径和您指定的扫描路径。。

  1. 单击“Webshell检测”,弹出“Webshell检测”策略详情界面。
  2. 在弹出的“Webshell检测”界面中,修改“策略内容”,参数说明如表5所示。

    图5 修改Webshell检测策略
    表5 Webshell检测策略内容参数说明

    参数

    说明

    检测时间

    配置Webshell检测的时间,可具体到每一天的每一分钟。

    随机偏移时间(秒)

    配置随机偏移时间,可配置范围为“0~7200秒”

    检测日

    Webshell检测日期,勾选周一到周日的检测Webshell的时间。

    用户指定扫描路径

    手动添加需要检测的Web目录。

    • 文件路径以“/”开头,不能以“/”结尾。
    • 多个路径通过回车换行分隔且名称中不能包含空格。

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

文件保护

  1. 单击“文件保护”,弹出“文件保护”策略详情界面。
  2. 在弹出的文件保护界面中,修改“策略内容”,参数说明如表6所示。

    如下图片以Linux策略为例。
    图6 修改文件保护策略
    表6 文件保护策略内容参数说明

    参数

    说明

    支持的操作系统

    文件提权检测

    • 启用:是否开启文件提权检测。
      • :开启。
      • :关闭。
    • 忽略的文件路径:填写需要忽略的文件路径。文件路径以“/”开头,不能以“/”结尾,多个路径通过回车换行分隔且名称中不能包含空格。

    Linux

    关键文件完整性检测

    • 启用:是否开启关键文件完整性检测。
      • :开启。
      • :关闭。
    • 监控文件:配置监控文件。

    Linux

    关键文件目录变更检测

    • 启用:是否开启关键文件目录变更检测。
      • :开启。
      • :关闭。
    • 会话IP白名单:如果操作文件的进程属于以上IP的会话,则不予审计。
    • 忽略监控文件类型后缀:忽略监控的文件类型的后缀。
    • 忽略监控的文件路径:配置忽略监控文件的路径。
    • 监控登录密钥:是否开启监控登录密钥。
      • :开启。
      • :关闭。

    Linux

    Linux文件目录监控

    • 监控模式:监控文件或目录路径的模式,“护网/重保”模式相较于“日常运营”模式,默认多勾选“监控子目录”“监控修改属性”两项,因此默认情况监控的变更项更多。
    • 系统预置了部分文件或目录监控路径,您可以自行修改需要检测的文件更改类型以及添加需要监控的文件或目录路径。
      • 文件或目录路径:需要监控的文件或目录路径。添加前,请确认是合法路径;最多可添加50个文件或目录路径。
      • 别名:文件或目录路径的别名,您可以定义一个易区分的名称。
      • 监控子目录:勾选后会监控对应子目录的所有文件。不勾选,则不监控子目录文件。
      • 监视创建、删除、移动、修改等:请您根据业务实际情况选择是否勾选。

    Linux

    Windows文件目录监控

    系统预置了部分文件或目录监控路径,您可以自行修改需要检测的文件更改类型以及添加需要监控的文件或目录路径。

    • 文件或目录路径:需要监控的文件或目录路径。添加路径时,请确认是合法路径;最多可添加50个路径。
    • 别名:自定义名称,用于区别不同文件或目录路径,对监控效果无影响。
    • 监控子目录:勾选后监控子目录中的文件。不勾选,则不监控子目录中文件。
    • 文件类型后缀:需要监控的文件类型。最多可添加50个类型。
    • 忽略子目录或文件路径:勾选“监控子目录”时有效。如果个别子目录无需监控,可设置此参数。添加路径时,请确认是合法路径;最多可添加20个路径。
    • 监视创建、删除、移动、修改:请您根据业务实际情况选择是否勾选。

    Windows

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

HIPS检测

  1. 单击“HIPS检测”,弹出“HIPS检测”策略详情页面。
  2. 修改策略内容,相关参数说明如表 HIPS检测策略内容参数说明所示。

    图7 修改HIPS检测策略
    表7 HIPS检测策略内容参数说明

    参数名称

    参数说明

    自动化阻断

    开启后,对检测到的注册表、文件及进程等异常变更行为进行阻断,例如反弹Shell、高危命令等。
    • :开启。
    • :关闭。

    可信进程

    添加可信进程的文件路径。单击“添加”可增加一条路径输入框,单击“删除”可删除进程文件路径。

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

登录安全检测

  1. 单击“登录安全检测”,弹出“登录安全检测”策略详情界面。
  2. 在弹出的“登录安全检测”策略内容中,修改“策略内容”,参数说明如表 登录安全检测策略内容参数说明所示。

    图8 修改安全检测策略
    表8 登录安全检测策略内容参数说明

    参数

    说明

    封禁时间(分钟)

    可设置被阻断攻击IP的封禁时间,封禁时间内不可登录,封禁时间结束后自动解封,可配置范围为“1~43200”

    是否审计登录成功

    • 开启此功能后,HSS将上报登录成功的事件。
      • :开启。
      • :关闭。

    阻断攻击IP(非白名单)

    开启阻断攻击IP后,HSS将阻断爆破行为的IP(非白名单)登录。

    白名单爆破行为是否告警

    • 开启后,HSS将对白名单IP产生的爆破行为进行告警。
      • :开启。
      • :关闭。

    白名单

    将IP添加到白名单后,HSS不会阻断白名单内IP的爆破行为。最多可添加50个IP或网段到白名单,且同时支持IPV4和IPV6。

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

恶意文件检测

  1. 单击“恶意文件检测”,弹出“恶意文件检测”策略详情界面。
  2. 在弹出的恶意文件检测界面中,修改“策略内容”,参数说明如表9所示。

    图9 修改恶意文件检测策略
    表9 恶意文件检测策略内容参数说明

    参数

    说明

    反弹shell忽略的进程文件路径

    反弹shell忽略的进程文件的路径。

    文件路径以“/”开头,不能以“/”结尾。多个路径通过回车换行分隔且名称中不能包含空格。

    忽略的反弹shell本地端口

    无需扫描反弹shell的本地端口。

    忽略的反弹shell远程地址

    无需扫描反弹shell的远程地址。

    反弹shell检测

    • 选择是否开启反弹shell检测,建议开启。
      • :开启。
      • :关闭。

    异常shell检测

    • 选择是否开启异常shell检测,建议开启。
      • :开启。
      • :关闭。

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

进程异常行为

进程异常行为策略支持两种检测模式:

  • 高检出模式:对所有进程进行深度、全量的检测扫描,可能存在一定误报,适用于护网重保等场景。
  • 均衡模式:对所有进程进行全量的检测扫描,检测结果准确性和异常进程的检出率均得到一定平衡,适用于日常防护。

该策略无需单独设置,随策略组防护模式变化而变化。如果您需要开启高检出模式,请参考配置策略组防护模式,将策略组防护模式修改为“高检出”。

root提权

  1. 单击“root提权”,弹出“root提权”策略详情界面。
  2. 在弹出的root提权界面中,修改“策略内容”,参数说明如表10所示。

    图10 修改root提权策略
    表10 root提权策略内容参数说明

    参数

    说明

    忽略的进程文件路径

    忽略的进程文件的路径。

    文件路径以“/”开头,不能以“/”结尾。多个路径通过回车换行分隔且名称中不能包含空格。

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

实时进程

  1. 单击“实时进程”,弹出“实时进程”策略详情界面。
  2. 在弹出的实时进程界面中,修改“策略内容”,参数说明如表11所示。

    图11 修改实时进程策略
    表11 实时进程策略内容参数说明

    参数

    说明

    高危命令

    检测包含关键词的高危命令。命令输入只能包含字母、数字、下划线、空格和符号(/*\=>. : ' " +- )。

    说明:

    暂不支持检测Shell内置命令。

    白名单(不记录/不上报)

    添加检测时放行、忽略的路径或程序名;同时可填写需要加白的命令行的正则表达式,命令行正则表达式非必填。

    示例:

    • 进程全路径或程序名:/usr/bin/sleep
    • 命令行正则表达式:^[A-Za-z0-9[:space:]\\*\\.\\\":_'\\(>=-]+$

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

rootkit检测

  1. 单击“rootkit检测”,弹出“rootkit检测”策略详情界面。
  2. 在弹出的rootkit检测界面中,修改“策略内容”

    图12 修改rootkit检测策略
    表12 rootkit检测策略内容参数说明

    参数名称

    参数说明

    取值样例

    内核模块白名单

    自定义填写检测时忽略的内核模块名称。

    可填写多个,不同模块名称之间用换行隔开,最多可添加10个。

    xt_conntrack

    virtio_scsi

    tun

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

AV检测

  1. 单击“AV检测”,弹出“AV检测”策略详情界面。
  2. 在弹出的AV检测界面中,修改“策略内容”,参数说明如表13所示。

    表13 AV检测策略内容参数说明

    参数名称

    参数说明

    取值样例

    是否开启实时防护

    开启后,执行该策略时AV检测提供实时检测防护,建议开启。

    • :开启。
    • :关闭。

    :开启。

    防护文件类型

    自定义勾选自动实时检测的文件的类型。

    • 全部:选中所有文件类型。
    • 可执行:常见的exe,dll,sys等。
    • 压缩:常见的zip,rar,jar等。
    • 文本:常见的php,jsp,html,bash等。
    • OLE:复合型文档,常见的office格式文件(ppt,doc)和保存的邮件文件(msg)。
    • 其他:除开以上类型的其他类型。

    全部

    防护动作

    目标检测告警的防护动作。

    • 自动处置:检测为高危等级病毒文件将自动执行隔离,其余风险等级病毒不自动隔离。
    • 人工处置:检测的病毒无论是什么风险等级,都不会自动隔离,需手动处理。

    自动处置

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

容器信息收集

  1. 单击“容器信息收集”,弹出“容器信息收集”策略详情界面。
  2. 在弹出的容器信息收集界面中,修改“策略内容”,参数说明如表14所示。

    说明:

    白名单优先级更高,如果白名单和黑名单配置了一样的目录,则目录以白名单为基准,允许挂载。

    表14 容器信息收集策略参数说明

    参数名称

    参数说明

    取值样例

    挂载目录白名单

    填写允许挂载的目录。

    /test/docker或/root/*

    注:路径以*结束表示目标路径下的所有子目录,不包括主目录。

    如:设置/var/test/*为白名单目录,表示:目录/var/test/下的所有子目录为白名单目录,不包括test这层。

    挂载目录黑名单

    填写不允许挂载的目录,如user、bin为主机关键信息文件路径,不建议作为挂载目录,否则重要信息可能存在暴露风险。

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

集群入侵检测

  1. 单击“集群入侵检测”,滑出“集群入侵检测”策略详情界面。
  2. 在弹出的集群入侵检测界面中,修改“策略内容”,参数说明如表15所示。

    表15 集群入侵检测策略参数说明

    参数名称

    参数说明

    取值样例

    基础检测case

    提供所有支持基础检测的检测项,根据需求勾选即可。

    全选。

    白名单

    自定义添加在检测中需要忽略的类型及对应的值,且可自定义进行添加的删除。

    支持的类型如下:

    • ip过滤
    • pod名称过滤
    • image名称过滤
    • 执行用户过滤
    • pod标签过滤
    • namespace过滤
      说明:

      每一种类型只能使用一次。

    类型:ip过滤

    值:192.168.x.x

    说明:

    该策略配置完成后,还需开启日志审计功能,且企业主机安全Agent需要部署在集群的管理节点上(APIServer所在的节点)才能正常生效。

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

容器逃逸

  1. 单击“容器逃逸”,系统弹出“容器逃逸”策略详情页面。
  2. 在弹出的“容器逃逸”策略页面中,编辑策略内容,参数说明如表 容器逃逸策略参数说明所示。

    如果没有需要添加白名单的镜像、进程、POD,可不填写对应的白名单。
    表16 容器逃逸策略参数说明

    参数名称

    参数说明

    镜像白名单

    填写无需检测容器逃逸行为的镜像名称,镜像名只能包含字母、数字、下划线、中划线,多个镜像名以回车换行隔开,最多可添加100个镜像名。

    进程白名单

    填写无需检测容器逃逸行为的进程全路径,进程全路径只能包含字母、数字、下划线、中划线,多个进程名以回车换行隔开,最多可添加100个进程路径。

    POD白名单

    填写无需检测容器逃逸行为的POD名称,POD名只能包含字母、数字、下划线、中划线,多个POD名以回车换行隔开,最多可添加100个POD名。

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

容器防逃逸

说明:

该功能当前处于公测阶段,如需使用请提交工单申请开通。

  1. 单击“容器防逃逸”,系统弹出“容器防逃逸”策略详情页面。
  2. 在弹出的“容器防逃逸”策略页面中,编辑策略内容,参数说明如表 容器逃逸策略参数说明所示。

    图13 容器防逃逸策略
    表17 容器防逃逸策略参数说明

    参数名称

    参数说明

    取值样例

    防护动作

    • 告警:发现运行时异常行为,仅告警。
    • 阻断:发现运行时异常行为,告警并阻断实例运行。
    • 放行:发现运行时异常行为,允许实例运行。

    阻断

    防护范围

    选择运行时异常行为的防护范围:选择主机名称+镜像名称,检测指定主机上使用指定镜像的容器运行时异常行为。

    选择方式如下:

    • 主机名称:在下拉框中,选择需要防护的主机名称,并单击“确认添加”;或者在输入框中输入主机名称并按回车键。每个名称最长不超过128个字符,最多可配置100个主机名称。
    • 镜像名称:在下拉框中,选择需要防护的镜像名称,并单击“确认添加”;或者输入框中输入镜像名称并按回车键。每个名称最长不超过128个字符,最多可配置100个镜像名称。
    • 主机名称:test01
    • 镜像名称:moby/buildkitbuildx-stable-1

    策略内容

    容器防逃逸策略中展示了预置的检测规则,这些检测规则覆盖进程、文件、系统调用三种异常行为检测。检测规则指的是运行时异常行为发生的某种场景,此场景下的异常行为都会被检测,而并非运行时异常行为的定义。用户可以根据需要开启或关闭检测规则(默认关闭,关闭后不检测)。具体规则名称/ID如下:

    • 写入宿主机高危目录逃逸(ae246a6fb5290701):检测通过将宿主机敏感目录挂载到容器内,再利用容器内的进程对目录进行写入的操作。
    • 运行容器逃逸工具(ce246a6fb5290702):检测运行CDK等容器逃逸工具的行为。
    • 修改宿主机用户配置文件(de246a6fb5290703):检测修改宿主机系统和应用配置文件行为。
    • 高危系统调用(ee246a6fb5290704):检测进程使用的危险系统调用,如“chown”

    除了上述检测规则之外,HSS还具备网络活动和进程Capabilities两类异常行为检测能力。

    如果发生的异常行为事件触发检测规则,当“防护动作”“告警”“阻断”时,HSS上报的告警事件摘要中会展示具体触发的规则ID。

    检测规则的“规则动作”默认是“告警”,但不单独生效,“防护动作”生效优先级高于“规则动作”,例如“防护动作”选择的是“阻断”,那么规则动作即为阻断。

    全部开启

  3. 确认无误,单击确定,完成修改。

容器信息模块

  1. 单击“容器信息模块”,弹出“容器信息模块”策略详情页面。
  2. 根据界面提示,修改策略内容。策略内容相关参数说明请参见表 容器信息模块策略参数说明

    表18 容器信息模块策略参数说明

    参数名称

    参数说明

    自定义容器名称白名单

    自定义填写需要入侵检测功能忽略不进行检测的容器名称。

    • 基于Docker运行时的容器可以配置简单名称,HSS会自行模糊匹配;其他运行时的容器会根据名称进行精确匹配。
    • 多个容器名称以回车换行分隔,最多可添100个白名单。

    自定义组织白名单

    自定义填写需要入侵检测功能忽略不进行检测的镜像所属组织名称。

    多个组织名称以回车换行分隔,最多可添100个白名单。

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

容器文件监控

须知:

当被监控的文件路径位于挂载路径下,而非容器在主机上的可写层时,无法触发容器文件修改的告警。此类文件可以通过主机的文件保护策略进行防护。

  1. 单击“容器文件监控”,滑出“容器文件监控”策略详情界面。
  2. 在弹出的容器文件监控界面中,修改“策略内容”,参数说明如表19所示。

    表19 容器文件监控策略参数说明

    参数名称

    参数说明

    取值样例

    模糊匹配

    是否启动对目标文件的模糊匹配,建议勾选。

    勾选。

    镜像名称

    执行检测的目标镜像的名称。

    test_bj4

    镜像ID

    执行检测的目标镜像的ID。

    -

    文件

    执行检测的目标镜像下的文件名称。

    /tmp/testw.txt

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

容器进程白名单

  1. 单击“容器进程白名单”,滑出“容器进程白名单”策略详情界面。
  2. 在弹出的容器进程白名单界面中,修改“策略内容”,参数说明如表20所示。

    表20 容器进程白名单策略参数说明

    参数名称

    参数说明

    取值样例

    模糊匹配

    是否启动对目标文件的模糊匹配,建议勾选。

    勾选。

    镜像名称

    执行检测的目标镜像的名称。

    test_bj4

    镜像ID

    执行检测的目标镜像的ID。

    -

    进程

    执行检测的目标镜像下的进程全路径。

    /tmp/testw

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

镜像异常行为

  1. 单击“镜像异常行为”,滑出“镜像异常行为”策略详情界面。
  2. 在弹出的镜像异常行为界面中,修改“策略内容”,参数说明如表21所示。

    表21 镜像异常行为策略参数说明

    参数名称

    参数说明

    取值样例

    规则名称

    不同规则的名称。

    -

    规则描述

    不同规则的简要描述。

    -

    规则模板

    • 选择不同的规则进行配置,支持的规则项如下:
      • 镜像白名单
      • 镜像黑名单
      • 镜像标签白名单
      • 镜像标签黑名单
      • 创建容器白名单
      • 创建容器黑名单
      • 容器mount proc白名单
      • 容器seccomp unconfined
      • 容器特权白名单
      • 容器capabilities白名单
    • 规则填写参数说明如下:
      • 精准匹配:通过目标镜像名称来检测,填写目标镜像名称匹配镜像,多个名称以英文分号隔开,最多填写20个。
      • 正则匹配:通过正则来检测,填写正则表达式匹配镜像,多个表达式以英文分号隔开,最多填写20个。
      • 前缀匹配:通过前缀名称来检测,填写前缀名称匹配镜像,多个前缀以英文分号隔开,最多填写20个。
      • 标签名称:通过标签及标签值来筛选检测,最多可添加20个标签项。
      • 权限类型:通过选择权限进行指定检测或忽略检测,权限说明详情请参见表22

    -

    表22 镜像异常行为权限说明

    权限名称

    权限说明

    AUDIT_WRITE

    将记录写入内核审计日志的。

    CHOWN

    对文件UID和GID进行任意更改的。

    DAC_OVERRIDE

    绕过文件读、写和执行权限检查。

    FOWNER

    绕过权限检查通常要求进程的文件系统UID与文件UID匹配的操作。

    FSETID

    修改文件时不清除set-user-ID和set-group-ID权限位。

    KILL

    放通发送信号的权限检查。

    MKNOD

    使用mknod创建特殊文件。

    NET_BIND_SERVICE

    将socket绑定到internet域特权端口(端口号小于1024)。

    NET_RAW

    使用原始socket和数据包socket。

    SETFCAP

    设置文件功能。

    SETGID

    对进程GID和补充GID列表进行任意操作。

    SETPCAP

    修改进程能力。

    SETUID

    对进程UID进行任意操作。

    SYS_CHROOT

    使用chroot,更改根目录。

    AUDIT_CONTROL

    启用和禁用内核审计;更改审计筛选规则;检索审计状态和筛选规则。

    AUDIT_READ

    允许通过组播网络链接套接字读取审计日志。

    BLOCK_SUSPEND

    允许防止系统挂起。

    BPF

    允许创建BPF映射、加载BPF类型格式(BTF)数据、检索BPF程序的JITed代码等。

    CHECKPOINT_RESTORE

    允许检查点/恢复相关操作。

    DAC_READ_SEARCH

    绕过文件读取权限检查和目录读取和执行权限检查。

    IPC_LOCK

    锁定内存(mlock、mlockall、mmap、shmctl)。

    IPC_OWNER

    绕过对System V IPC对象的操作的权限检查。

    LEASE

    在任意文件上建立租赁。

    LINUX_IMMUTABLE

    设置FS_APPEND_FL和FS_IMMUTABLE_FL i节点标志。

    MAC_ADMIN

    允许MAC配置或状态更改。

    MAC_OVERRIDE

    覆盖强制访问控制(MAC)。

    NET_ADMIN

    执行各种与网络相关的操作。

    NET_BROADCAST

    进行socket广播,并侦听组播。

    PERFMON

    允许使用perf_events、i915_perf和其他内核子系统进行系统性能和可观察性特权操作。

    SYS_ADMIN

    执行一系列系统管理操作。

    SYS_BOOT

    使用重新启动和kexec_load,重新启动并加载新内核以便以后执行。

    SYS_MODULE

    加载和卸载内核模块。

    SYS_NICE

    提升进程良好值(良好,设置优先级),并更改任意进程的良好值。

    SYS_PACCT

    使用账户,打开或关闭进程记账。

    SYS_PTRACE

    使用ptrace跟踪任意进程。

    SYS_RAWIO

    执行I/O端口操作(ipl和ioperm)。

    SYS_RESOURCE

    覆盖资源限制。

    SYS_TIME

    设置系统时钟(settimeofday、stime、adjtimex);设置实时(硬件)时钟。

    SYS_TTY_CONFIG

    使用vhangup;在虚拟终端上使用各种特权ioctl操作。

    SYSLOG

    执行特权系统日志操作。

    WAKE_ALARM

    触发将唤醒系统的东西。

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

端口扫描检测

  1. 单击“端口扫描检测”,滑出“端口扫描检测”策略详情界面。
  2. 在弹出的端口扫描检测界面中,修改“策略内容”,参数说明如表23所示。

    表23 端口扫描检测策略参数说明

    参数名称

    参数说明

    取值样例

    扫描源IP白名单

    填写IP白名单,多个用英文分号隔开。

    test_bj4

    待检测端口列表

    待检测的端口号和协议类型详情。

    -

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

外联检测

  1. 单击“外联检测”,弹出“外联检测”策略详情界面。
  2. 在弹出的外联检测界面中,修改“策略内容”,参数说明如表 外联检测策略参数说明所示。

    表24 外联检测策略参数说明

    参数名称

    参数说明

    取值样例

    进程白名单

    基于进程名称或进程文件路径+流量方向过滤流量,匹配进程白名单中进程名称/文件路径+流量方向的网络连接会被过滤。

    • 进程名称或文件路径:/usr/local/test
    • 流量方向:双流量

    流量白名单

    基于IP、端口和IP+端口过滤流量,源/目的IP、端口匹配流量白名单的网络连接信息会被过滤。

    -

    采集的协议

    检测的协议类型,可选TCP、UDP协议

    全选。

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

无文件攻击检测

  1. 单击“无文件攻击检测”,弹出“无文件攻击检测”策略详情界面。
  2. 在策略详情界面中,查看或修改“策略内容”,参数说明如表所示。

    表25 无文件攻击检测策略参数说明

    参数名称

    参数说明

    取值样例

    进程注入

    • 进程注入:开启/关闭进程注入检测。
      • :开启。
      • :关闭。
    • 白名单匹配规则:即您配置好的“路径白名单”匹配规则,单击选择白名单匹配规则,可选项如下:
      • 全量匹配,区分大小写
      • 全量匹配,不区分大小写
      • 模糊匹配
    • 路径白名单:输入无需对“进程注入”威胁进行检测的路径,多个路径可通过回车换行分隔。
    • 模糊匹配
    • /usr/sbin/hald

    LD劫持

    • LD劫持:开启/关闭LD劫持检测。
      • :开启。
      • :关闭。
    • 全量进程检测:开启/关闭对全量进程的LD劫持威胁检测。
      • :开启。
      • :关闭。
    • 白名单匹配规则:即您配置好的“路径白名单”匹配规则,单击选择白名单匹配规则,可选项如下:
      • 全量匹配,区分大小写
      • 全量匹配,不区分大小写
      • 模糊匹配
    • 路径白名单:输入无需对“LD劫持”威胁进行检测的路径,多个路径可通过回车换行分隔。
    • 模糊匹配
    • /usr/sbin/hald

    内存型进程

    • 内存型进程:开启/关闭内存型进程检测。
      • :开启。
      • :关闭。
    • 全量进程检测:开启/关闭对全量进程的内存型进程威胁检测。
      • :开启。
      • :关闭。
    • 白名单匹配规则:即您配置好的“路径白名单”匹配规则,单击选择白名单匹配规则,可选项如下:
      • 全量匹配,区分大小写
      • 全量匹配,不区分大小写
      • 模糊匹配
    • 路径白名单:输入无需对“内存型进程”威胁进行检测的路径,多个路径可通过回车换行分隔。
    • 模糊匹配
    • /usr/sbin/hald

  3. 确认无误,单击确定,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

自保护

自保护策略是保护企业主机安全的软件、进程和文件不被恶意程序破坏的策略,不支持自定义策略内容。

我们使用cookie来确保您的高速浏览体验。继续浏览本站,即表示您同意我们使用cookie。 详情

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容