更新时间:2024-11-27 GMT+08:00

策略管理概述

HSS预置了各版本的防护策略,当您为主机和容器开启防护时,HSS将自动为主机和容器绑定对应HSS版本的防护策略。HSS各版本的防护策略内容如表 策略列表所示。

当资产管理、基线检查或入侵检测等策略不满足您的主机防护需求时,您可以根据业务需求配置这些策略,详细操作请参见配置策略

如果您拥有多个旗舰版、容器版主机,但防护需求不同时,可以创建自定义策略组为不同主机部署不同的防护策略,详细操作请参见创建自定义策略组

表1 策略列表

功能类型

策略名称

策略说明

支持的操作系统

专业版

企业版

旗舰版

网页防篡改版

容器版

资产管理

资产发现

检测系统中的软件信息,包含软件名称、软件路径、主要应用等,帮助用户识别异常资产。

Linux,Windows

×

×

基线检查

弱口令检测

检测系统账户口令是否属于常用的弱口令,针对弱口令提示用户修改。

Linux

容器信息收集

收集主机中的所有容器相关信息,包括端口、目录等,对存在风险的信息进行告警上报。

Linux

×

×

×

×

配置检测

对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查,帮助用户识别不安全的配置项。

Linux,Windows

×

×

入侵检测

AV检测

检测服务器资产,对发现的病毒进行上报、隔离查杀。

检测的告警结果将按照病毒类别在检测与响应 > 安全告警事件 > 主机安全告警 > 事件类型 > 恶意软件下的子类别中分别呈现。

开启AV检测后资源占用情况如下:

CPU资源占用不超过单vCPUs的40%,实际占用情况需根据主机情况而定,参照详情请参见检测资源占用一览表

Windows

×

集群入侵检测

检测容器高权限的变动,在关键信息中的创建及病毒入侵等异常行为。

Linux

×

×

×

×

容器逃逸

检测容器是否容器逃逸行为,存在容器逃逸行为即进行告警上报。

Linux

×

×

×

×

容器信息模块

用户可以基于容器的名称、镜像所属组织的名称以及命名空间自定义配置可信容器白名单,白名单内容器不进行检测及告警。

Linux

×

×

×

×

Webshell检测

检测云服务器上Web目录中的文件,判断是否为Webshell木马文件。

Linux,Windows

容器文件监控

检测违反安全策略的文件异常访问,安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。

Linux

×

×

×

×

容器进程白名单

检测违反安全策略的进程启动。

Linux

×

×

×

×

镜像异常行为

配置目标黑白名单,自定义权限对异常行为进行忽略或告警上报。

Linux

×

×

×

×

HIPS检测

主要针对注册表、文件及进程进行检测,对异常变更等操作行为进行告警上报。

Linux、Windows

×

文件保护

检测操作系统、应用程序软件和其他组件的文件,确定文件是否发生了可能遭受攻击的更改。

Linux

登录安全检测

检测SSH、FTP、MySQL等账户遭受的口令破解攻击。

如果30秒内,账户暴力破解次数(连续输入错误密码)达到5次及以上,HSS就会拦截该源IP,禁止其再次登录,防止主机因账户破解被入侵。

SSH类型攻击默认拦截12小时,其他类型攻击默认拦截24小时。根据账户暴力破解告警详情,如“攻击源IP”、“攻击类型”和“拦截次数”,您能够快速识别出该源IP是否为可信IP,如果为可信IP,您可以通过手动解除拦截的方式,解除拦截的可信IP。

Linux,Windows

恶意文件检测

  • 反弹shell:实时监控用户的进程行为,可及时发现并阻断进程的非法Shell连接操作产生的反弹Shell行为。
  • 异常shell:检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。

Linux

端口扫描检测

检测用户指定的端口存在被扫描或者嗅探的行为,一旦发现进行告警上报。

Linux

×

×

进程异常行为

通过对运行进程的管控,全局监测各个主机的运行信息,保障云主机的安全性。您可以建立自己的进程白名单,对于进程的非法行为、黑客入侵过程进行告警。

Linux

root提权

检测当前系统文件路径的root提权行为。

Linux

实时进程

检测进程中高危命令的执行行为,发生高危命令执行时,触发告警。

Linux,Windows

rootkit检测

检测服务器资产,对可疑的内核模块和可疑的文件或文件夹进行告警上报。

Linux

无文件攻击 检测

对检测用户资产中存在的进程注入、动态库注入和内存文件进程行为的管控。

Linux

自保护

Windows自保护

防止恶意程序卸载Agent、篡改企业主机安全文件或停止企业主机安全进程。

说明:
  • 自保护功能依赖AV检测、HIPS检测或者勒索病毒防护功能使能驱动才能生效,只有这三个功能开启一个以上时,开启自保护才会生效。
  • 开启自保护策略后的影响如下:
    • Agent不支持通过主机的控制面板卸载,支持通过企业主机安全控制台卸载。
    • 企业主机安全的进程无法被终止。
    • Agent安装路径C:\Program Files\HostGuard下除了log目录、data目录(如果Agent升级过,再加上upgrade目录)外的其他目录无法访问。

Windows

×

×

×

Linux自保护

防止恶意程序停止企业主机安全进程、卸载Agent。

说明:
  • 开启自保护策略后的影响如下:
    • Agent不支持通过命令卸载,支持通过企业主机安全控制台卸载。
    • 企业主机安全的进程无法被终止。

Linux

×

×