配置登录策略
背景信息
终端防护与响应服务会根据配置的异常登录策略判断终端上是否存在非法登录行为,对不在该策略内的登录行为进行告警,并提供处置方式。租户通过配置异常登录策略,管理相应终端的登录行为。
当终端安装EDR Agent后,用户首次成功登录终端,如果此时未配置异常登录策略,EDR Agent不会触发告警,并且首次成功登录的IP地址及该时间点往后顺延24小时内的所有公网登录地址都会被云端识别为合法登录地址;如果已配置异常登录策略,未配置在异常登录策略中的登录行为均被认为是非法登录行为。
操作步骤
Windows系统的登录选项策略会影响到EDR Agent对异常登录事件的监测。为保证登录策略能够正常应用,请在配置登录策略前确认Window系统的登录选项策略已开启,具体操作请参见《部署指南》中“配置Windows系统的登录选项策略”章节。
初次使用终端防护与响应服务或者异常登录策略有变化时,请参考以下步骤完成。
- 登录华为乾坤控制台,选择“
> 我的服务 > 终端防护与响应”。 - 在右上角菜单栏选择。
- 选择资产或资产组,填写策略信息并应用。
图1 异常登录策略
表1 异常登录策略界面关键参数说明 模块
参数
参数说明
资产
-
支持面向不同的资产组设置不同的策略,设置过的子分组不继承上级分组的策略。
资产或资产组前的图标代表以下含义。
:策略配置下发失败。
:已设置过自定义策略,未继承父层策略。
-
开启登录配置策略
开启登录策略配置时,置为打开状态。
关闭登录策略配置时,置为关闭状态。
-
合法登录IP
允许登录终端的IP地址范围。不在该范围内的IP登录终端,均认为是非法登录IP,EDR Agent触发告警。
每行可设置一个合法登录IP,行之间用回车分隔,最多设置20个。
-
合法登录帐号
允许登录终端的帐号。使用非允许帐号登录终端,均认为是非法登录帐号,EDR Agent触发告警。
每行可设置一个合法登录帐号,行之间用回车分隔,最多设置20个。
-
合法登录时间
允许登录终端的时间段。不在该时间段内登录终端,均认为是非法登录时间,EDR Agent触发告警。
合法登录时间最多设置20个。
(可选)继承父层策略
-
一键应用该资产或资产组上级分组的策略。
(可选)应用至下层所有资产
-
仅适用于资产组。
强制覆盖当前资产组下所有的资产/资产组的对应策略配置。
应用
-
- 选择资产组时:覆盖当前资产组下所有资产(除自定义资产/资产组以外)的对应策略配置。
- 选择资产时:应用该策略配置至指定资产。
合法登录IP、合法登录帐号、合法登录时间至少填写其中一个,不能同时为空。
- (可选)如果异常登录策略下发失败,请根据页面提示排查原因。排查完毕后,请依次单击“重试”和
按钮,查看最新状态。
图2 异常策略配置下发失败提示
