配置检测防护策略
背景信息
智能终端安全服务会根据配置的检测防护策略对特定进程或扩展名文件进行实时防护,识别和阻断被感染的进程和文件,以防止恶意进程或文件对您造成资产损失。
操作步骤
- 登录华为乾坤控制台,选择“
> 我的服务 > 智能终端安全”。 - 在右上角菜单栏选择。
- 选择“防护策略”页签,在“策略配置”页面,单击“检测防护策略配置”页签。
- 选择终端的操作系统,开启实时防护后,配置需要防护的进程名和文件扩展名,并根据界面提示选择是否启用高级检测策略,参数配置详见表1。
图1 检测防护策略配置
表1 检测防护策略配置界面关键参数说明 模块
参数
参数说明
资产
-
支持面向不同的资产组设置不同的策略,设置过的子分组不继承上级分组的策略。
资产或资产组前的图标代表以下含义。
:策略配置下发失败。
:已设置过自定义策略,未继承父层策略。
-
系统选择
按HiSec Endpoint Agent系统配置相应的下发策略。
支持的HiSec Endpoint Agent系统有Windows、Linux、macOS。
防护策略
终端配置锁定
- 开启终端配置锁定:HiSec Endpoint Agent将无法修改实时防护策略设置。
- 关闭终端配置锁定:HiSec Endpoint Agent可自定义修改实时防护策略设置。
允许终端退出
开启允许终端退出后,将允许HiSec Endpoint Agent用户手动退出安全防护中心。
信创基础版防护策略
开启信创基础版防护策略后,主机行为防护能力处于启用状态。
说明:仅Linux系统支持此功能。
开启实时防护
根据需要选择是否开启。
实时防护可以及时识别和阻断被感染的进程和文件,以防止恶意进程或文件对您造成的网络安全及资产损失。打开该开关,可移步至威胁事件>病毒文件查看恶意文件可能造成的损失,或者移步至资产管理>资产详情>隔离&封禁区查看恶意文件信息,过程中请勿关闭该开关。
需要防护的进程名
必填,配置需要防护的进程名。
需要防护的文件扩展名
必填,配置需要防护的文件扩名。
高级检测策略
说明:仅Windows系统支持高级检测策略配置项。
终端配置锁定
- 开启终端配置锁定:HiSec Endpoint Agent将无法修改行为检测设置。
- 关闭终端配置锁定:HiSec Endpoint Agent可自定义修改行为检测设置。
开启内存扫描
根据需要选择是否开启。
开启内存扫描后,支持对进程内存进行深度分析以检测高级威胁。
开启栈序列检测
根据需要选择是否开启。
开启栈序列检测后,支持对调用栈序列进行分析以检测漏洞利用行为。
开启AMSI检测
开启AMSI防护后,支持使用反恶意软件扫描接口(AMSI)即时扫描脚本内容。
病毒查杀策略
终端配置锁定
- 开启终端配置锁定:HiSec Endpoint Agent将无法修改病毒查杀设置。
- 关闭终端配置锁定:HiSec Endpoint Agent可自定义修改病毒查杀设置。
U盘防护策略
终端配置锁定
- 开启终端配置锁定:HiSec Endpoint Agent将无法修改U盘防护设置。
- 关闭终端配置锁定:HiSec Endpoint Agent可自定义修改U盘防护设置。
(可选)继承父层策略
-
一键应用该资产或资产组上级分组的策略。
(可选)应用至下层所有资产
-
仅适用于资产组。
强制覆盖当前资产组下所有的资产/资产组的对应策略配置。
应用
-
- 选择资产组时:覆盖当前资产组下所有资产(除自定义资产/资产组以外)的对应策略配置。
- 选择资产时:应用该策略配置至指定资产。
