配置检测防护策略
背景信息
智能终端安全服务会根据配置的检测防护策略对特定进程或扩展名文件进行实时防护,识别和阻断被感染的进程和文件,以防止恶意进程或文件对您造成资产损失。
操作步骤
- 登录华为乾坤控制台,选择 。
- 在右上角菜单栏选择 。
- 选择“防护策略”页签,在“策略配置”页面,单击“检测防护策略配置”页签。
- 选择终端的操作系统,开启实时防护后,配置需要防护的进程名和文件扩展名,并根据界面提示选择是否启用高级检测策略,参数配置详见表1。
图1 检测防护策略配置
表1 检测防护策略配置界面关键参数说明 模块
参数
参数说明
防护策略
开启实时防护
根据需要选择是否开启。
实时防护可以及时识别和阻断被感染的进程和文件,以防止恶意进程或文件对您造成的网络安全及资产损失。打开该开关,可移步至威胁事件>病毒文件查看恶意文件可能造成的损失,或者移步至资产管理>资产详情>隔离&封禁区查看恶意文件信息,过程中请勿关闭该开关。
需要防护的进程名
必填,配置需要防护的进程名。
需要防护的文件扩展名
必填,配置需要防护的文件扩名。
高级检测策略
开启内存扫描
根据需要选择是否开启。
开启内存扫描后,支持对进程内存进行深度分析以检测高级威胁。
开启栈序列检测
根据需要选择是否开启。
开启栈序列检测后,支持对调用栈序列进行分析以检测漏洞利用行为。
开启AMSI检测
开启AMSI防护后,支持使用反恶意软件扫描接口(AMSI)即时扫描脚本内容。
(可选)应用至下层所有资产
-
仅适用于资产组。
强制覆盖当前资产组下所有的资产/资产组的对应策略配置。
应用
-
- 选择资产组时:覆盖当前资产组下所有资产(除自定义资产/资产组以外)的对应策略配置。
- 选择资产时:应用该策略配置至指定资产。