修改策略内容
当您创建策略组后,需要修改策略内容时,可按照本文档的指导完成策略内容的修改。
策略内容的修改,只在当前所修改的策略组生效。
资产管理
- 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
- 单击“资产管理”,弹出资产管理界面。
- 在弹出的资产管理界面中,修改“策略内容”,如图2所示,参数说明如表1所示。
表1 资产管理策略内容参数说明 参数
说明
检测时间
检测的时间,可具体到每一天的每一分钟。
检测日
检测日期,勾选周一到周日的任意日期。
需要获取信息的软件名称
- 软件名称中不能包含空格且内容长度不得超过5000字符,多个软件名称用逗号分隔。
- 如果不配置,则获取所有已安装软件信息。
软件搜索路径
软件搜索的路径。Windows主机不需要添加。
主要应用/组件
- 软件名:软件名称。
- 软件主程序 :软件的主程序。
- 执行命令 :执行的命令。
- 操作:单击“添加”可以将软件添加到此列表;单击“删除”可以将软件从该列表移除。
获取UDP端口
获取UDP端口信息,检测WEB的目录。
- :开启。
- :关闭。
检测端口信息的时间间隔(秒)
进程文件检测端口信息的时间间隔,可配置范围为“30秒~86400秒”。
- 单击“确定”,完成修改。
系统配置检测
- 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
弱口令检测
弱口令/密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞。数据、程序都储存在系统中,若密码被破解,系统中的数据和程序将毫无安全可言。
企业主机安全服务会对使用经典弱口令的用户帐号告警,主动检测出主机中使用经典弱口令的帐号。您也可以将疑似被泄露的口令添加在自定义弱口令列表中,防止主机中的帐户使用该弱口令,给主机带来危险。
高危命令检测
- 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
- 单击“高危命令检测”,弹出高危命令检测界面。
- 在弹出的高危命令检测界面中,修改“策略内容”,如图5所示,参数说明如表4所示。
表4 高危命令检测策略内容参数说明 参数
说明
上报或记录进程消亡消息
是否开启上报或记录进程消亡消息。
- :开启。
- :关闭。
使用消息通道去重上报
是否开启使用消息通道去重上报。
- :开启。
- :关闭。
进程统计信息上报间隔(分钟)
开启消息通道去重上报后有效。
配置进程统计信息上报间隔,配置为有效数字。
独立进程最大CPU使用率(%)
开启消息通道去重上报后有效。
配置独立进程最大CPU使用率,可配置范围为“5~99”。
独立进程最大内存使用(MB)
开启消息通道去重上报后有效。
配置独立进程最大内存使用,可配置范围为“50~1024”。
独立进程数据接收方IP和端口
开启消息通道去重上报后有效。
配置独立进程数据接收方IP和端口。
独立进程数据发送限速(KB/S)
开启消息通道去重上报后有效。
独立进程数据发送限速,可配置范围为“1~100”。
精简日志模式
是否开启使用精简日志模式。
- :开启。
- :关闭。
收集进程网络连接信息
是否开启收集进程网络连接信息。
- :开启。
- :关闭。
记录日志
是否开启记录日志。
- :开启。
- :关闭。
日志记录路径
日志记录的路径。
日志记录最大文件大小(MB)
日志记录最大文件的大小,可配置范围“10~1024”。
- 若日志超过配置的最大文件大小,系统会自动将“.log”文件重命名为“.log.0”,并新建“.log”日志文件,将日志继续写入“.log”文件。
- 最多存在2个日志文件,若日志再次超过配置的最大文件大小,系统会删除“.log.0”的日志文件,将“.log”日志文件重命名为“.log.0”,并新建“.log”日志文件,将日志继续写入“.log”文件。
高危命令
设置高危命令,一行一个高危命令。
白名单(不记录/不上报)
- 进程全路径或程序名:进程的完整路径或者程序的名称。
- 命令行正则表达式 :命令行的正则表达式。
- 操作:单击“添加”可以将进程或者程序添加到此列表;单击“删除”可以将进程或者程序从该列表移除。
- 单击“确定”,完成修改。
提权检测
- 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
异常/反弹Shell检测
- 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
文件完整性管理
- 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
- 单击“文件完整性管理”,弹出关键文件完整性管理界面。
- 在弹出的文件完整性管理界面中,修改“策略内容”,如图8所示,参数说明如表7所示。
表7 文件完整性管理策略内容参数说明 参数
说明
全量检测时间间隔(秒)
检测配置的所有文件的时间间隔,可配置范围为“3600-100000”。
例如:配置为“3600”,就是间隔一个小时检测一次所有文件。
文件状态检测时间间隔(秒)
文件状态检测周期。可配置范围为“10-600”。
检测休息时间(毫秒)
检测配置的单个文件的时间间隔,可配置范围为“0-1000”。
例如:配置为“50”,检测“/bin/ls”后,等待“50”毫秒再检测“/usr/bin/ls”。
监控文件
需要检测的文件。
说明:- 策略默认添加的文件是非常关键的文件,请谨慎删除!
- 若删除默认添加的文件,HSS将不会再对该文件发生的变更进行统计。
- 单击“确定”,完成修改。
网站后门检测
网站后门检测功能只有在设置Web路径之后才会生效。