更新时间:2024-11-15 GMT+08:00
分享

配置策略

主机开启防护后,您可以根据自身业务需求配置主机防护策略。

约束限制

  • 已开启专业版、企业版、旗舰版、网页防篡改版、容器版中任一版本。
  • 默认策略组有默认配置,不建议修改。
  • 策略内容的修改只在策略所属策略组内生效。

进入策略管理

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  1. 在左侧导航栏,选择安全运营 > 策略管理,进入“策略管理”界面,查看显示的策略组,字段说明如表 策略组列表字段说明所示。

    如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

    表1 策略组列表字段说明

    字段

    说明

    策略组名称

    策略组的名称。系统预置策略组名称如下:

    • tenant_linux_advanced_default_policy_group:专业版linux系统预置策略,仅可被查看,不支持复制和删除。
    • tenant_windows_advanced_default_policy_group:专业版windows系统预置策略,仅可被查看,不可被复制和删除。
    • tenant_linux_container_default_policy_group:容器版linux系统预置策略,可通过复制该策略组来创建新的策略组。
    • tenant_linux_enterprise_default_policy_group:企业版linux系统预置策略,仅可被查看,不可被复制和删除。
    • tenant_windows_enterprise_default_policy_group:企业版windows系统预置策略,仅可被查看,不可被复制和删除。
    • tenant_linux_premium_default_policy_group:旗舰版linux系统预置策略,可通过复制该策略组来创建新的策略组。
    • tenant_windows_premium_default_policy_group:旗舰版windows系统预置策略,可通过复制该策略组来创建新的策略组。
    • wtp_主机名称:网页防篡改版策略,每台主机开启网页防篡改防护时都会默认生成对应的网页防篡改策略组。

    ID

    策略组的ID号,对策略组的唯一标识。

    描述

    对策略组的描述。

    支持的版本

    策略组支持的企业主机安全的版本。

    支持的操作系统

    策略支持的操作系统类型。

    关联服务器数

    策略关联的服务器数。单击数值,可查看策略组关联的服务器。

  2. 单击目标策略组名称,进入策略详情列表。

    您可以根据需要在策略所在行的操作列执行“开启”“关闭”操作。策略关闭后,将不再执行对应策略的检测。

  3. 单击目标策略名称对不同策略进行修改,各策略说明如下所示。

资产发现

  1. 单击“资产发现”,弹出“资产发现”策略详情界面。
  2. 在弹出的资产管理界面中,修改“策略内容”,参数说明如表2所示。

    表2 资产管理策略内容参数说明

    参数名称

    参数说明

    检测时间

    针对不同资产自动执行检测的固定时间点,其中中间件、Web框架、内核模块、Web应用、Web站点、Web服务、数据库可进行自定义检测时间。

    偏移时间指在设置的目标时间向前或向后做自动调节执行检测。

    • 账号:Linux每小时自动检测一次,Windows实时检测。
    • 开放端口:每30秒自动检测一次。
    • 进程:每小时自动检测一次。
    • 软件:每天自动检测一次。
    • 自启动项:每小时自动检测一次。
    • 中间件/Web框架:可一起选择检测日和时间。
    • 内核模块:需根据需求独立设置检测日和时间。
    • Web应用/Web站点/Web服务/数据库:可一起选择检测日和时间。

    指定待扫描web目录

    需要扫描的web目录。

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

弱口令检测

弱口令/密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞。数据、程序都储存在系统中,如果密码被破解,系统中的数据和程序将毫无安全可言。

企业主机安全会对使用经典弱口令的用户账号告警,主动检测出主机中使用经典弱口令的账号。您也可以将疑似被泄露的口令添加在自定义弱口令列表中,防止主机中的账户使用该弱口令,给主机带来危险。

  1. 单击“弱口令检测”,弹出“弱口令检测”策略详情界面。
  2. 在弹出的“策略内容”界面中,修改“策略内容”,参数说明如表3所示。

    图1 修改弱口令检测
    表3 弱口令检测策略内容参数说明

    参数

    说明

    检测时间

    配置弱口令检测的时间,可具体到每一天的每一分钟。

    随机偏移时间(秒)

    检测配置的弱口令时间的随机偏移时间,在“检测时间”的基础上偏移,可配置范围为“0~7200秒”

    检测日

    弱口令检测日期。勾选周一到周日检测弱口令的时间。

    自定义弱口令

    您可以将疑似被泄露的口令添加在自定义弱口令文本框中,防止主机中的账户使用该弱口令,给主机带来危险。

    填写多个弱口令时,每个弱口令之间需换行填写,最多可添加300条。

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

配置检测

  1. 单击“配置检测”,弹出“配置检测”策略详情界面。
  2. “配置检测”界面,修改“策略内容”

    图2 修改配置检测
    表4 系统配置检测策略内容参数说明

    参数

    说明

    检测时间

    配置系统检测的时间,可具体到每一天的每一分钟。

    随机偏移时间(秒)

    配置系统检测的随机偏移时间,可配置范围为“0~7200秒”

    检测日

    系统配置检测日期,勾选周一到周日的检测系统配置的时间。

    系统默认基线库

    系统已经配置好的检测基线,只需要勾选需要扫描检测的基线即可,所有值均为默认,不可修改。

  3. 勾选需要检测的基线或自定义基线。

    如果有等保合规的需求,可按需勾选“标准类型”“等保合规”的基线项。

  4. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

Webshell检测

如果未设置“用户指定扫描路径”,Webshell检测功能默认扫描您资产中的Web站点路径。设置“用户指定扫描路径”后,Webshell检测功能会扫描Web站点路径和您指定的扫描路径。。

  1. 单击“Webshell检测”,弹出“Webshell检测”策略详情界面。
  2. 在弹出的“Webshell检测”界面中,修改“策略内容”,参数说明如表5所示。

    图3 修改Webshell检测策略
    表5 Webshell检测策略内容参数说明

    参数

    说明

    检测时间

    配置Webshell检测的时间,可具体到每一天的每一分钟。

    随机偏移时间(秒)

    配置随机偏移时间,可配置范围为“0~7200秒”

    检测日

    Webshell检测日期,勾选周一到周日的检测Webshell的时间。

    用户指定扫描路径

    手动添加需要检测的Web目录。

    • 文件路径以“/”开头,不能以“/”结尾。
    • 多个路径通过回车换行分隔且名称中不能包含空格。

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

文件保护

  1. 单击“文件保护”,弹出“文件保护”策略详情界面。
  2. 在弹出的文件保护界面中,修改“策略内容”,参数说明如表6所示。

    如下图片以Linux策略为例。
    图4 修改文件保护策略
    表6 文件保护策略内容参数说明

    参数

    说明

    支持的操作系统

    文件提权检测

    • 启用:是否开启文件提权检测。
      • :开启。
      • :关闭。
    • 忽略的文件路径:填写需要忽略的文件路径。文件路径以“/”开头,不能以“/”结尾,多个路径通过回车换行分隔且名称中不能包含空格。

    Linux

    关键文件完整性检测

    • 启用:是否开启关键文件完整性检测。
      • :开启。
      • :关闭。
    • 监控文件:配置监控文件。

    Linux

    关键文件目录变更检测

    • 启用:是否开启关键文件目录变更检测。
      • :开启。
      • :关闭。
    • 会话IP白名单:如果操作文件的进程属于以上IP的会话,则不予审计。
    • 忽略监控文件类型后缀:忽略监控的文件类型的后缀。
    • 忽略监控的文件路径:配置忽略监控文件的路径。
    • 监控登录密钥:是否开启监控登录密钥。
      • :开启。
      • :关闭。

    Linux

    Linux文件目录监控

    • 监控模式:监控文件或目录路径的模式,“护网/重保”模式相较于“日常运营”模式,默认多勾选“监控子目录”“监控修改属性”两项,因此默认情况监控的变更项更多。
    • 系统预置了部分文件或目录监控路径,您可以自行修改需要检测的文件更改类型以及添加需要监控的文件或目录路径。
      • 文件或目录路径:需要监控的文件或目录路径。添加前,请确认是合法路径;最多可添加50个文件或目录路径。
      • 别名:文件或目录路径的别名,您可以定义一个易区分的名称。
      • 监控子目录:勾选后会监控对应子目录的所有文件。不勾选,则不监控子目录文件。
      • 监视创建、删除、移动、修改等:请您根据业务实际情况选择是否勾选。

    Linux

    Windows文件目录监控

    系统预置了部分文件或目录监控路径,您可以自行修改需要检测的文件更改类型以及添加需要监控的文件或目录路径。

    • 文件或目录路径:需要监控的文件或目录路径。添加路径时,请确认是合法路径;最多可添加50个路径。
    • 别名:自定义名称,用于区别不同文件或目录路径,对监控效果无影响。
    • 监控子目录:勾选后监控子目录中的文件。不勾选,则不监控子目录中文件。
    • 文件类型后缀:需要监控的文件类型。最多可添加50个类型。
    • 忽略子目录或文件路径:勾选“监控子目录”时有效。如果个别子目录无需监控,可设置此参数。添加路径时,请确认是合法路径;最多可添加20个路径。
    • 监视创建、删除、移动、修改:请您根据业务实际情况选择是否勾选。

    Windows

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

HIPS检测

  1. 单击“HIPS检测”,弹出“HIPS检测”策略详情页面。
  2. 修改策略内容,相关参数说明如表 HIPS检测策略内容参数说明所示。

    图5 修改HIPS检测策略
    表7 HIPS检测策略内容参数说明

    参数名称

    参数说明

    自动化阻断

    开启后,对检测到的注册表、文件及进程等异常变更行为进行阻断,例如反弹Shell、高危命令等。
    • :开启。
    • :关闭。

    可信进程

    添加可信进程的文件路径。单击“添加”可增加一条路径输入框,单击“删除”可删除进程文件路径。

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

登录安全检测

  1. 单击“登录安全检测”,弹出“登录安全检测”策略详情界面。
  2. 在弹出的“登录安全检测”策略内容中,修改“策略内容”,参数说明如表 登录安全检测策略内容参数说明所示。

    图6 修改安全检测策略
    表8 登录安全检测策略内容参数说明

    参数

    说明

    封禁时间(分钟)

    可设置被阻断攻击IP的封禁时间,封禁时间内不可登录,封禁时间结束后自动解封,可配置范围为“1~43200”

    是否审计登录成功

    • 开启此功能后,HSS将上报登录成功的事件。
      • :开启。
      • :关闭。

    阻断攻击IP(非白名单)

    开启阻断攻击IP后,HSS将阻断爆破行为的IP(非白名单)登录。

    白名单爆破行为是否告警

    • 开启后,HSS将对白名单IP产生的爆破行为进行告警。
      • :开启。
      • :关闭。

    白名单

    将IP添加到白名单后,HSS不会阻断白名单内IP的爆破行为。最多可添加50个IP或网段到白名单,且同时支持IPV4和IPV6。

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

恶意文件检测

  1. 单击“恶意文件检测”,弹出“恶意文件检测”策略详情界面。
  2. 在弹出的恶意文件检测界面中,修改“策略内容”,参数说明如表9所示。

    图7 修改恶意文件检测策略
    表9 恶意文件检测策略内容参数说明

    参数

    说明

    反弹shell忽略的进程文件路径

    反弹shell忽略的进程文件的路径。

    文件路径以“/”开头,不能以“/”结尾。多个路径通过回车换行分隔且名称中不能包含空格。

    忽略的反弹shell本地端口

    无需扫描反弹shell的本地端口。

    忽略的反弹shell远程地址

    无需扫描反弹shell的远程地址。

    反弹shell检测

    • 选择是否开启反弹shell检测,建议开启。
      • :开启。
      • :关闭。

    异常shell检测

    • 选择是否开启异常shell检测,建议开启。
      • :开启。
      • :关闭。

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

进程异常行为

  1. 单击“进程异常行为”,弹出“进程异常行为”策略详情界面。
  2. 在弹出的进程异常行为管理界面中,修改“策略内容”,参数说明如表10所示。

    表10 进程异常行为策略内容参数说明

    参数

    说明

    取值样例

    检测模式

    选择进程异常行为的检测模式

    • 高检出模式:对所有进程进行深度、全量的检测扫描,可能存在一定误报,适用于护网重保等场景。
    • 均衡模式:对所有进程进行全量的检测扫描,检测结果准确性和异常进程的检出率均得到一定平衡,适用于日常防护。
    • 低误报模式:对所有进程进行全量的检测扫描,重点提升检测结果的准确性,减少误报的情况,适用于误报较多的场景。

    均衡模式

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

root提权

  1. 单击“root提权”,弹出“root提权”策略详情界面。
  2. 在弹出的root提权界面中,修改“策略内容”,参数说明如表11所示。

    图8 修改root提权策略
    表11 root提权策略内容参数说明

    参数

    说明

    忽略的进程文件路径

    忽略的进程文件的路径。

    文件路径以“/”开头,不能以“/”结尾。多个路径通过回车换行分隔且名称中不能包含空格。

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

实时进程

  1. 单击“实时进程”,弹出“实时进程”策略详情界面。
  2. 在弹出的实时进程界面中,修改“策略内容”,参数说明如表12所示。

    图9 修改实时进程策略
    表12 实时进程策略内容参数说明

    参数

    说明

    高危命令

    检测包含关键词的高危命令。命令输入只能包含字母、数字、下划线、空格和符号(/*\=>. : ' " +- )。

    说明:

    暂不支持检测Shell内置命令。

    白名单(不记录/不上报)

    添加检测时放行、忽略的路径或程序名;同时可填写需要加白的命令行的正则表达式,命令行正则表达式非必填。

    示例:

    • 进程全路径或程序名:/usr/bin/sleep
    • 命令行正则表达式:^[A-Za-z0-9[:space:]\\*\\.\\\":_'\\(>=-]+$

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

rootkit检测

  1. 单击“rootkit检测”,弹出“rootkit检测”策略详情界面。
  2. 在弹出的rootkit检测界面中,修改“策略内容”

    图10 修改rootkit检测策略
    表13 rootkit检测策略内容参数说明

    参数名称

    参数说明

    取值样例

    内核模块白名单

    自定义填写检测时忽略的内核模块名称。

    可填写多个,不同模块名称之间用换行隔开,最多可添加10个。

    xt_conntrack

    virtio_scsi

    tun

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

AV检测

  1. 单击“AV检测”,弹出“AV检测”策略详情界面。
  2. 在弹出的AV检测界面中,修改“策略内容”,参数说明如表14所示。

    表14 AV检测策略内容参数说明

    参数名称

    参数说明

    取值样例

    是否开启实时防护

    开启后,执行该策略时AV检测提供实时检测防护,建议开启。

    • :开启。
    • :关闭。

    :开启。

    防护文件类型

    自定义勾选自动实时检测的文件的类型。

    • 全部:选中所有文件类型。
    • 可执行:常见的exe,dll,sys等。
    • 压缩:常见的zip,rar,jar等。
    • 文本:常见的php,jsp,html,bash等。
    • OLE:复合型文档,常见的office格式文件(ppt,doc)和保存的邮件文件(msg)。
    • 其他:除开以上类型的其他类型。

    全部

    防护动作

    目标检测告警的防护动作。

    • 自动处置:检测为高危等级病毒文件将自动执行隔离,其余风险等级病毒不自动隔离。
    • 人工处置:检测的病毒无论是什么风险等级,都不会自动隔离,需手动处理。

    自动处置

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

容器信息收集

  1. 单击“容器信息收集”,弹出“容器信息收集”策略详情界面。
  2. 在弹出的容器信息收集界面中,修改“策略内容”,参数说明如表15所示。

    白名单优先级更高,如果白名单和黑名单配置了一样的目录,则目录以白名单为基准,允许挂载。

    表15 容器信息收集策略参数说明

    参数名称

    参数说明

    取值样例

    挂载目录白名单

    填写允许挂载的目录。

    /test/docker或/root/*

    注:路径以*结束表示目标路径下的所有子目录,不包括主目录。

    如:设置/var/test/*为白名单目录,表示:目录/var/test/下的所有子目录为白名单目录,不包括test这层。

    挂载目录黑名单

    填写不允许挂载的目录,如user、bin为主机关键信息文件路径,不建议作为挂载目录,否则重要信息可能存在暴露风险。

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

集群入侵检测

  1. 单击“集群入侵检测”,滑出“集群入侵检测”策略详情界面。
  2. 在弹出的集群入侵检测界面中,修改“策略内容”,参数说明如表16所示。

    表16 集群入侵检测策略参数说明

    参数名称

    参数说明

    取值样例

    基础检测case

    提供所有支持基础检测的检测项,根据需求勾选即可。

    全选。

    白名单

    自定义添加在检测中需要忽略的类型及对应的值,且可自定义进行添加的删除。

    支持的类型如下:

    • ip过滤
    • pod名称过滤
    • image名称过滤
    • 执行用户过滤
    • pod标签过滤
    • namespace过滤
      说明:

      每一种类型只能使用一次。

    类型:ip过滤

    值:192.168.x.x

    该策略配置完成后,还需开启日志审计功能,且企业主机安全Agent需要部署在集群的管理节点上(APIServer所在的节点)才能正常生效。

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

容器逃逸

  1. 单击“容器逃逸”,系统弹出“容器逃逸”策略详情页面。
  2. 在弹出的“容器逃逸”策略页面中,编辑策略内容,参数说明如表 容器逃逸策略参数说明所示。

    如果没有需要添加白名单的镜像、进程、POD,可不填写对应的白名单。
    表17 容器逃逸策略参数说明

    参数名称

    参数说明

    镜像白名单

    填写无需检测容器逃逸行为的镜像名称,镜像名只能包含字母、数字、下划线、中划线,多个镜像名以回车换行隔开,最多可添加100个镜像名。

    进程白名单

    填写无需检测容器逃逸行为的进程全路径,进程全路径只能包含字母、数字、下划线、中划线,多个进程名以回车换行隔开,最多可添加100个进程路径。

    POD白名单

    填写无需检测容器逃逸行为的POD名称,POD名只能包含字母、数字、下划线、中划线,多个POD名以回车换行隔开,最多可添加100个POD名。

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

容器信息模块

  1. 单击“容器信息模块”,弹出“容器信息模块”策略详情页面。
  2. 根据界面提示,修改策略内容。策略内容相关参数说明请参见表 容器信息模块策略参数说明

    表18 容器信息模块策略参数说明

    参数名称

    参数说明

    自定义容器名称白名单

    自定义填写需要入侵检测功能忽略不进行检测的容器名称。

    • 基于Docker运行时的容器可以配置简单名称,HSS会自行模糊匹配;其他运行时的容器会根据名称进行精确匹配。
    • 多个容器名称以回车换行分隔,最多可添100个白名单。

    自定义组织白名单

    自定义填写需要入侵检测功能忽略不进行检测的镜像所属组织名称。

    多个组织名称以回车换行分隔,最多可添100个白名单。

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

容器文件监控

当被监控的文件路径位于挂载路径下,而非容器在主机上的可写层时,无法触发容器文件修改的告警。此类文件可以通过主机的文件保护策略进行防护。

  1. 单击“容器文件监控”,滑出“容器文件监控”策略详情界面。
  2. 在弹出的容器文件监控界面中,修改“策略内容”,参数说明如表19所示。

    表19 容器文件监控策略参数说明

    参数名称

    参数说明

    取值样例

    模糊匹配

    是否启动对目标文件的模糊匹配,建议勾选。

    勾选。

    镜像名称

    执行检测的目标镜像的名称。

    test_bj4

    镜像ID

    执行检测的目标镜像的ID。

    -

    文件

    执行检测的目标镜像下的文件名称。

    /tmp/testw.txt

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

容器进程白名单

  1. 单击“容器进程白名单”,滑出“容器进程白名单”策略详情界面。
  2. 在弹出的容器进程白名单界面中,修改“策略内容”,参数说明如表20所示。

    表20 容器进程白名单策略参数说明

    参数名称

    参数说明

    取值样例

    模糊匹配

    是否启动对目标文件的模糊匹配,建议勾选。

    勾选。

    镜像名称

    执行检测的目标镜像的名称。

    test_bj4

    镜像ID

    执行检测的目标镜像的ID。

    -

    进程

    执行检测的目标镜像下的进程全路径。

    /tmp/testw

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

镜像异常行为

  1. 单击“镜像异常行为”,滑出“镜像异常行为”策略详情界面。
  2. 在弹出的镜像异常行为界面中,修改“策略内容”,参数说明如表21所示。

    表21 镜像异常行为策略参数说明

    参数名称

    参数说明

    取值样例

    规则名称

    不同规则的名称。

    -

    规则描述

    不同规则的简要描述。

    -

    规则模板

    • 选择不同的规则进行配置,支持的规则项如下:
      • 镜像白名单
      • 镜像黑名单
      • 镜像标签白名单
      • 镜像标签黑名单
      • 创建容器白名单
      • 创建容器黑名单
      • 容器mount proc白名单
      • 容器seccomp unconfined
      • 容器特权白名单
      • 容器capabilities白名单
    • 规则填写参数说明如下:
      • 精准匹配:通过目标镜像名称来检测,填写目标镜像名称匹配镜像,多个名称以英文分号隔开,最多填写20个。
      • 正则匹配:通过正则来检测,填写正则表达式匹配镜像,多个表达式以英文分号隔开,最多填写20个。
      • 前缀匹配:通过前缀名称来检测,填写前缀名称匹配镜像,多个前缀以英文分号隔开,最多填写20个。
      • 标签名称:通过标签及标签值来筛选检测,最多可添加20个标签项。
      • 权限类型:通过选择权限进行指定检测或忽略检测,权限说明详情请参见表22

    -

    表22 镜像异常行为权限说明

    权限名称

    权限说明

    AUDIT_WRITE

    将记录写入内核审计日志的。

    CHOWN

    对文件UID和GID进行任意更改的。

    DAC_OVERRIDE

    绕过文件读、写和执行权限检查。

    FOWNER

    绕过权限检查通常要求进程的文件系统UID与文件UID匹配的操作。

    FSETID

    修改文件时不清除set-user-ID和set-group-ID权限位。

    KILL

    放通发送信号的权限检查。

    MKNOD

    使用mknod创建特殊文件。

    NET_BIND_SERVICE

    将socket绑定到internet域特权端口(端口号小于1024)。

    NET_RAW

    使用原始socket和数据包socket。

    SETFCAP

    设置文件功能。

    SETGID

    对进程GID和补充GID列表进行任意操作。

    SETPCAP

    修改进程能力。

    SETUID

    对进程UID进行任意操作。

    SYS_CHROOT

    使用chroot,更改根目录。

    AUDIT_CONTROL

    启用和禁用内核审计;更改审计筛选规则;检索审计状态和筛选规则。

    AUDIT_READ

    允许通过组播网络链接套接字读取审计日志。

    BLOCK_SUSPEND

    允许防止系统挂起。

    BPF

    允许创建BPF映射、加载BPF类型格式(BTF)数据、检索BPF程序的JITed代码等。

    CHECKPOINT_RESTORE

    允许检查点/恢复相关操作。

    DAC_READ_SEARCH

    绕过文件读取权限检查和目录读取和执行权限检查。

    IPC_LOCK

    锁定内存(mlock、mlockall、mmap、shmctl)。

    IPC_OWNER

    绕过对System V IPC对象的操作的权限检查。

    LEASE

    在任意文件上建立租赁。

    LINUX_IMMUTABLE

    设置FS_APPEND_FL和FS_IMMUTABLE_FL i节点标志。

    MAC_ADMIN

    允许MAC配置或状态更改。

    MAC_OVERRIDE

    覆盖强制访问控制(MAC)。

    NET_ADMIN

    执行各种与网络相关的操作。

    NET_BROADCAST

    进行socket广播,并侦听组播。

    PERFMON

    允许使用perf_events、i915_perf和其他内核子系统进行系统性能和可观察性特权操作。

    SYS_ADMIN

    执行一系列系统管理操作。

    SYS_BOOT

    使用重新启动和kexec_load,重新启动并加载新内核以便以后执行。

    SYS_MODULE

    加载和卸载内核模块。

    SYS_NICE

    提升进程良好值(良好,设置优先级),并更改任意进程的良好值。

    SYS_PACCT

    使用账户,打开或关闭进程记账。

    SYS_PTRACE

    使用ptrace跟踪任意进程。

    SYS_RAWIO

    执行I/O端口操作(ipl和ioperm)。

    SYS_RESOURCE

    覆盖资源限制。

    SYS_TIME

    设置系统时钟(settimeofday、stime、adjtimex);设置实时(硬件)时钟。

    SYS_TTY_CONFIG

    使用vhangup;在虚拟终端上使用各种特权ioctl操作。

    SYSLOG

    执行特权系统日志操作。

    WAKE_ALARM

    触发将唤醒系统的东西。

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

端口扫描检测

  1. 单击“端口扫描检测”,滑出“端口扫描检测”策略详情界面。
  2. 在弹出的端口扫描检测界面中,修改“策略内容”,参数说明如表23所示。

    表23 端口扫描检测策略参数说明

    参数名称

    参数说明

    取值样例

    扫描源IP白名单

    填写IP白名单,多个用英文分号隔开。

    test_bj4

    待检测端口列表

    待检测的端口号和协议类型详情。

    -

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

无文件攻击检测

  1. 单击“无文件攻击检测”,弹出“无文件攻击检测”策略详情界面。
  2. 在策略详情界面中,查看或修改“策略内容”,参数说明如表所示。

    表24 无文件攻击检测策略参数说明

    参数名称

    参数说明

    取值样例

    进程注入

    • 进程注入:开启/关闭进程注入检测。
      • :开启。
      • :关闭。
    • 白名单匹配规则:即您配置好的“路径白名单”匹配规则,单击选择白名单匹配规则,可选项如下:
      • 全量匹配,区分大小写
      • 全量匹配,不区分大小写
      • 模糊匹配
    • 路径白名单:输入无需对“进程注入”威胁进行检测的路径,多个路径可通过回车换行分隔。
    • 模糊匹配
    • /usr/sbin/hald

    LD劫持

    • LD劫持:开启/关闭LD劫持检测。
      • :开启。
      • :关闭。
    • 全量进程检测:开启/关闭对全量进程的LD劫持威胁检测。
      • :开启。
      • :关闭。
    • 白名单匹配规则:即您配置好的“路径白名单”匹配规则,单击选择白名单匹配规则,可选项如下:
      • 全量匹配,区分大小写
      • 全量匹配,不区分大小写
      • 模糊匹配
    • 路径白名单:输入无需对“LD劫持”威胁进行检测的路径,多个路径可通过回车换行分隔。
    • 模糊匹配
    • /usr/sbin/hald

    内存型进程

    • 内存型进程:开启/关闭内存型进程检测。
      • :开启。
      • :关闭。
    • 全量进程检测:开启/关闭对全量进程的内存型进程威胁检测。
      • :开启。
      • :关闭。
    • 白名单匹配规则:即您配置好的“路径白名单”匹配规则,单击选择白名单匹配规则,可选项如下:
      • 全量匹配,区分大小写
      • 全量匹配,不区分大小写
      • 模糊匹配
    • 路径白名单:输入无需对“内存型进程”威胁进行检测的路径,多个路径可通过回车换行分隔。
    • 模糊匹配
    • /usr/sbin/hald

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

自保护

自保护策略是保护企业主机安全的软件、进程和文件不被恶意程序破坏的策略,不支持自定义策略内容。

相关文档