策略管理概述
什么是策略组?
企业主机安全提供了多个版本,包括基础版、专业版、企业版、旗舰版、网页防篡改版和容器版;除了基础版外,企业主机安全其他每个防护版本都有对应的默认防护策略组;策略组是多个策略的集合,这些策略应用于主机上,用于集中管理和配置企业主机安全检测和防护主机的灵敏度、规则、范围等。
企业主机安全旗舰版、容器版支持创建自定义策略组,如果您有多台旗舰版或容器版主机,但防护需求不同时,可以创建自定义策略组为不同主机部署不同的防护策略组,详细操作请参见创建自定义策略组。
策略组包含哪些策略?
企业主机安全每个版本提供的策略略有不同,具体如表1所示,如果您在使用企业主机安全过程中,对资产管理、基线检查、入侵检测等检测策略有定制化需求,可以根据业务需求自定义配置策略。具体操作请参见配置策略。
功能类型 |
策略名称 |
策略说明 |
支持的操作系统 |
默认状态 |
专业版 |
企业版 |
旗舰版 |
网页防篡改版 |
容器版 |
---|---|---|---|---|---|---|---|---|---|
资产管理 |
资产发现 |
检测系统中的软件信息,包含软件名称、软件路径、主要应用等,帮助用户识别异常资产。 |
Linux,Windows |
已启用 |
× |
× |
√ |
√ |
√ |
基线检查 |
弱口令检测 |
检测系统账户口令是否属于常用的弱口令,针对弱口令提示用户修改。 |
Linux,Windows |
已启用 |
√ |
√ |
√ |
√ |
√ |
容器信息收集 |
收集主机中的所有容器相关信息,包括端口、目录等,对存在风险的信息进行告警上报。 |
Linux |
已启用 |
× |
× |
× |
× |
√ |
|
配置检测 |
对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查,帮助用户识别不安全的配置项。 |
Linux,Windows |
已启用 |
× |
× |
√ |
√ |
√ |
|
入侵检测 |
AV检测 |
检测服务器资产,对发现的病毒进行上报、隔离查杀。 检测的告警结果将按照病毒类别在 下的子类别中分别呈现。开启AV检测后资源占用情况如下: CPU资源占用不超过单vCPUs的40%,实际占用情况需根据主机情况而定,参照详情请参见检测资源占用一览表。 |
Linux、Windows |
已启用 |
√ |
√ |
√ |
√ |
× |
集群入侵检测 |
检测容器高权限的变动,在关键信息中的创建及病毒入侵等异常行为。 |
Linux |
未启用 |
× |
× |
× |
× |
√ |
|
容器逃逸 |
检测容器是否容器逃逸行为,存在容器逃逸行为即进行告警上报。如需对部分容器不检测容器逃逸行为,可设置镜像、进程、Pod名称白名单。 |
Linux |
未启用 |
× |
× |
× |
× |
√ |
|
容器防逃逸 |
容器防逃逸可监控容器宿主机和容器内出现的进程、文件、网络活动、进程capabilities、系统调用共5种运行时异常行为,支持对异常行为进行告警和阻断,保护容器运行时的安全。 要使运行时异常行为检测能力生效,需要先配置容器防逃逸策略,选择防护对象(指定主机或容器),并开启容器防逃逸策略。 |
Linux |
未启用 |
× |
× |
× |
× |
√ |
|
容器信息模块 |
用户可以基于容器的名称、镜像所属组织的名称以及命名空间自定义配置可信容器白名单,白名单内容器不进行检测及告警。 |
Linux |
已启用 |
× |
× |
× |
× |
√ |
|
Webshell检测 |
检测云服务器上Web目录中的文件,判断是否为Webshell木马文件。 |
Linux,Windows |
已启用 |
√ |
√ |
√ |
√ |
√ |
|
容器文件监控 |
检测违反安全策略的文件异常访问,安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 |
Linux |
已启用 |
× |
× |
× |
× |
√ |
|
容器进程白名单 |
检测违反安全策略的进程启动。 |
Linux |
未启用 |
× |
× |
× |
× |
√ |
|
镜像异常行为 |
配置目标黑白名单,自定义权限对异常行为进行忽略或告警上报。 |
Linux |
未启用 |
× |
× |
× |
× |
√ |
|
HIPS检测 |
主要针对注册表、文件及进程进行检测,对异常变更等操作行为进行告警上报。 |
Linux、Windows |
已启用 |
× |
√ |
√ |
√ |
√ |
|
文件保护 |
检测操作系统、应用程序软件和其他组件的文件,确定文件是否发生了可能遭受攻击的更改。 |
Linux、Windows |
已启用 |
√ |
√ |
√ |
√ |
√ |
|
登录安全检测 |
检测如下服务账号遭受的口令破解攻击:
如果账户暴力破解次数(连续输入错误密码)在30秒内达5次及以上,或1小时内达15次及以上,HSS就会拦截登录源IP,默认拦截12小时,禁止其再次登录,防止主机因账户破解被入侵。 您可根据账户暴力破解告警详情,如“攻击源IP”、“攻击类型”和“拦截次数”,识别登录源IP是否为可信IP,如果为可信IP,您可以通过手动解除拦截的方式,解除拦截的可信IP。 |
Linux,Windows |
已启用 |
√ |
√ |
√ |
√ |
√ |
|
恶意文件检测 |
|
Linux |
已启用 |
√ |
√ |
√ |
√ |
√ |
|
外联检测 |
检测进程主动连接到外部网络的行为。 |
Linux(5.10及以上内核版本) |
已启用 |
√ |
√ |
√ |
× |
√ |
|
端口扫描检测 |
检测用户指定的端口存在被扫描或者嗅探的行为,一旦发现进行告警上报。 |
Linux |
未启用 |
× |
× |
√ |
√ |
√ |
|
进程异常行为 |
通过对运行进程的管控,全局监测各个主机的运行信息,保障云主机的安全性。您可以建立自己的进程白名单,对于进程的非法行为、黑客入侵过程进行告警。 |
Linux |
已启用 |
√ |
√ |
√ |
√ |
√ |
|
root提权 |
检测当前系统文件路径的root提权行为。 |
Linux |
已启用 |
√ |
√ |
√ |
√ |
√ |
|
实时进程 |
检测进程中高危命令的执行行为,发生高危命令执行时,触发告警。 |
Linux,Windows |
已启用 |
√ |
√ |
√ |
√ |
√ |
|
rootkit检测 |
检测服务器资产,对可疑的内核模块和可疑的文件或文件夹进行告警上报。 |
Linux |
已启用 |
√ |
√ |
√ |
√ |
√ |
|
无文件攻击 检测 |
对检测用户资产中存在的进程注入、动态库注入和内存文件进程行为的管控。 |
Linux |
未启用 |
√ |
√ |
√ |
√ |
√ |
|
自保护 |
Windows自保护 |
防止恶意程序卸载Agent、篡改企业主机安全文件或停止企业主机安全进程。
说明:
|
Windows |
未启用 |
× |
× |
√ |
√ |
× |
Linux自保护 |
防止恶意程序停止企业主机安全进程、卸载Agent。
说明:
|
Linux |
未启用 |
× |
× |
√ |
√ |
√ |
策略组防护模式
为了匹配用户不同检测场景的需求,策略组支持两种防护模式,分别为高检出和均衡模式。这两种防护模式适用的场景如下:
- 高检出:适用于护网行动或重要时期安全保障服务(简称重保)等场景,这些场景安全性要求更高,关注更多的威胁检出率。
- 均衡:适用于日常防护场景,威胁检出率、准确率相对平衡。
与防护模式有关联的策略:恶意文件检测、Webshell检测、HIPS检测、AV检测和进程异常行为策略。两种防护模式下这些策略的区别如表2所示。
策略名称 |
均衡模式 |
高检出模式 |
---|---|---|
恶意文件检测 |
|
|
WebShell检测 |
不检测匹配YARA规则的可疑文件 |
检测所有文件 |
HIPS检测 |
检测灵敏度适中 |
检测灵敏度高,且相较于均衡模式多一些护网重保场景的特殊检测规则。 |
AV检测 |
当AV检测策略的“防护文件类型”选择全部时,只检测以下扩展名的文件:
|
当AV检测策略的“防护文件类型”选择全部时,检测所有类型的文件。 |
进程异常行为 |
同时出现多种进程异常行为时才会告警。 |
出现一种进程异常行为时就立即告警。 |