文档首页/ 企业主机安全 HSS/ 用户指南/ 安全运营/ 策略管理/ 策略管理概述
更新时间:2025-12-18 GMT+08:00
查看PDF
分享

策略管理概述

什么是策略组?

企业主机安全提供了多个版本,包括基础版、专业版、企业版、旗舰版、网页防篡改版和容器版;除了基础版外,企业主机安全其他每个防护版本都有对应的默认防护策略组;策略组是多个策略的集合,这些策略应用于主机上,用于集中管理和配置企业主机安全检测和防护主机的灵敏度、规则、范围等。

企业主机安全旗舰版、容器版支持创建自定义策略组,如果您有多台旗舰版或容器版主机,但防护需求不同时,可以创建自定义策略组为不同主机部署不同的防护策略组,详细操作请参见创建自定义策略组

策略组包含哪些策略?

企业主机安全每个版本提供的策略略有不同,具体如表1所示,如果您在使用企业主机安全过程中,对资产管理、基线检查、入侵检测等检测策略有定制化需求,可以根据业务需求自定义配置策略。具体操作请参见配置策略

表1 策略列表

功能类型

策略名称

策略说明

默认状态

防护动作

配置建议

支持的操作系统

支持HSS版本

资产管理

资产发现

检测系统中的软件信息,包含软件名称、软件路径、主要应用等,帮助用户识别异常资产。

已启用

仅检测

建议启用

Linux,Windows
  • 企业版
  • 旗舰版
  • 网页防篡改版
  • 容器版

基线检查

弱口令检测

检测系统账户口令是否属于常用的弱口令,针对弱口令提示用户修改。

已启用

仅检测

建议启用

Linux,Windows
  • 专业版
  • 企业版
  • 旗舰版
  • 网页防篡改版
  • 容器版

配置检测

对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查,帮助用户识别不安全的配置项。

已启用

仅检测

建议启用

Linux,Windows
  • 企业版
  • 旗舰版
  • 网页防篡改版
  • 容器版

容器信息收集

收集主机中的所有容器相关信息,包括端口、目录等,对存在风险的信息进行告警上报。

已启用

仅检测

必须启用,容器防护的基础策略。

Linux

容器版

入侵检测

AV检测

检测服务器资产,对发现的病毒进行上报、隔离查杀。

检测的告警结果将按照病毒类别在检测与响应 > 安全告警事件 > 主机安全告警 > 事件类型 > 恶意软件下的子类别中分别呈现。

开启AV检测后资源占用情况如下:

CPU资源占用不超过单vCPUs的40%,实际占用情况需根据主机情况而定,参照详情请参见检测资源占用一览表

已启用

支持检测和自动隔离,默认动作为自动隔离。

建议启用,并开启自动隔离。

Linux、Windows
  • 专业版
  • 企业版
  • 旗舰版
  • 网页防篡改版
  • 容器版

集群入侵检测

检测容器高权限的变动,在关键信息中的创建及病毒入侵等异常行为。

该策略目前仅适用于三方集群。

未启用

仅检测

该策略单独启用不会生效,还需在目标集群的API Server中开启审计功能,详细操作请参见自建K8s容器如何开启apiserver审计功能?

Linux

容器版

容器逃逸

检测容器是否容器逃逸行为,存在容器逃逸行为即进行告警上报。如需对部分容器不检测容器逃逸行为,可设置镜像、进程、Pod名称白名单。

未启用

仅检测

建议您配置镜像、进程、Pod白名单后,启用该策略。

Linux

容器版

容器防逃逸

容器防逃逸可监控容器宿主机和容器内出现的进程、文件、网络活动、进程capabilities、系统调用共5种运行时异常行为,支持对异常行为进行告警和阻断,保护容器运行时的安全。

要使运行时异常行为检测能力生效,需要先配置容器防逃逸策略,选择防护对象(指定主机或容器),并开启容器防逃逸策略。

未启用

支持检测和阻断,默认动作为阻断。

建议您配置防护范围后,启用该策略。

Linux

容器版

容器行为异常检测

检测容器运行时启动的非镜像内程序(如黑客植入的木马),防御未知攻击。基于容器环境“不可变基础设施”原则,任何镜像外程序启动均被视为异常行为,通过实时进程监控实现动态检测并告警。

当策略启用后,HSS根据策略内容以镜像为单位对启动的容器行为进行学习,学习完成后建立基线库,通过基线库检测容器内启动的进程。若容器内启动的进程不在基线库中则告警,同时还会根据启动进程的软件在不在镜像中分为两种告警:

  • 启动进程的软件是镜像中的已知软件:产生“可疑进程启动行为”告警
  • 启动进程的软件不是镜像中的已知软件:产生“危险进程启动行为”告警

未启用

仅检测

建议您配置学习时间和白名单后,启用该策略。

Linux

容器版

容器信息模块

用户可以基于容器的名称、镜像所属组织的名称以及命名空间自定义配置可信容器白名单,白名单内容器不进行检测及告警。

已启用

仅检测

建议启用

Linux

容器版

Webshell检测

检测云服务器上Web目录中的文件,判断是否为Webshell木马文件。

已启用

仅检测

建议启用

Linux,Windows
  • 专业版
  • 企业版
  • 旗舰版
  • 网页防篡改版
  • 容器版

容器文件监控

检测违反安全策略的文件异常访问,安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。

已启用

仅检测

建议您配置文件监控路径后,启用该策略。

Linux

容器版

容器进程白名单

检测违反安全策略的进程启动。

未启用

仅检测

建议启用

Linux

容器版

镜像异常行为

配置目标黑白名单,自定义权限对异常行为进行忽略或告警上报。

未启用

根据用户设置的黑白名单,允许白名单通过,阻止黑名单。

建议您配置镜像黑白名单后,启用该策略。

Linux

容器版

HIPS检测

主要针对注册表、文件及进程进行检测,对异常变更等操作行为进行告警上报。

已启用

支持检测和自动阻断,默认动作为检测。

建议启用,并开启自动阻断。开启自动阻断时,请同步配置可信进程。

Linux、Windows
  • 专业版
  • 企业版
  • 旗舰版
  • 网页防篡改版
  • 容器版

文件保护

检测操作系统、应用程序软件和其他组件的文件,确定文件是否发生了可能遭受攻击的更改。

已启用

仅检测

建议启用

Linux、Windows
  • 专业版
  • 企业版
  • 旗舰版
  • 网页防篡改版
  • 容器版

图引擎检测

通常,威胁行为检测是将文件、进程、网络等各类信息和威胁特征库进行匹配,以此识别出恶意行为,从而实现威胁事件检测和防御。然而,恶意攻击往往不是一个恶意行为完成的,是由多阶段或步骤的恶意操作形成一个完整的攻击过程实现的。例如,在某种程度上,漏洞利用攻击可以看作是植入文件并运行,实际的攻击是执行一系列的入侵动作,包括前期的探测准备、恶意文件植入、以及后续的实际攻击。

图引擎检测基于多模块(HIPS检测、AI勒索检测、AV检测等)的威胁事件输入进行综合溯源分析,可以关联和综合判定多个可疑进程事件,从而识别出潜在的入侵行为,可有效提升漏洞利用类攻击的检测能力。

已启用

仅检测

建议启用

Linux,Windows
  • 旗舰版
  • 网页防篡改版
  • 容器版

登录安全检测

检测如下服务账号遭受的口令破解攻击:

  • Windows:RDP、SQL Server
  • Linux:MySQL、vsftpd、SSH

检测如下攻击类型:

  • 单IP暴力破解攻击检测:默认情况下,当同一IP地址在30秒内连续输入错误密码达5次及以上,或者1小时内累计输入错误密码达15次及以上时,HSS将不区分具体的登录用户,根据最后一次尝试登录的用户名进行告警,并拦截登录源IP(默认拦截12小时),禁止其再次登录,防止主机因账户破解被入侵。
  • 多源IP暴力破解攻击检测:在设定的时间窗内,当HSS检测到多个IP尝试登录且登录失败次数超过预设阈值时,将立即告警。

已启用

支持检测和自动阻断,默认动作为自动阻断。

建议启用,并开启自动阻断。

Linux,Windows
  • 专业版
  • 企业版
  • 旗舰版
  • 网页防篡改版
  • 容器版

恶意文件检测
  • 反弹shell:实时监控用户的进程行为,可及时发现进程的非法Shell连接操作产生的反弹Shell行为。
  • 异常shell:检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。

已启用

仅检测

建议启用

Linux
  • 专业版
  • 企业版
  • 旗舰版
  • 网页防篡改版
  • 容器版

外联检测

检测进程主动连接到外部网络的行为。

已启用

仅检测

建议启用

Linux(5.10及以上内核版本)
  • 旗舰版
  • 容器版

端口扫描检测

检测用户指定的端口存在被扫描或者嗅探的行为,一旦发现进行告警上报。

未启用

仅检测

该策略启用后会对主机上进行抓包操作。在流量较大的场景下,可能产生大量网络处理相关的软中断,对系统性能产生一定影响。建议您按需启用。

Linux
  • 旗舰版
  • 网页防篡改版
  • 容器版

进程异常行为

通过对运行进程的管控,全局监测各个主机的运行信息,保障云主机的安全性。您可以建立自己的进程白名单,对于进程的非法行为、黑客入侵过程进行告警。

已启用

仅检测

建议启用

Linux
  • 专业版
  • 企业版
  • 旗舰版
  • 网页防篡改版
  • 容器版

root提权

检测当前系统文件路径的root提权行为。

已启用

仅检测

建议启用

Linux
  • 专业版
  • 企业版
  • 旗舰版
  • 网页防篡改版
  • 容器版

实时进程

检测进程中高危命令的执行行为,发生高危命令执行时,触发告警。

已启用

仅检测

建议启用

Linux,Windows
  • 专业版
  • 企业版
  • 旗舰版
  • 网页防篡改版
  • 容器版

rootkit检测

检测服务器资产,对可疑的内核模块和可疑的文件或文件夹进行告警上报。

已启用

仅检测

建议启用

Linux
  • 专业版
  • 企业版
  • 旗舰版
  • 网页防篡改版
  • 容器版

无文件攻击检测

检测用户资产中存在的无文件攻击,包括进程注入、动态库注入、内存文件进程等行为。

未启用

仅检测

如有护网或重保等特殊场景,可结合实际需求按需启用。

Linux
  • 旗舰版
  • 网页防篡改版
  • 容器版

自保护

Windows自保护

防止恶意程序卸载Agent、篡改企业主机安全文件或停止企业主机安全进程。

说明:
  • 自保护功能依赖AV检测、HIPS检测或者勒索病毒防护功能使能驱动才能生效,只有这三个功能开启一个以上时,开启自保护才会生效。
  • 开启自保护策略后的影响如下:
    • Agent不支持通过主机的控制面板卸载,支持通过企业主机安全控制台卸载。
    • 企业主机安全的进程无法被终止。
    • Agent安装路径C:\Program Files\HostGuard下除了log目录、data目录(如果Agent升级过,再加上upgrade目录)外的其他目录无法访问。

已启用

阻止所有试图卸载Agent、篡改企业主机安全文件或停止企业主机安全进程的行为。

建议您在充分了解自保护启用影响后,按需启用。

Windows
  • 专业版
  • 企业版
  • 旗舰版
  • 网页防篡改版

Linux自保护

防止恶意程序停止企业主机安全进程、卸载Agent。

说明:
  • 开启自保护策略后的影响如下:
    • Agent不支持通过命令卸载,支持通过企业主机安全控制台卸载。
    • 企业主机安全的进程无法被终止。

已启用

阻止所有试图停止企业主机安全进程、卸载Agent的行为。

建议您在充分了解自保护启用影响后,按需启用。

Linux
  • 专业版
  • 企业版
  • 旗舰版
  • 网页防篡改版
  • 容器版

策略组防护模式

为了匹配用户不同检测场景的需求,策略组支持两种防护模式,分别为高检出和均衡模式。这两种防护模式适用的场景如下:

  • 高检出:适用于护网行动或重要时期安全保障服务(简称重保)等场景,这些场景安全性要求更高,关注更多的威胁检出率。
  • 均衡:适用于日常防护场景,威胁检出率、准确率相对平衡。

与防护模式有关联的策略:恶意文件检测、Webshell检测、HIPS检测、AV检测和进程异常行为策略。两种防护模式下这些策略的区别如表2所示。

表2 高检出和均衡防护模式下策略的区别

策略名称

均衡模式

高检出模式

恶意文件检测
  • 检测文件大小:10MB
  • 检测文件类型:ELF、Python、Shell、Webshell
  • 检测文件大小:50MB
  • 检测文件类型:所有文件类型

WebShell检测

不检测匹配YARA规则的可疑文件

检测所有文件

HIPS检测

检测灵敏度适中

检测灵敏度高,且相较于均衡模式多一些护网重保场景的特殊检测规则。

AV检测

当AV检测策略的“防护文件类型”选择全部时,只检测以下扩展名的文件:

  • Linux

    bat、bin、cmd、com、cpl、exe、gadget、inf1、ins、inx、isu、job、jse、js、lnk、msc、msi、msp、mst、paf、pif、ps1、reg、rgs、scr、sct、shb、shs、u3p、vb、vbe、vbs、vbscript、ws、wsf、wsh、doc、dot、wbk、docx、docm、dotm、docb、pdf、wll、wwl、xls、xlt、xlm、xll_、xla_、xla5、xla8、xlsx、xlsm、xltx、xltm、xlsb、xla、xlam、xll、xlw、ppt、pot、pps、ppa、pptx、pptm、potx、potm、ppam、ppsx、ppsm、sldx、sldm、pa、accda、accdb、accde、accdt、accdr、accdu、mda、mde、one、ecf、pub、xps、png、tif、wmf、bmp、gif、jpeg、dwg、ico、pgp、psd、cdr、dxf、emf、eps、jp2、sgi、xpm、dll、sys、rar、zip、7z、sh、cab、gz、gzip、xz、ace、tar、lzh、lha、bz、bz2、iso、jar、apk、jsp、jspx、php、asp、aspx、ashx、asmx、py、hta、ko

  • Windows

    bat、bin、cmd、com、cpl、exe、gadget、inf1、ins、inx、isu、job、jse、js、lnk、msc、msi、msp、mst、paf、pif、ps1、reg、rgs、scr、sct、shb、shs、u3p、vb、vbe、vbs、vbscript、ws、wsf、wsh、doc、dot、wbk、docx、docm、dotm、docb、pdf、wll、wwl、xls、xlt、xlm、xll_、xla_、xla5、xla8、xlsx、xlsm、xltx、xltm、xlsb、xla、xlam、xll、xlw、ppt、pot、pps、ppa、pptx、pptm、potx、potm、ppam、ppsx、ppsm、sldx、sldm、pa、accda、accdb、accde、accdt、accdr、accdu、mda、mde、one、ecf、pub、xps、png、tif、wmf、bmp、gif、jpeg、dwg、ico、pgp、psd、cdr、dxf、emf、eps、jp2、sgi、xpm、dll、sys、rar、zip、7z、sh、cab、gz、gzip、xz、ace、tar、lzh、lha、bz、bz2、iso、jar、apk、jsp、jspx、php、asp、aspx、ashx、asmx、hta

当AV检测策略的“防护文件类型”选择全部时,检测所有类型的文件。

进程异常行为

同时出现多种进程异常行为时才会告警。

出现一种进程异常行为时就立即告警。
父主题: 策略管理

相关文档