当您创建策略组后,需要修改策略内容时,可按照本文档的指导完成策略内容的修 改。
须知
策略内容的修改,只在当前所修改的策略组生效。
进入策略管理
步骤1 登录管理控制台。
步骤2 在页面左上角选择“区域”,单击 ,选择“安全与合规 > 企业主机安全”,进入 企业主机安全页面。
图9-9 企业主机安全
步骤3 在左侧导航栏,选择“安全运营”,单击“策略管理”,进入“策略管理”界面。
----结束
资产管理
步骤1 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
步骤2 单击“资产管理”,弹出资产管理界面。
步骤3 在弹出的资产管理界面中,修改“策略内容”,如图9-10所示,参数说明如表9-2所 示。
图9-10 资产管理策略
用户指南 9 安全运营
表9-2 资产管理策略内容参数说明
软件搜索路径 软件搜索的路径。Windows主机不需要添加。
主要应用/组件 ● 软件名:软件名称。
● 软件主程序 :软件的主程序。
● 执行命令 :执行的命令。
● 操作:单击“添加”可以将软件添加到此列表;单击“删除”
可以将软件从该列表移除。
获取UDP端口 获取UDP端口信息,检测WEB的目录。
● :开启。
● :关闭。
检测端口信息 的时间间隔
(秒)
进程文件检测端口信息的时间间隔,可配置范围为“30秒~86400 秒”。
步骤3 在“系统配置检测”界面,修改“修改策略内容”,如图9-11所示,参数说明如表9-3 所示。
图9-11 系统配置检测
表9-3 系统配置检测策略内容参数说明
参数 说明
检测时间 配置系统检测的时间,可具体到每一天的每一分钟。
检测日 系统配置检测日期,勾选周一到周日的检测系统配置的时间。
步骤4 勾选需要检测的操作系统。
步骤5 单击“确定”,完成修改。
----结束
用户指南 9 安全运营
弱口令检测
弱口令/密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞。数 据、程序都储存在系统中,若密码被破解,系统中的数据和程序将毫无安全可言。
企业主机安全服务会对使用经典弱口令的用户账号告警,主动检测出主机中使用经典 弱口令的账号。您也可以将疑似被泄露的口令添加在自定义弱口令列表中,防止主机 中的账户使用该弱口令,给主机带来危险。
步骤1 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
步骤2 在策略组列表中,单击“弱口令检测”,弹出弱口令检测“策略内容”界面。
步骤3 在弹出的“策略内容”界面中,修改“策略内容”,如图9-12所示,参数说明如表9-4 所示。
图9-12 弱口令检测
表9-4 弱口令检测策略内容参数说明
SHA256 弱口令字典的SHA256值。
检测日 弱口令检测日期。勾选周一到周日检测弱口令的时间。
自定义弱口令 您可以将疑似被泄露的口令添加在自定义弱口令文本框中,防止 主机中的账户使用该弱口令,给主机带来危险。
MySQL弱口令
检测 对登录MySQL的口令进行弱口令检测,您可以选择开启或者关闭 MySQL弱口令检测。
步骤4 单击“确定”,完成修改。
----结束
高危命令检测
步骤1 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
步骤2 单击“高危命令检测”,弹出高危命令检测界面。
步骤3 在弹出的高危命令检测界面中,修改“策略内容”,如图9-13所示,参数说明如表9-5 所示。
用户指南 9 安全运营
图9-13 高危命令检测内容
表9-5 高危命令检测策略内容参数说明
参数 说明
上报或记录进程消 亡消息
是否开启上报或记录进程消亡消息。
● :开启。
● :关闭。
参数 说明
独立进程最大CPU
使用率(%) 开启消息通道去重上报后有效。
配置独立进程最大CPU使用率,可配置范围为“5~99”。
独立进程最大内存
使用(MB) 开启消息通道去重上报后有效。
配置独立进程最大内存使用,可配置范围为“50~1024”。
独立进程数据接收
方IP和端口 开启消息通道去重上报后有效。
配置独立进程数据接收方IP和端口。
独立进程数据发送
限速(KB/S) 开启消息通道去重上报后有效。
独立进程数据发送限速,可配置范围为“1~100”。
精简日志模式 是否开启使用精简日志模式。
大小(MB) 日志记录最大文件的大小,可配置范围“10~1024”。
● 若日志超过配置的最大文件大小,系统会自动将“.log”文 件重命名为“.log.0”,并新建“.log”日志文件,将日志继 续写入“.log”文件。
● 最多存在2个日志文件,若日志再次超过配置的最大文件大 小,系统会删除“.log.0”的日志文件,将“.log”日志文件 重命名为“.log.0”,并新建“.log”日志文件,将日志继续 写入“.log”文件。
高危命令 设置高危命令,一行一个高危命令。
用户指南 9 安全运营
参数 说明 白名单(不记录/
不上报) ● 进程全路径或程序名:进程的完整路径或者程序的名称。
● 命令行正则表达式 :命令行的正则表达式。
● 操作:单击“添加”可以将进程或者程序添加到此列表;单 击“删除”可以将进程或者程序从该列表移除。
步骤4 单击“确定”,完成修改。
----结束
提权检测
步骤1 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
步骤2 单击“提权检测”,弹出提权检测界面。
步骤3 在弹出的“提权检测”策略内容中,修改“策略内容”,如图9-14所示,参数说明如 表9-6所示。
图9-14 提权检测
表9-6 提权检测策略内容参数说明
参数 说明
忽略的进程文 件路径
忽略的进程文件的路径。
参数 说明 检测时间间隔
(秒) 进程文件检测时间间隔,可配置范围为“5~3600”。
步骤4 单击“确定”,完成修改。
----结束
异常/反弹 Shell 检测
步骤1 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
步骤2 单击“异常/反弹Shell检测”,弹出异常/反弹Shell检测界面。
步骤3 在弹出的异常/反弹Shell检测界面中,修改“策略内容”,如图9-15所示,参数说明如 图9-15所示。
图9-15 异常/反弹 shell 检测
表9-7 反弹/异常 shell 检测策略内容参数说明
参数 说明
反弹shell忽略的进程文件
路径 反弹shell忽略的进程文件的路径。
用户指南 9 安全运营
参数 说明
反弹shell扫描周期(秒) 反弹shell扫描的周期,可配置范围为“30-86400”。
异常shell检测 选择是否开启异常shell检测,建议开启。
● :开启。
● :关闭。
进程打开文件上限 进程打开文件的上限数,可配置范围为
“10-300000”。
步骤4 单击“确定”,完成修改。
----结束
文件完整性管理
步骤1 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
步骤2 单击“文件完整性管理”,弹出关键文件完整性管理界面。
步骤3 在弹出的文件完整性管理界面中,修改“策略内容”,如图9-16所示,参数说明如表 9-8所示。
图9-16 文件完整性管理
表9-8 文件完整性管理策略内容参数说明
参数 说明
全量检测时间间隔
(秒)
检测配置的所有文件的时间间隔,可配置范围为
“3600-100000”。
例如:配置为“3600”,就是间隔一个小时检测一次所有文 件。
文件状态检测时间
间隔(秒) 文件状态检测周期。可配置范围为“10-600”。
检测休息时间(毫 秒)
检测配置的单个文件的时间间隔,可配置范围为
“0-1000”。
例如:配置为“50”,检测“/bin/ls”后,等待“50”毫秒 再检测“/usr/bin/ls”。
用户指南 9 安全运营
参数 说明
监控文件 需要检测的文件。
说明
● 策略默认添加的文件是非常关键的文件,请谨慎删除!
● 若删除默认添加的文件,HSS将不会再对该文件发生的变更进行 统计。
步骤4 单击“确定”,完成修改。
----结束
网站后门检测
网站后门检测功能只有在设置Web路径之后才会生效。
步骤1 在策略管理列表中,单击待修改的策略组名称,进入策略组界面。
步骤2 单击“网站后门检测”,弹出网站后门检测界面。
步骤3 在弹出的网站后门检测界面中,修改“策略内容”,如图9-17所示,参数说明如表9-9 所示。
图9-17 网站后门检测
说明
为防止Web目录中的软件影响企业主机安全服务Agent的正常运行,请勿将Web目录配置在
“/usr/local”的路径下。
表9-9 网站后门检测策略内容参数说明
参数 说明
自动识别Web
目录 请根据需要开启或关闭自动识别Web路径,若缺少目录请进行手 动添加。
● :开启。
● :关闭。
手动添加Web 目录
手动添加需要检测的Web目录。
● 文件路径以“/”开头,不能以“/”结尾。
● 结尾必须有端口号。
● 多个路径通过回车换行分隔且名称中不能包含空格。
检查文件后缀 检查文件的后缀,可以检测“jsp”、“jspx”、“jspf”、
“php”、“php5”和“php4”。
监测文件修改 是否开启监测文件修改功能。