安全配置用于统一管理和配置各防护模块的规则、白名单等。
修改防护状态
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“设置中心 > 安全配置”,进入安全配置页面。
找到目标防护模块,单击防护开关,开启/关闭防护。
:表示已开启防护。
:表示已关闭防护。
配置防护规则
说明
WebShell企业版、旗舰版支持配置。
端口蜜罐、勒索诱饵防护、文件完整性保护仅旗舰版支持配置。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“设置中心 > 安全配置”,进入安全配置页面。
找到目标防护模块,单击配置按钮,进入相应规则配置页面。
根据具体防护模块对规则进行配置,具体参数说明参考如下。
防护模块 配置防护规则 暴力破解
WebShell 配置Webshell检测规则 端口蜜罐 配置蜜罐防护规则 勒索诱饵防护 配置勒索诱饵防护 文件完整性保护 配置文件完整性保护检测规则
暴力破解规则
说明
Agent 版本低于 5.1.0,不支持配置自定义规则功能,使用此功能需升级 Agent 版本。
暴力破解规则:同一服务器10分钟内连续登陆失败超过80次,达到检测阈值的IP将被禁止登陆5分钟。
在安全配置页面,单击“规则配置”按钮,开始暴力破解规则设置。
配置暴力破解规则参数。
参数说明如下:
参数 说明 检查阈值 配置服务器在一段时间内连续登录失败超过的次数。
时间配置限制:1-1440分钟。
登录失败次数限制:1-100次。
封禁时长 选择封禁时长,支持选择:不封禁、5分钟、15分钟、30分钟、1小时、2小时、6小时、12小时、24小时。 防护场景 选择需要配置的防护场景,默认选择RDP暴力破解、SSH暴力破解,支持选择FTP暴力破解、MySQL暴力破解、SQL_Server暴力破解。
当所有字段都设置完成后,单击“确认”。
WebShell检测规则
说明
服务器安全卫士企业版、旗舰版支持配置WebShell检测规则。
在安全配置页面,单击“规则配置”按钮,开始WebShell检测设置。
配置WebShell检测参数。
参数说明如下:
参数 说明 启动检测 可开启或关闭Webshell检测。 操作系统 支持Linux、Windows系统。 检测目录 根据您的特定检测场景,支持“自动识别”或“手动添加”需要检测的Web目录。
- 自动识别:服务器安全卫士自动识别Web目录,自动识别出的目录支持手动修改路径。
手动添加:自定义添加Web目录。
设置生效范围 可选择“全部服务器”和“自选服务器”。 当所有字段都设置完成后,单击“确认”。
配置蜜罐防护规则
说明
仅服务器安全卫士旗舰版支持配置端口蜜罐规则。
在安全配置页面,单击“配置蜜罐规则”按钮,开始蜜罐防护设置。
单击告警列表右上角的设置按钮,进入防护设置页面。
参数说明:
参数 说明 启用蜜罐防护 可开启或关闭蜜罐防护功能。 设置蜜罐端口 输入需要开启的蜜罐端口,多个以英文逗号隔开, 最多支持10个端口。
注意
设置的端口请确保未被占用,若端口被占用会导致蜜罐防护功能开启失败。
设置生效范围 可选择全部服务器或自选部分服务器。 当所有字段都选择完成后,单击“确认”,完成配置。
勒索诱饵防护
说明
仅服务器安全卫士旗舰版支持配置勒索诱饵防护规则。
单击“配置规则”,开始配置勒索诱饵防护。
在页面右侧弹出的防护设置页面,配置相关参数。
参数 说明 启用诱饵防护 自动在系统关键位置投放诱饵文件,实时捕捉勒索行为并进行阻断。 病毒处置方式 配置发现勒索病毒文件后的处理方式。支持手动处理和自动隔离。
- 手动处理:检测出勒索病毒文件后,仅产生告警。需手动在控制中心对勒索告警进行处理,支持隔离、删除、信任,详细操作请参见处理勒索告警。
自动隔离:检测出勒索病毒文件后产生告警,并自动隔离病毒文件。
说明
自动隔离后,若出现误报,可在告警列表中对文件进行恢复。
指定防护目录 根据用户的特定防护场景,可自定义创建勒索诱饵文件。 设置生效范围 自定义选择需要开启诱饵防护的服务器。 配置完成后,单击“确认”。
配置文件完整性保护
说明
仅服务器安全卫士旗舰版支持配置文件完整性保护规则。
单击“配置规则”,开始配置文件完整性保护。
配置相关参数。
参数 说明 启用文件变更检测 开启或关闭文件变更检测功能。 关键文件监控 - 系统内置:对系统关键文件、文件路径、文件目录进行实时监控,发现文件变更篡改行为进行告警。
- 自定义:根据用户特定的防护场景,自定义添加监控路径,发现文件变更篡改行为进行告警。
监控排除设置 对用户添加的信任文件路径不再进行监控,方便用户更加灵活创建检测策略。 设置生效范围 自定义选择需要执行文件变更篡改行为监控的服务器。 配置完成后,单击“确认提交”。
检测规则管理
规则管理模块包含系统检测规则和自定义检测规则两个模块。
系统检测规则
系统检测规则为服务器安全卫士内置的默认规则,生效范围为全部服务器,不可更改。
自定义检测规则
自定义检测规则支持您手动创建,自定义检测规则优先级高于系统检测规则。具体操作步骤如下:
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“设置中心 > 安全配置”,选择“检测规则管理 > 自定义检测规则”页签,进入自定义检测规则页面。
单击页面左上角的“新增规则”,弹出如下对话框。
参数说明:
参数 说明 规则名称 自定义检测规则名称。
规则类型 支持选择:“进程hash”或“命令行”。
进程hash:选择进程hash需要配置一个或多个进程 MD5。
命令行:选择命令行后需要填写系统类型、进程路径、命令行、(可选)父进程路径。
设置生效范围 可选择“全部服务器”或“自选服务器”。 备注 白名单的描述信息。 当所有字段都选择完成后,单击“确认”,会生成自定义规则。
相关操作:
编辑规则
若您需要对已有的规则进行编辑,点击该操作列中的“编辑”,可以修改规则的所有信息,修改完成后点击“确认”即可完成规则的编辑。删除规则
若您需要移除规则,点击该操作列中的“删除”,在提示框中点击“确认”,该规则将被删除。
常用登录管理
说明
常用登录账号、常用登录地区、常用登录时间仅企业版、旗舰版支持配置。
常用登录管理模块支持配置:常用登录IP、常用登录账号、常用登录地区、常用登录时间。
常用登录IP:支持配置IPv4、IPv6地址,且支持配置多个IP地址。
常用登录账号:支持配置多个登录账号。
常用登录地址:支持在全球范围内选择。
常用登录时间:选择支持登录的时间范围,最小时间间隔为一小时且仅支持选择整点。
设置自动同步资产周期
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“设置中心 > 安全配置”,选择“其他配置”页签,选择同步资产设置模块。
选择自动同步资产周期。
12小时:每天01:00、13:00自动同步服务器资产信息。
24小时:每天01:00自动同步服务器资产信息。
日志分析配置
服务器安全卫士已对接云日志服务,可以将服务器安全卫告警日志转储至日志服务,您可以在云日志服务控制台实时查询、分析告警日志。
转存至云日志服务的日志信息包含:账户ID、AgentID、告警ID、告警名称、告警类型、告警摘要等关键信息。
说明
目前仅支持转存至云日志服务华东1资源池。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“设置中心 > 安全配置”,选择“其他配置”页签,选择日志分析配置模块。
单击“配置”按钮,在弹出的对话框中可开启日志存入云日志服务。
后续操作配置请详见:云日志服务-用户指南。
