云安全中心策略管理

功能简介
策略管理模块支持对入侵防护配置和客户端配置进行统一管理。您可以在同一策略中集中配置相关安全能力，并将策略应用到目标主机。
操作步骤
1. 登录 腾讯云云安全中心控制台。
2. 在左侧导航中，选择主机防护 > 策略管理。
3. 进入策略详情后，根据自身需求调整初始上线配置。 
说明：
已为您提供不同场景下配置实践，请在主机防护 > 策略管理页面右上角查看。
﻿
防护配置
在主机防护 > 策略管理  > 防护配置中，您可以单击左上角全局编辑进行以下配置：
﻿
配置
配置描述
配置说明
文件查杀
用于检测木马、勒索病毒、WebShell、后门程序及异常进程等安全风险。您可在防护配置中修改定时扫描、实时监控、自动隔离策略。
文件查杀-定时扫描
检测模式：包括快速检测模式和全盘检测模式，可对运行中进程、关键目录、驱动加载等进行检测。其中全盘检测的时长与服务器磁盘文件数量相关，推荐检测周期选择4小时以上，避免出现扫描不完整或超时情况。
快速检测：Linux 系统会检测运行中进程、关键目录、驱动加载等；Windows 会扫描 C 盘。
全盘检测：Linux 系统除快速检测范围外，还会检测系统所有分区；Windows 会扫描 CDEF 盘。
异常进程检测：深度检测内存中的异常进程，可能造成一定程度的资源占用率升高，请谨慎选择。
检测周期：可选每天、每隔3天或每隔7天。
检测范围：可选全部专业版和旗舰版主机或自选主机。
文件查杀-实时监控
实时监控：开启实时监控开关，选择监控模式后，单击保存，可实时监控 Web 目录、系统关键目录，查杀木马病毒文件。
监控模式分为标准和深度两种模式。
标准：监控并扫描检测常见目录下增量文件。
深度：监控并扫描检测所有目录下增量文件。
文件查杀-自动隔离
自动隔离：单击开启自动隔离 > 保存，自动隔离检测出的恶意文件，部分恶意文件仍需用户手动确认隔离，建议检查文件查杀列表中所有安全事件，确保已全部处理。防护模式包括：
标准模式：仅针对高置信度的风险进行自动防护，更适合日常安全运营使用。
重保模式：综合多个引擎检测结果，针对中、高置信度的风险进行自动拦截。可能存在误拦截风险，适合重保防护，请谨慎启用。
说明：
若出现误隔离，请在已隔离列表中对文件进行恢复。开启或关闭自动隔离，均需要进行配置，实际生效存在几分钟延迟。
异常登录
用于识别异常来源 IP、异常用户名、异常登录地、异常登录时间等可疑登录行为。您可在防护配置中添加异常登录白名单。
在白名单管理页面中，可增/删/改/查异常登录的白名单。支持登录源 IP、登录用户名、登录时间、常用登录地填写任一内容即可生效，多个填写为与的关系。
说明：
当您同时设置了登录源 IP 和常用登录地，系统会自动忽略您设置的常用登录地，仅以登录源 IP 和其他条件来判定登录行为是否为异常登录，建议登录源 IP 和常用登录地二选一进行设置。
密码破解
用于监控 SSH、RDP 协议下的暴力破解行为，并支持相关阻断策略配置。您可在防护配置中定义密码破解检测规则、阻断规则。
密码破解-检测规则
情报规则：基于腾讯安全威胁情报库，为您综合进行黑 IP 推荐，当命中对应黑 IP 时，将判定为密码破解行为。
检测规则：命中下述任一登录规则时，将判定为密码破解行为。默认规则如下，支持新增和修改。
规则1：1分钟登录失败次数超过10次。
规则2：5分钟登录失败次数超过20次。
规则3：20分钟登录失败次数超过60次。
密码破解-阻断规则
命中规则后，系统会自动阻断被判定为密码破解的行为。可单独或组合勾选以下三类阻断：
暴破攻击情报（推荐）：基于云端暴破攻击运营生产的黑 IP 情报进行阻断。由于规模庞大，大部分阻断将不在平台生成记录。
漏洞利用情报（推荐）：基于云端漏洞利用行为运营生产的黑 IP 情报进行阻断。由于规模庞大，大部分阻断将不在平台生成记录。如果请求经过 CLB 设备，该阻断将产生 HTTP 状态码 504。
暴破检测规则：基于上方"密码破解-检测规则"所配置的告警进行阻断。该场景误报率较高，建议同步开启智能过白。如发现误阻断情况，可点击 联系我们。
智能过白：开启后将智能过滤部分登录来源，减少误阻断。命中以下任一条件时，将不执行阻断操作：
来源 IP 攻击客户数 < 5 个；
来源 IP 为归属于本账号下的公网 IP；
来源 IP 命中威胁情报白名单。
生效时长：命中暴破规则时，对不在白名单内的来源 IP 执行自动阻断，阻断生效时长可自定义（默认 5 分钟）。
说明：
阻断原理：当检测到恶意 IP 攻击时，将自动调用主机系统防火墙（Windows WFP / Linux iptables），以最高优先级规则实时封禁攻击源 IP。
反弹 Shell
用于检测主机被入侵后发起反向连接的可疑行为。您可在防护配置中定义告警检测范围。
由于内网反弹 Shell 告警数量较大，针对内网反弹 Shell 的检测引擎默认处于关闭状态。您可以自定义是否开启内网反弹 Shell 检测。开启后，系统将支持检测内网发起的反弹 Shell 告警；关闭后，将停止检测。
网络攻击
用于监控恶意流量和攻击行为监测分析，您可在防护配置中修改告警检测范围。
默认对攻击成功与尝试攻击的行为进行告警，您可在此配置中将尝试告警处理状态改为待处理/已处理/已忽略。
说明：
检测范围：仅检测部分出现 EXP、且在云上有攻击成功案例的热点漏洞攻击行为。
攻击成功：检测到漏洞攻击流量且在主机上产生了攻击行为。
尝试攻击：检测到漏洞攻击流量但还未进行到主机产生攻击行为阶段，可能出现只进行攻击探测行为，此时分析此类告警可以将相关来源 IP 加入网络黑名单，提前进行预防。
补充说明
异常登录白名单如何配置才能适配多数用户场景？
场景1：固定 IP 网段登录源可以使用任一用户名对服务器进行登录，而不产生异常登录告警。
您可在登录源 IP 中输入 IP 段，选择生效服务器范围即可。
﻿
场景2：登录源 IP 是动态变化的，要支持登录地是中国 XX 地区的 IP 随时都可以使用任一用户名对服务器进行登录，而不产生异常登录告警。
您可在常用登录地中选择 XX 地区，选择生效服务器范围即可。
﻿
说明：
登录条件支持组合配置。
客户端配置
在主机防护 > 策略管理  > 客户端配置中，您可以单击左上角全局编辑集中设置以下配置：
配置
配置描述
配置说明
客户端资源设置
用于统一配置客户端运行过程中的资源占用相关参数。支持不同客户端配置业务优先、安全优先、自定义资源模式。
默认建议您使用安全优先模式，仅对部分对业务稳定性要求高且资源受限的资产开启业务优先模式 。
自保护设置
用于统一配置客户端自保护相关能力。支持配置防卸载、驱动自保护开关及生效范围。
客户端自保护-防卸载：在终端通过随机数验证码完成人机校验，并在检测到客户端非官方方法卸载后自动重装，对抗恶意行为。
说明：
防卸载：开启后，除主机安全控制台卸载客户端、使用官方卸载脚本/程序完成卸载两种方式外，均被判定为恶意卸载行为。
客户端自保护-进程守护：开启后将会使用驱动技术防止安全客户端被恶意终止。 
高级设置 - 主机自动清理
用于统一配置腾讯云主机安全自动清理相关功能。
仅对非腾讯云资产进行清理配置，腾讯云资产在销毁/退订服务器时将自动清理主机安全客户端。
高级设置 - 扫码安全登录
支持通过微信扫码验证完成服务器登录，无需输入密码，可提升登录过程的安全性与便捷性。
扫码登录详细使用体验请查看 扫码安全登录实践教程。
客户端轻量化配置 - 扫描过滤
用于统一配置扫描过滤相关策略，优化客户端轻量化使用体验。
主要应用于扫描硬盘耗时较长、较多资源时使用。
日志增强采集
用于补充主机相关安全事件日志采集，便于开展日志检索、入侵排查及溯源定位。
针对全部付费主机生效，开启后将采集更多日志并对应丰富已有部分日志的字段，用于提升威胁调查能力，建议您开启该功能。
自适应威胁检测能力
用于统一配置客户端自适应威胁检测相关能力。
开启后，当前主机发生高危入侵事件时，在1天内将自适应启动严格模式告警，以更快更全地检测黑客的入侵行为。
﻿
﻿

配置	配置描述	配置说明
文件查杀	用于检测木马、勒索病毒、WebShell、后门程序及异常进程等安全风险。您可在防护配置中修改定时扫描、实时监控、自动隔离策略。	文件查杀-定时扫描检测模式：包括快速检测模式和全盘检测模式，可对运行中进程、关键目录、驱动加载等进行检测。其中全盘检测的时长与服务器磁盘文件数量相关，推荐检测周期选择4小时以上，避免出现扫描不完整或超时情况。快速检测：Linux 系统会检测运行中进程、关键目录、驱动加载等；Windows 会扫描 C 盘。全盘检测：Linux 系统除快速检测范围外，还会检测系统所有分区；Windows 会扫描 CDEF 盘。异常进程检测：深度检测内存中的异常进程，可能造成一定程度的资源占用率升高，请谨慎选择。检测周期：可选每天、每隔3天或每隔7天。检测范围：可选全部专业版和旗舰版主机或自选主机。文件查杀-实时监控实时监控：开启实时监控开关，选择监控模式后，单击保存，可实时监控 Web 目录、系统关键目录，查杀木马病毒文件。监控模式分为标准和深度两种模式。标准：监控并扫描检测常见目录下增量文件。深度：监控并扫描检测所有目录下增量文件。文件查杀-自动隔离自动隔离：单击开启自动隔离 > 保存，自动隔离检测出的恶意文件，部分恶意文件仍需用户手动确认隔离，建议检查文件查杀列表中所有安全事件，确保已全部处理。防护模式包括：标准模式：仅针对高置信度的风险进行自动防护，更适合日常安全运营使用。重保模式：综合多个引擎检测结果，针对中、高置信度的风险进行自动拦截。可能存在误拦截风险，适合重保防护，请谨慎启用。说明：若出现误隔离，请在已隔离列表中对文件进行恢复。开启或关闭自动隔离，均需要进行配置，实际生效存在几分钟延迟。
异常登录	用于识别异常来源 IP、异常用户名、异常登录地、异常登录时间等可疑登录行为。您可在防护配置中添加异常登录白名单。	在白名单管理页面中，可增/删/改/查异常登录的白名单。支持登录源 IP、登录用户名、登录时间、常用登录地填写任一内容即可生效，多个填写为与的关系。说明：当您同时设置了登录源 IP 和常用登录地，系统会自动忽略您设置的常用登录地，仅以登录源 IP 和其他条件来判定登录行为是否为异常登录，建议登录源 IP 和常用登录地二选一进行设置。
密码破解	用于监控 SSH、RDP 协议下的暴力破解行为，并支持相关阻断策略配置。您可在防护配置中定义密码破解检测规则、阻断规则。	密码破解-检测规则情报规则：基于腾讯安全威胁情报库，为您综合进行黑 IP 推荐，当命中对应黑 IP 时，将判定为密码破解行为。检测规则：命中下述任一登录规则时，将判定为密码破解行为。默认规则如下，支持新增和修改。规则1：1分钟登录失败次数超过10次。规则2：5分钟登录失败次数超过20次。规则3：20分钟登录失败次数超过60次。密码破解-阻断规则命中规则后，系统会自动阻断被判定为密码破解的行为。可单独或组合勾选以下三类阻断：暴破攻击情报（推荐）：基于云端暴破攻击运营生产的黑 IP 情报进行阻断。由于规模庞大，大部分阻断将不在平台生成记录。漏洞利用情报（推荐）：基于云端漏洞利用行为运营生产的黑 IP 情报进行阻断。由于规模庞大，大部分阻断将不在平台生成记录。如果请求经过 CLB 设备，该阻断将产生 HTTP 状态码 504。暴破检测规则：基于上方"密码破解-检测规则"所配置的告警进行阻断。该场景误报率较高，建议同步开启智能过白。如发现误阻断情况，可点击联系我们。智能过白：开启后将智能过滤部分登录来源，减少误阻断。命中以下任一条件时，将不执行阻断操作：来源 IP 攻击客户数 < 5 个；来源 IP 为归属于本账号下的公网 IP；来源 IP 命中威胁情报白名单。生效时长：命中暴破规则时，对不在白名单内的来源 IP 执行自动阻断，阻断生效时长可自定义（默认 5 分钟）。说明：阻断原理：当检测到恶意 IP 攻击时，将自动调用主机系统防火墙（Windows WFP / Linux iptables），以最高优先级规则实时封禁攻击源 IP。
反弹 Shell	用于检测主机被入侵后发起反向连接的可疑行为。您可在防护配置中定义告警检测范围。	由于内网反弹 Shell 告警数量较大，针对内网反弹 Shell 的检测引擎默认处于关闭状态。您可以自定义是否开启内网反弹 Shell 检测。开启后，系统将支持检测内网发起的反弹 Shell 告警；关闭后，将停止检测。
网络攻击	用于监控恶意流量和攻击行为监测分析，您可在防护配置中修改告警检测范围。	默认对攻击成功与尝试攻击的行为进行告警，您可在此配置中将尝试告警处理状态改为待处理/已处理/已忽略。说明：检测范围：仅检测部分出现 EXP、且在云上有攻击成功案例的热点漏洞攻击行为。攻击成功：检测到漏洞攻击流量且在主机上产生了攻击行为。尝试攻击：检测到漏洞攻击流量但还未进行到主机产生攻击行为阶段，可能出现只进行攻击探测行为，此时分析此类告警可以将相关来源 IP 加入网络黑名单，提前进行预防。

策略管理

本页目录：

功能简介

操作步骤

防护配置

补充说明

异常登录白名单如何配置才能适配多数用户场景？

客户端配置