华为云用户手册

删除报告 默认的按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板不可删除。 登录管理控制台，进主机安全服务页面。 左侧选择“安全报告”进入安全报告概览页面。 服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 图3 查看安全报告 单击目标报告的“删除”，对目标报告进行删除。

关闭订阅 登录管理控制台，进主机安全服务页面。 左侧选择“安全报告”进入安全报告概览页面。 服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 图2 查看安全报告 单击目标报告的开关，使其状态为，表示目标报告订阅已关闭。

相关操作 编辑白名单策略 如果创建策略完成后，您需要修改策略模式、防护动作或防护的服务器，您可以编辑白名单策略。 在目标策略所在行的操作列，单击“编辑”。 在编辑策略弹窗中完成信息修改后，单击“确认”。 删除白名单策略 如果不再需要HSS为您的某个策略中关联的所有服务器提供应用进程控制防护，且无需保留HSS已学习到的应用进程信息，您可以删除白名单策略。删除后，如果后续再次开启应用进程控制，HSS需要重新学习服务器，请谨慎操作！ 在目标策略所在行的操作列，单击“删除”。 在弹窗中，单击“确认”。

示例流程 图1 给用户授权服务权限流程 创建用户组并授权。在 IAM 控制台创建用户组，并授予HSS服务的管理员权限“HSS Administrator”。 创建用户并加入用户组。在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择除主机安全服务外（假设当前策略仅包含“HSS Administrator”）的任一服务，若提示权限不足，表示“HSS Administrator”已生效。

前提条件 给用户组授权之前，请您了解用户组可以添加的HSS权限，并结合实际需求进行选择，HSS系统策略如表1所示。若您需要对除HSS之外的其它服务授权，IAM支持服务的所有权限请参见系统权限。 表1 HSS系统权限 系统角色/策略名称 描述 类别 依赖关系 HSS Administrator 主机安全服务（HSS）管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest角色。 Tenant Guest：全局级角色，在全局项目中勾选。 购买HSS防护配额需要同时具有E CS ReadOnlyAccess、BSS Administrator和TMS ReadOnlyAccess角色。 ECS ReadOnlyAccess：系统策略，弹性云服务器的只读访问权限。 BSS Administrator：系统角色，费用中心（BSS）管理员，拥有该服务下的所有权限。 TMS ReadOnlyAccess：系统策略，标签管理服务的只读访问权限。 HSS FullAccess 主机安全服务所有权限。 系统策略 购买HSS防护配额需要具有BSS Administrator角色。 BSS Administrator：系统角色，费用中心（BSS）管理员，拥有该服务下的所有权限。 SMN ReadOnlyAccess：系统策略， 消息通知 服务的只读访问权限。 HSS ReadOnlyAccess 主机安全服务的只读访问权限。 系统策略 SMN ReadOnlyAccess：系统策略，消息通知服务的只读访问权限。

查看报告发送记录 发送记录存储了邮件发送报告的发送详情。 单击安全报告概览页右上角的“报告发送记录”查看报告发送记录。 在弹窗中查看报告发送记录，参数说明如表1所示。 表1 报告发送记录参数 参数名称 参数说明 报告名称 已发送报告的名称。 统计周期 目标发送报告内容的统计周期。 报告类型 目标发送报告的统计周期类型。 安全周报 安全月报 安全日报 自定义报告 邮件发送时间 目标报告发送的时间。 单击“操作”列的“获取报告”可查看历史发送的报告信息，同时可预览和下载报告。

约束限制 Windows系统的Agent版本为4.0.18及以上版本时支持应用 漏洞扫描 ，Linux系统的Agent版本为3.2.9及以上版本时支持扫描应急漏洞。升级Agent请参见升级Agent。 目标服务器“服务器状态”为“运行中”，“Agent状态”为“在线”，“防护状态”为“防护中”，否则无法进行漏洞扫描。 主机安全服务各版本支持扫描的漏洞类型请参见支持扫描和修复的漏洞类型。 Linux漏洞、Windows漏洞扫描支持的操作系统请参见表 漏洞扫描支持的操作系统；应急漏洞扫描支持Ubuntu、CentOS、EulerOS、Debian、AlmaLinux系统。 表1 漏洞扫描支持的操作系统 操作系统类型 支持的操作系统版本 Windows Windows Server 2019 数据中心版 64位英文(40GB) Windows Server 2019 数据中心版 64位简体中文(40GB) Windows Server 2016 标准版 64位英文(40GB) Windows Server 2016 标准版 64位简体中文(40GB) Windows Server 2016 数据中心版 64位英文(40GB) Windows Server 2016 数据中心版 64位简体中文(40GB) Windows Server 2012 R2 标准版 64位英文(40GB) Windows Server 2012 R2 标准版 64位简体中文(40GB) Windows Server 2012 R2 数据中心版 64位英文(40GB) Windows Server 2012 R2 数据中心版 64位简体中文(40GB) Linux EulerOS 2.2、2.3、2.5、2.8、2.9（64位） CentOS 7.4、7.5、7.6、7.7、7.8、7.9（64位） Ubuntu 16.04、18.04、20.04、22.04（64位） Debian 9、10、11（64位） kylin V10（64位） HCE 1.1、2.0（64位） Suse 12 SP5、15 SP1、15 SP2、15.5（64位） 统信UOS V20服务器E版、V20服务器D版（64位）

购买场景 表1 配额购买场景 主机类型 主机所在区域 如何购买配额 华为云弹性 云服务器ECS 华为云裸金属服务器BMS 华为云云耀云服务器HECS 华为云 云桌面Workspace 在主机防护支持的区域 请在ECS/BMS/HECS/Workspace所在区域购买主机防护配额。 HSS不支持跨区域使用，主机与防护配额不在同一区域，请退订配额后，重新购买主机所在区域的配额。 第三方云主机 - 目前仅部分区域支持接入非华为云主机，具体区域请参见哪些区域支持接入非华为云主机?，请在支持接入非华为云主机的区域购买主机防护配额，然后使用非华为云主机的Agent安装方式，将主机接入配额所在区域。 线下主机 -

购买说明 配额只能在购买时所选择的区域使用。 一个配额只能绑定一个主机，且只能绑定Agent在线的主机。 HSS暂仅支持为Docker和Containerd容器提供安全防护，在购买容器版配额时请确认您的容器类型。 为了防止未防护主机感染勒索、挖矿等病毒后传染给其他主机，导致企业内网整体沦陷，建议您的云上主机全部都部署主机安全服务。 购买主机安全防护配额后，请到主机安全服务控制台“主机管理”页面开启主机防护。 购买网页防篡改赠送旗舰版，包含旗舰版所有功能。 为防止未防护主机感染勒索、挖矿等病毒后传染给其他主机，导致企业内网整体沦陷，建议您的云上主机全部署主机安全服务。 购买企业版选择“按需计费”模式时，当ECS关机后，主机安全服务将停止计费。

网页防篡改原理 网页防篡改功能支持静态、动态网页防护，防护原理如表 网页防篡改原理所示。 表1 网页防篡改原理 防护类型 原理说明 静态网页防护 锁定本地文件目录 驱动级锁定Web文件目录下的文件，禁止攻击者修改，网站管理员可通过特权进程进行更新网站内容。 主动备份恢复 若检测到防护目录下的文件被篡改时，将立即使用本地主机备份文件自动恢复被非法篡改的文件。 远端备份恢复 若本地主机上的文件目录和备份目录失效，还可通过远端备份服务恢复被篡改的网页。 动态网页防护 提供Tomcat应用运行时自我保护，防护原理如下： 基于RASP过滤恶意行为 采用华为自研RASP检测应用程序行为，有效阻断攻击者通过应用程序篡改网页内容的行为。 网盘文件访问控制 精细化定义网盘文件中的文件访问权限，包括新增，修改，查询等，确保防篡改同时不影响网站内容发布。

网页防篡改使用流程 图1 使用流程图 表2 网页防篡改使用流程说明 操作项 描述 开启静态网页防篡改 您在开启“网页防篡改版”防护时，即开启了静态网页防篡改防护和其他防护功能，HSS网页防篡改版支持的功能详情请参见服务版本差异。 添加防护目录 静态网页防篡改为指定的目录提供防护，因此您需要配置静态网页防篡改防护目录，否则静态网页防篡改功能无法生效。 配置远端备份 HSS默认会将防护目录下的文件备份在您添加防护目录时配置的本地备份路径下，为了防止本地备份被攻击者破坏，您可以配置远端备份，再为网页备份数据加一层保障。 添加特权进程 开启静态网页防篡改防护后，防护目录中的内容是只读状态，不允许修改。如果您需要修改防护文件，可以添加特权进程，通过特权进程修改防护文件。 定时开关网页防篡改 由于特权进程对操作系统内核版本有限制，且每台服务器最多只能添加10个特权进程。因此对于不能添加特权进程的操作系统，如果您需要定时更新网页，可以设置定时开关静态网页防篡改，在固定时段关闭防护完成网页修改，再开启防护。 开启动态网页防篡改 HSS提供Tomcat应用运行时自我保护，如果您有Tomcat应用相关的动态网页防篡改需求，可以开启动态网页防篡改防护。 查看网页防篡改防护事件 静态网页防篡改过程中发生的非法篡改事件会被记录并展示在防护事件列表供您查看。

添加告警白名单 表1 添加告警白名单 添加方式 说明 加入告警白名单 处理告警事件时，将告警事件加入到告警白名单 以下类型的告警事件加入“告警白名单”： 反弹Shell 勒索软件 恶意程序 Webshell 进程异常行为 进程提权 文件提权 高危命令执行 恶意软件 关键文件变更 文件/目录变更 异常Shell Crontab可疑任务 非法系统账号 一般漏洞利用 Redis漏洞利用 Hadoop漏洞利用 MySQL漏洞利用

账号管理概述 主机安全服务具备安全可靠的跨账号数据汇聚和资源访问能力，如果您的账号由组织管理，您可以对组织内所有成员账号进行统一的工作负载安全防护： 统一对组织内所有成员账号的主机进行安全防护，包括资产管理、漏洞检测和修复、基线检查以及入侵检测等。 统一对组织内所有成员账号的容器进行安全防护。 通过HSS对组织成员账号进行工作负载安全防护需要执行以下操作： 添加组织成员账号 查看账号管理 有关组织的详细说明请参见《组织用户指南》。 父主题： 账号管理

后续操作 如果您需要检测更多的项目，请根据服务各版本支持的功能手动配置检测项。 版本之间的功能差异请参见服务版本差异。 图4 手动配置的检测项 表1 手动配置检测项 功能 检测项 相关链接 安装与配置 常用登录地/IP SSH登录IP白名单 开启恶意程序隔离查杀 常用安全配置 入侵检测 配置告警白名单 配置登录告警白名单 入侵检测 主动防御 应用防护 勒索病毒防护 文件完整性管理 主动防御 安全运营 策略管理 安全运营 安全报告 订阅安全报告 订阅安全报告

约束条件 Linux操作系统 使用鲲鹏计算EulerOS（EulerOS with ARM）的主机，在遭受SSH账户破解攻击时，HSS不会对攻击IP进行拦截，仅支持对攻击行为进行告警。 Windows操作系统 开启主机防护时，需要授权开启Windows防火墙，且使用主机安全服务期间请勿关闭Windows防火墙。若关闭Windows防火墙，HSS无法拦截账户暴力破解的攻击源IP。 通过手动开启Windows防火墙，也可能导致HSS不能拦截账户暴力破解的攻击源IP。

前提条件 云服务器的“状态”为“运行中”，且可正常访问公网。 云服务器安全组出方向的设置允许访问100.125.0.0/16网段的10180端口（默认允许访问，如做了改动请修正）。 云服务器的DNS服务器地址已配置为华为云内网 DNS地址 ，具体请参考修改云服务器的DNS服务器地址和华为云内网DNS地址。 安装Agent的磁盘剩余可用容量大于300M，否则可能导致Agent安装失败。 云服务器已关闭Selinux防火墙（防止Agent安装失败，请安装成功后再打开）。 如果云服务器已安装第三方安全软件，可能会导致主机安全服务Agent无法正常安装，请您关闭或卸载第三方安全软件后再安装Agent。 待安装Agent的服务器支持SSH登录。

Docker插件应用场景 开通 容器安全 防护后，如果您需要使用镜像阻断功能，您需要安装Docker插件。 Docker插件是实现镜像阻断能力的一个插件。镜像阻断是一种容器安全防御功能， 它可以在Docker环境中容器启动前阻断具有高危漏洞或不符合安全标准的容器镜像的运行。 镜像阻断的应用场景如下： 当您需要保证容器镜像的安全质量，避免因为使用不可信或过时的镜像而导致安全风险时，您可以配置镜像阻断策略，指定阻断的漏洞等级或白名单。 当您需要遵循一些行业或法规的安全要求，例如：PCI DSS、CIS等，您可以配置镜像阻断策略，指定阻断的安全基线或合规检查项。 当您需要实现容器DevSecOps的最佳实践，将安全检查和防御嵌入到容器生命周期的每个阶段时，您可以配置镜像阻断策略，实现从源头到终端的安全保障。

端口扫描检测 单击“端口扫描检测”，滑出“端口扫描检测”策略详情界面。 在弹出的端口扫描检测界面中，修改“策略内容”，参数说明如表23所示。 表23 端口扫描检测策略参数说明 参数名称 参数说明 取值样例 扫描源IP白名单 填写IP白名单，多个用英文分号隔开。 test_bj4 待检测端口列表 待检测的端口号和协议类型详情。 - 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

容器文件监控 当被监控的文件路径位于挂载路径下，而非容器在主机上的可写层时，无法触发容器文件修改的告警。此类文件可以通过主机的文件保护策略进行防护。 单击“容器文件监控”，滑出“容器文件监控”策略详情界面。 在弹出的容器文件监控界面中，修改“策略内容”，参数说明如表19所示。 表19 容器文件监控策略参数说明 参数名称 参数说明 取值样例 模糊匹配 是否启动对目标文件的模糊匹配，建议勾选。 勾选。 镜像名称 执行检测的目标镜像的名称。 test_bj4 镜像ID 执行检测的目标镜像的ID。 - 文件 执行检测的目标镜像下的文件名称。 /tmp/testw.txt 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

镜像异常行为 单击“镜像异常行为”，滑出“镜像异常行为”策略详情界面。 在弹出的镜像异常行为界面中，修改“策略内容”，参数说明如表21所示。 表21 镜像异常行为策略参数说明 参数名称 参数说明 取值样例 规则名称 不同规则的名称。 - 规则描述 不同规则的简要描述。 - 规则模板 选择不同的规则进行配置，支持的规则项如下： 镜像白名单 镜像黑名单 镜像标签白名单 镜像标签黑名单 创建容器白名单 创建容器黑名单 容器mount proc白名单 容器seccomp unconfined 容器特权白名单 容器capabilities白名单 规则填写参数说明如下： 精准匹配：通过目标镜像名称来检测，填写目标镜像名称匹配镜像，多个名称以英文分号隔开，最多填写20个。 正则匹配：通过正则来检测，填写正则表达式匹配镜像，多个表达式以英文分号隔开，最多填写20个。 前缀匹配：通过前缀名称来检测，填写前缀名称匹配镜像，多个前缀以英文分号隔开，最多填写20个。 标签名称：通过标签及标签值来筛选检测，最多可添加20个标签项。 权限类型：通过选择权限进行指定检测或忽略检测，权限说明详情请参见表22。 - 表22 镜像异常行为权限说明 权限名称 权限说明 AUDIT_WRITE 将记录写入内核审计日志的。 CHOWN 对文件UID和GID进行任意更改的。 DAC_OVERRIDE 绕过文件读、写和执行权限检查。 FOWNER 绕过权限检查通常要求进程的文件系统UID与文件UID匹配的操作。 FSETID 修改文件时不清除set-user-ID和set-group-ID权限位。 KILL 放通发送信号的权限检查。 MKNOD 使用mknod创建特殊文件。 NET_BIND_SERVICE 将socket绑定到internet域特权端口（端口号小于1024）。 NET_RAW 使用原始socket和数据包socket。 SETFCAP 设置文件功能。 SETGID 对进程GID和补充GID列表进行任意操作。 SETPCAP 修改进程能力。 SETUID 对进程UID进行任意操作。 SYS_CHROOT 使用chroot，更改根目录。 AUDIT_CONTROL 启用和禁用内核审计；更改审计筛选规则；检索审计状态和筛选规则。 AUDIT_READ 允许通过组播网络链接套接字读取审计日志。 BLOCK_SUSPEND 允许防止系统挂起。 BPF 允许创建BPF映射、加载BPF类型格式（BTF）数据、检索BPF程序的JITed代码等。 CHECKPOINT_RESTORE 允许检查点/恢复相关操作。 DAC_READ_SEARCH 绕过文件读取权限检查和目录读取和执行权限检查。 IPC_LOCK 锁定内存(mlock、mlockall、mmap、shmctl)。 IPC_OWNER 绕过对System V IPC对象的操作的权限检查。 LEASE 在任意文件上建立租赁。 LINUX_IMMUTABLE 设置FS_APPEND_FL和FS_IMMUTABLE_FL i节点标志。 MAC_ADMIN 允许MAC配置或状态更改。 MAC_OVERRIDE 覆盖强制访问控制(MAC)。 NET_ADMIN 执行各种与网络相关的操作。 NET_BROADCAST 进行socket广播，并侦听组播。 PERFMON 允许使用perf_events、i915_perf和其他内核子系统进行系统性能和可观察性特权操作。 SYS_ADMIN 执行一系列系统管理操作。 SYS_BOOT 使用重新启动和kexec_load，重新启动并加载新内核以便以后执行。 SYS_MODULE 加载和卸载内核模块。 SYS_NICE 提升进程良好值（良好，设置优先级)，并更改任意进程的良好值。 SYS_PACCT 使用账户，打开或关闭进程记账。 SYS_PTRACE 使用ptrace跟踪任意进程。 SYS_RAWIO 执行I/O端口操作(ipl和ioperm)。 SYS_RESOURCE 覆盖资源限制。 SYS_TIME 设置系统时钟(settimeofday、stime、adjtimex)；设置实时（硬件）时钟。 SYS_TTY_CONFIG 使用vhangup；在虚拟终端上使用各种特权ioctl操作。 SYS LOG 执行特权系统日志操作。 WAKE_ALARM 触发将唤醒系统的东西。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

容器逃逸 单击“容器逃逸”，系统弹出“容器逃逸”策略详情页面。 在弹出的“容器逃逸”策略页面中，编辑策略内容，参数说明如表 容器逃逸策略参数说明所示。 如果没有需要添加白名单的镜像、进程、POD，可不填写对应的白名单。 表17 容器逃逸策略参数说明 参数名称 参数说明 镜像白名单 填写无需检测容器逃逸行为的镜像名称，镜像名只能包含字母、数字、下划线、中划线，多个镜像名以换行符隔开，最多可添加100个镜像名。 进程白名单 填写无需检测容器逃逸行为的进程名称，进程名只能包含字母、数字、下划线、中划线，多个进程名以换行符隔开，最多可添加100个进程名。 POD白名单 填写无需检测容器逃逸行为的POD名称，POD名只能包含字母、数字、下划线、中划线，多个POD名以换行符隔开，最多可添加100个POD名。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

容器进程白名单 单击“容器进程白名单”，滑出“容器进程白名单”策略详情界面。 在弹出的容器进程白名单界面中，修改“策略内容”，参数说明如表20所示。 表20 容器进程白名单策略参数说明 参数名称 参数说明 取值样例 模糊匹配 是否启动对目标文件的模糊匹配，建议勾选。 勾选。 镜像名称 执行检测的目标镜像的名称。 test_bj4 镜像ID 执行检测的目标镜像的ID。 - 进程 执行检测的目标镜像下的文件路径。 /tmp/testw 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

容器信息模块 单击“容器信息模块”，弹出“容器信息模块”策略详情页面。 根据界面提示，修改策略内容。策略内容相关参数说明请参见表 容器信息模块策略参数说明。 表18 容器信息模块策略参数说明 参数名称 参数说明 自定义容器名称白名单 自定义填写需要入侵检测功能忽略不进行检测的容器名称。 基于Docker运行时的容器可以配置简单名称，HSS会自行模糊匹配；其他运行时的容器会根据名称进行精确匹配。 多个镜像白名单以换行符相隔，最多可添100个白名单。 自定义组织白名单 自定义填写需要入侵检测功能忽略不进行检测的镜像所属组织名称。 多个组织白名单以换行符相隔，最多可添100个白名单。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

进程异常行为 单击“进程异常行为”，弹出“进程异常行为”策略详情界面。 在弹出的进程异常行为管理界面中，修改“策略内容”，参数说明如表10所示。 表10 进程异常行为策略内容参数说明 参数 说明 取值样例 检测模式 选择进程异常行为的检测模式 高检出模式：对所有进程进行深度、全量的检测扫描，可能存在一定误报，适用于护网重保等场景。 均衡模式：对所有进程进行全量的检测扫描，检测结果准确性和异常进程的检出率均得到一定平衡，适用于日常防护。 低误报模式：对所有进程进行全量的检测扫描，重点提升检测结果的准确性，减少误报的情况，适用于误报较多的场景。 均衡模式 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

集群入侵检测 单击“集群入侵检测”，滑出“集群入侵检测”策略详情界面。 在弹出的集群入侵检测界面中，修改“策略内容”，参数说明如表16所示。 表16 集群入侵检测策略参数说明 参数名称 参数说明 取值样例 基础检测case 提供所有支持基础检测的检测项，根据需求勾选即可。 全选。 白名单 自定义添加在检测中需要忽略的类型及对应的值，且可自定义进行添加的删除。 支持的类型如下： ip过滤 pod名称过滤 image名称过滤 执行用户过滤 pod标签过滤 namespace过滤 说明： 每一种类型只能使用一次。 类型：ip过滤 值：192.168.x.x 该策略配置完成后，还需开启日志审计功能，且主机安全服务Agent需要部署在集群的管理节点上（APIServer所在的节点）才能正常生效。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

AV检测 单击“AV检测”，弹出“AV检测”策略详情界面。 在弹出的AV检测界面中，修改“策略内容”，参数说明如表14所示。 表14 AV检测策略内容参数说明 参数名称 参数说明 取值样例 是否开启实时防护 开启后，执行该策略时AV检测提供实时检测防护，建议开启。 ：开启。 ：关闭。 ：开启。 防护文件类型 自定义勾选自动实时检测的文件的类型。 全部：选中所有文件类型。 可执行：常见的exe，dll，sys等。 压缩：常见的zip，rar，jar等。 文本：常见的php，jsp，html，bash等。 OLE：复合型文档，常见的office格式文件（ppt，doc）和保存的邮件文件（msg）。 其他：除开以上类型的其他类型。 全部 防护动作 目标检测告警的防护动作。 自动处理：检测为高危等级病毒文件将自动执行隔离，其余风险等级病毒不自动隔离。 人工处理：检测的病毒无论是什么风险等级，都不会自动隔离，需手动处理。 自动处理 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

容器信息收集 单击“容器信息收集”，弹出“容器信息收集”策略详情界面。 在弹出的容器信息收集界面中，修改“策略内容”，参数说明如表15所示。 白名单优先级更高，若白名单和黑名单配置了一样的目录，则目录以白名单为基准，允许挂载。 表15 容器信息收集策略参数说明 参数名称 参数说明 取值样例 挂载目录白名单 填写允许挂载的目录。 /test/docker或/root/* 注：路径以*结束表示目标路径下的所有子目录，不包括主目录。 如：设置/var/test/*为白名单目录，表示：目录/var/test/下的所有子目录为白名单目录，不包括test这层。 挂载目录黑名单 填写不允许挂载的目录，如user、bin为主机关键信息文件路径，不建议作为挂载目录，否则重要信息可能存在暴露风险。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

root提权 单击“root提权”，弹出“root提权”策略详情界面。 在弹出的root提权界面中，修改“策略内容”，参数说明如表11所示。 图8 修改root提权策略 表11 root提权策略内容参数说明 参数 说明 忽略的进程文件路径 忽略的进程文件的路径。 文件路径以“/”开头，不能以“/”结尾。多个路径通过回车换行分隔且名称中不能包含空格。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

rootkit检测 单击“rootkit检测”，弹出“rootkit检测”策略详情界面。 在弹出的rootkit检测界面中，修改“策略内容”。 图10 修改rootkit检测策略 表13 rootkit检测策略内容参数说明 参数名称 参数说明 取值样例 内核模块白名单 自定义填写检测时忽略的内核模块名称。 可填写多个，不同模块名称之间用换行隔开，最多可添加10个。 xt_conntrack virtio_scsi tun 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

登录安全检测 单击“登录安全检测”，弹出“登录安全检测”策略详情界面。 在弹出的“登录安全检测”策略内容中，修改“策略内容”，参数说明如表 登录安全检测策略内容参数说明所示。 图6 修改安全检测策略 表8 登录安全检测策略内容参数说明 参数 说明 封禁时间（分钟） 可设置被阻断攻击IP的封禁时间，封禁时间内不可登录，封禁时间结束后自动解封，可配置范围为“1~43200”。 是否审计登录成功 开启此功能后，HSS将上报登录成功的事件。 ：开启。 ：关闭。 阻断攻击IP（非白名单） 开启阻断攻击IP后，HSS将阻断爆破行为的IP（非白名单）登录。 白名单爆破行为是否告警 开启后，HSS将对白名单IP产生的爆破行为进行告警。 ：开启。 ：关闭。 白名单 将IP添加到白名单后，HSS不会阻断白名单内IP的爆破行为。最多可添加50个IP或网段到白名单，且同时支持IPV4和IPV6。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。