AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 云安全中心 操作指南 风险治理 云安全态势管理 基线风险检查 设置并执行基线检查策略

设置并执行基线检查策略

更新时间:
产品详情
我的收藏

您可以基于策略类型、基线白名单或自定义弱口令规则设置基线风险检查策略后,对目标服务器进行基线风险检查,使检查结果更加准确并符合您的需求。

前提条件

  1. 开通基线风险检查功能

  2. 待检查服务器已安装云盾客户端接入云安全中心。具体操作,请参见安装客户端管理服务器

设置检查策略

云安全中心默认执行的基线检查策略,仅包含70+基线检查项和部分基线类型检查,您可以根据业务需求,配置更多的检查项和检查策略。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 风险治理 > 云安全态势管理页面右上角,单击策略管理

  3. 策略管理面板,按需配置基线检查策略。

    配置扫描策略

    基线扫描策略页签,按需配置和添加扫描策略。

    • 设置基线扫描覆盖等级。

      您可以设置等级范围()的任一个或全部等级。该配置对所有扫描策略生效。

    • 添加扫描策略。

      您可通过添加标准策略,进一步完善对您资产基线配置的检查;也可通过添加自定义策略,检查您的资产在操作系统自定义基线的配置上是否存在风险。云安全中心将按照创建的策略对您资产的基线配置进行检查。

      1. 单击添加标准策略添加自定义策略

      2. 基线检查策略面板,输入用于识别的策略名称,选择检测周期检测开始时间,选择需要检查的基线分类基线名称

        基线检查项的详情,请参见基线检查内容

        说明

        部分自定义基线的参数支持自定义配置,您可以根据业务需要进行配置。

        image

      3. 选择生效服务器,然后单击确认

        配置项

        说明

        扫描方式

        选择生效服务器的扫描方式。可选项:

        • 分组:以资产分组为单位扫描,仅支持全选一个或多个分组下的服务器。

        • ECS:以ECS为单位扫描,支持选择不同分组的部分或全部服务器。

        生效服务器

        选择需要应用该策略的服务器。

        说明

        • 新购买的资产默认归属在所有分组 > 未分组中,如需对新购资产自动应用该策略,请选择未分组。如果您需要添加新的分组或修改已有的分组,请参见管理服务器

        • 一个资产分组仅可设置一个自定义策略。已存在自定义策略的资产分组,在新建自定义策略时,选择生效资产的资产分组会置灰,不支持选择。

      完成扫描策略配置后,您也可根据业务场景,单击策略操作列的编辑删除,修改或删除该策略。

      说明

      策略被删除后不可恢复。

      对于默认策略,不支持删除,也不支持修改基线检查项,仅支持修改开始检测时间和应用默认策略的生效服务器

    配置自定义弱口令

    云安全中心已为您默认内置弱口令规则。自定义弱口令后,云安全中心会按照您自定义的弱口令规则来检查您的资产是否存在弱口令风险。

    您可在自定义弱口令页签,通过上传文件自定义字典来添加或生成新的自定义弱口令规则。

    重要

    • 上传文件限制如下:

      • 文件大小不能超过40 KB。

      • 文件中弱口令之间必须换行区分,每行中不可以有多个弱口令,否则将无法准确检查弱口令。

      • 文件中最多支持3,000条弱口令。

      • 上传文件会直接全量覆盖自定义弱口令规则,生成新的自定义弱口令规则。

    • 自定义字典工具支持全量覆盖添加两种方式,生成自定义弱口令规则。

    通过上传文件生成新的自定义弱口令规则

    云安全中心将按照您上传的弱口令规则来检查您资产的口令是否存在风险。

    1. 上传文件页签,单击下载模板,然后在下载的模板中完成自定义弱口令设置。

    2. 单击拖拽上传文件区域,上传弱口令模板,完成弱口令配置。

    image

    通过自定义字典全量覆盖或添加自定义弱口令规则

    1. 自定义字典页签,单击一键生成(首次自定义字典)或重新生成

    2. 配置自定义字典信息,包括资产所属的域名公司名称和待加到弱口令字典的关键字

      image

    3. 单击生成弱口令字典

      您可以在弱口令字典区域查看生成的所有弱口令信息,支持手动新增、修改和删除弱口令。

    4. 选择以下方式,完成弱口令字典配置。

      • 单击添加,然后单击确定,将生成的弱口令字典添加到当前已有的弱口令规则中。

      • 如果是重新生成字典,可单击覆盖,然后单击确定,全量覆盖当前已有的弱口令规则。

    配置基线白名单

    如果您确认某些基线检查项对于全部主机或部分主机不构成安全风险,可以通过基线白名单功能提前添加基线白名单规则,对指定检查类型、检查项的对应主机进行加白。后续基线检查时,云安全中心会忽略基线白名单中主机对应检查项的风险问题。

    1. 加白策略 > 主机基线加白页签,单击新增规则

    2. 新建基线白名单规则面板,选择待加白的检查项类型以及对应检查项

    3. 选择规则应用范围全部主机部分主机

    4. 单击保存

    5. 可选:您可以在基线白名单页签的规则列表中找到目标规则:

      • 单击操作列的编辑,修改规则应用范围,删除或新增加白的主机。

      • 单击操作列的删除,直接删除规则,恢复对主机的基线检查。

执行基线检查策略

云安全中心基线检查功能支持周期性自动检查和即时手动检查。以下是两种检测方式的说明:

  • 周期性自动检查:云安全中心根据您设置的基线检查默认策略、标准策略和自定义策略,定时自动执行基线检查。默认策略每隔一天在00:00~06:00或您设置的检测开始时间进行一次全面的自动检测。

  • 即时手动检查:如果您新增或修改了检查策略,您可以在基线检查页面的基线检查策略页签选择该策略,立即执行基线检查,实时查看服务器中是否存在对应的基线风险。

需要立即执行基线检查时,您可以在风险治理 > 云安全态势管理页面的基线风险页签,参考以下步骤进行操作。

  • (推荐)风险情况页签:

    1. 检查项统计区域右侧单击立即扫描

    2. 按策略扫描面板,选择目标策略,单击操作列的扫描,执行基线检查。

    image

  • 基线检查策略页签:

    1. 单击展开三角图标,在扫描策略菜单,选中需要执行即时手动检查的策略名称。

      image

    2. 单击右侧检查项扫描立即检查

      执行扫描策略后,立即检查按钮置灰,直至扫描执行完成。

后续操作

完成基线检查后,您需要在基线风险 > 风险情况页签,查看未通过的检查项及检查详情,并及时修复风险检查项。具体操作,请参见查看并处理基线风险项

上一篇:基线风险检查下一篇:查看并处理基线风险项