Security Center：設定並執行基準檢查策略

前提條件

1. 開通基準風險檢查功能。

2. 待檢查伺服器已安裝Apsara Stack Security用戶端接入Security Center。具體操作，請參見安裝用戶端和管理伺服器。

設定檢查策略

Security Center預設執行的基準檢查策略，僅包含70+基準檢查項和部分基準類型檢查，您可以根據業務需求，配置更多的檢查項和檢查策略。

1. 登入Security Center控制台。

2. 在風險治理 > 雲安全態勢管理頁面右上方，單擊策略管理。

3. 在策略管理面板，按需設定基準檢查策略。

   配置掃描策略

   在基準掃描策略頁簽，按需配置和添加掃描策略。

   • 設定基準掃描覆蓋等級。

     您可以設定等級範圍（高、中和低）的任一個或全部等級。該配置對所有掃描策略生效。

   • 添加掃描策略。

     您可通過添加標準策略，進一步完善對您資產基準配置的檢查；也可通過添加自訂策略，檢查您的資產在作業系統自訂基準的配置上是否存在風險。Security Center將按照建立的策略對您資產的基準配置進行檢查。

     1. 單擊添加標準策略或添加自定義策略。

     2. 在基準檢查策略面板，輸入用於識別的策略名稱，選擇附表和检测开始时间，選擇需要檢查的基準分類和基準名稱。

        基準檢查項的詳情，請參見基準檢查內容。

        說明

        部分自訂基準的參數支援自訂配置，您可以根據業務需要進行配置。

        

     3. 選擇生效伺服器，然後單擊確認。

        配置項	說明
        掃描方式	選擇生效伺服器的掃描方式。可選項： 分組：以資產分組為單位掃描，僅支援全選一個或多個分組下的伺服器。 ECS：以ECS為單位掃描，支援選擇不同分組的部分或全部伺服器。
        生效伺服器	選擇需要應用該策略的伺服器。 說明 新購買的資產預設歸屬在所有分组 > 未分組中，如需對新購資產自動應用該策略，請選擇未分組。如果您需要添加新的分組或修改已有的分組，請參見管理伺服器。 一個資產分組僅可設定一個自訂策略。已存在自訂策略的資產分組，在建立自訂策略時，選擇生效資產的資產分組會置灰，不支援選擇。

     完成掃描策略配置後，您也可根據業務情境，單擊策略操作列的編輯或刪除，修改或刪除該策略。

     說明

     策略被刪除後不可恢複。

     對於預設策略，不支援刪除，也不支援修改基準檢查項，僅支援修改检测开始时间和應用預設策略的生效伺服器。

   配置自訂弱口令

   Security Center已為您預設內建弱口令規則。自訂弱口令後，Security Center會按照您自訂的弱口令規則來檢查您的資產是否存在弱口令風險。

   您可在自訂弱口令頁簽，通過上傳檔案或自定義字典來添加或產生新的自訂弱口令規則。

   重要

   • 上傳檔案限制如下：

     • 檔案大小不能超過40 KB。

     • 檔案中弱口令之間必須換行區分，每行中不可以有多個弱口令，否則將無法準確檢查弱口令。

     • 檔案中最多支援3,000條弱口令。

     • 上傳檔案會直接全量覆蓋自訂弱口令規則，產生新的自訂弱口令規則。

   • 自訂字典工具支援全量覆蓋和添加兩種方式，產生自訂弱口令規則。

   通過上傳檔案產生新的自訂弱口令規則

   Security Center將按照您上傳的弱口令規則來檢查您資產的口令是否存在風險。

   1. 在上傳檔案頁簽，單擊下載模板，然後在下載的模板中完成自訂弱口令設定。

   2. 單擊拖拽上傳檔案地區，上傳弱口令模板，完成弱口令配置。

   

   通過自訂字典全量覆蓋或添加自訂弱口令規則

   1. 在自定義字典頁簽，單擊一鍵產生（首次自訂字典）或重建。

   2. 配置自訂字典資訊，包括資產所屬的網域名稱、公司名称：和待加到弱口令字典的關鍵字。

      

   3. 單擊生成弱口令字典。

      您可以在弱口令字典地區查看產生的所有弱口令資訊，支援手動新增、修改和刪除弱口令。

   4. 選擇以下方式，完成弱口令字典配置。

      • 單擊添加，然後單擊確定，將產生的弱口令字典添加到當前已有的弱口令規則中。

      • 如果是重建字典，可單擊覆蓋，然後單擊確定，全量覆蓋當前已有的弱口令規則。

   設定基準白名單

   如果您確認某些基準檢查項對於全部主機或部分主機不構成安全風險，可以通過基準白名單功能提前添加基準白名單規則，對指定檢查類型、檢查項的對應主機進行加白。後續基準檢查時，Security Center會忽略基準白名單中主機對應檢查項的風險問題。

   1. 在加白策略 > 主機基準加白頁簽，單擊新增規則。

   2. 在建立基準白名單規則面板，選擇待加白的檢查項類型以及對應檢查項。

   3. 選擇規則應用範圍：全部主機或部分主機。

   4. 單擊儲存。

   5. 可選：您可以在基準白名單頁簽的規則列表中找到目標規則：

      • 單擊操作列的編輯，修改規則應用範圍，刪除或新增加白的主機。

      • 單擊操作列的刪除，直接刪除規則，恢複對主機的基準檢查。

執行基準檢查策略

Security Center基準檢查功能支援周期性自動檢查和即時手動檢查。以下是兩種檢測方式的說明：

• 周期性自動檢查：Security Center根據您設定的基準檢查預設策略、標準策略和自訂策略，定時自動執行基準檢查。預設策略每隔一天在00:00~06:00或您設定的檢測開始時間進行一次全面的自動檢測。

• 即時手動檢查：如果您新增或修改了檢查策略，您可以在基线检查頁面的基準檢查策略頁簽選擇該策略，立即執行基準檢查，即時查看伺服器中是否存在對應的基準風險。

需要立即執行基準檢查時，您可以在風險治理 > 雲安全態勢管理頁面的基準風險頁簽，參考以下步驟進行操作。

• （推薦）在風險情況頁簽：

  1. 在檢查項統計地區右側單擊立即掃描。

  2. 在按策略掃描面板，選擇目標策略，單擊操作列的掃描，執行基準檢查。

  

• 在基準檢查策略頁簽：

  1. 單擊展開表徵圖，在掃描策略菜單，選中需要執行即時手動檢查的策略名稱稱。

     

  2. 單擊右側檢查項掃描的立即檢查。

     執行掃描策略後，立即檢查按鈕置灰，直至掃描執行完成。