文件篡改功能提供文件篡改监测事件列表和规则配置列表。规则配置展示模块中提供配置规则列表。
筛选刷新规则
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御 > 文件篡改 > 规则配置,进入规则配置页面。
2. 在规则配置页面,单击搜索框,可通过“规则名称”关键词对配置规则进行查询。
![](https://qcloudimg.tencent-cloud.cn/image/document/ebc5e6f307ce29e2ce00404278a10f40.png)
3. 在规则配置页面,单击操作栏右侧![](https://qcloudimg.tencent-cloud.cn/image/document/ff158caa38de12f218d91a323b63243d.png)
图标,即可刷新规则列表。
![](https://qcloudimg.tencent-cloud.cn/image/document/ff158caa38de12f218d91a323b63243d.png)
新增规则
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御 > 文件篡改 > 规则配置,进入规则配置页面。
2. 在规则配置页面,单击创建规则,右侧抽屉弹出新增规则页面。
![](https://qcloudimg.tencent-cloud.cn/image/document/40bed5325589d5ad5ce3a6844bb8e7d8.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/40bed5325589d5ad5ce3a6844bb8e7d8.png)
3. 在新增规则页面,需配置基本信息、配置规则和镜像生效范围。
基本信息:输入事件的规则名称,单击![](https://qcloudimg.tencent-cloud.cn/image/document/55a0cf31b30c519bd0a04feca912f95c.png)
图标开启或关闭规则检查。
![](https://qcloudimg.tencent-cloud.cn/image/document/55a0cf31b30c519bd0a04feca912f95c.png)
说明
关闭后,将不再进行该规则检测!
![](https://qcloudimg.tencent-cloud.cn/image/document/52f8bb2343550f5feca6645b2d797bf5.png)
配置规则:需输入进程路径和被访问文件路径,并选择执行动作,单击添加或删除,可进行添加或删除规则。
说明
配置规则最多可添加30条。
执行动作有:
拦截:命中规则条件时,将自动拦截进程运行,记录事件详情。
告警:命中规则条件时,仅自动告警事件,不拦截进程运行,记录事件详情。
放行:命中规则条件时,将自动放行进程运行,不产生事件记录。
镜像范围:全部镜像和自选镜像。其中单击所需的自选镜像![](https://qcloudimg.tencent-cloud.cn/image/document/50a838f16c731132d731f89254f92800.png)
或![](https://qcloudimg.tencent-cloud.cn/image/document/4ccf4232d1e07753a5168563875beb8a.png)
图标,即可选中或删除自选镜像。
![](https://qcloudimg.tencent-cloud.cn/image/document/50a838f16c731132d731f89254f92800.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/4ccf4232d1e07753a5168563875beb8a.png)
说明
支持按住 shift 键进行多选。
![](https://qcloudimg.tencent-cloud.cn/image/document/4af75ef1a9722411225c1a9efd5bd8d8.png)
4. 选择所需内容后,单击设置或取消,即可完成或取消设置。
复制规则
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御 > 文件篡改 > 规则配置,进入规则配置页面。
2. 在规则配置页面,单击右侧复制,右侧弹出编复制规则页面。
![](https://qcloudimg.tencent-cloud.cn/image/document/f6f81a58d4c12c422cf45e7210aed835.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/f6f81a58d4c12c422cf45e7210aed835.png)
3. 在复制规则页面,需输入规则名称,可修改启用状态、配置规则和镜像生效范围。
![](https://qcloudimg.tencent-cloud.cn/image/document/c04c1dc6dd13415f7735bf26ccbd1d9d.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/c04c1dc6dd13415f7735bf26ccbd1d9d.png)
4. 选择所需内容后,单击确定或取消,即可完成或取消复制规则。
编辑规则
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御 > 文件篡改 > 规则配置,进入规则配置页面。
2. 在规则配置页面,单击右侧编辑,右侧弹出编辑规则设置页面。
![](https://qcloudimg.tencent-cloud.cn/image/document/506a20bf96e4d29d4d3d40ae5a34f05c.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/506a20bf96e4d29d4d3d40ae5a34f05c.png)
3. 在编辑规则设置页面,可修改规则的基本信息、配置规则和镜像生效范围。
![](https://qcloudimg.tencent-cloud.cn/image/document/bcdd5aff97fd332f274ae9dadac6de8e.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/bcdd5aff97fd332f274ae9dadac6de8e.png)
4. 选择所需内容后,单击确定或取消,即可完成或取消修改规则。
删除规则
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御>文件篡改>规则配置,进入规则配置页面。
2. 在规则配置页面,可选择如下两种方式删除规则:
选择所需的规则单击![](https://qcloudimg.tencent-cloud.cn/image/document/d1fa7bba7db82caf6945849b708b2e2d.png)
图标,后单击操作栏左侧删除,弹出“确认删除”弹窗。
![](https://qcloudimg.tencent-cloud.cn/image/document/d1fa7bba7db82caf6945849b708b2e2d.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/c68c85bf197de2e563ad10f1d3b94bcb.png)
在规则配置页面,选择所需规则的所作行,单击右侧删除,弹出“确认删除”弹窗。
![](https://qcloudimg.tencent-cloud.cn/image/document/48e306657e6f9c456bb94f60a32aca8b.png)
3. 在“确认删除”弹窗中,单击删除或取消,即可删除或取消删除规则。
说明
删除后,规则将无法恢复,该规则的关联镜像将自动关联系统默认规则。
导出规则
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御 > 文件篡改 > 规则配置,进入规则配置页面。
2. 在规则配置页面,单击![](https://qcloudimg.tencent-cloud.cn/image/document/5dc894494f259153052542175d9c494d.png)
图标勾选所需的文件篡改规则后,单击![](https://qcloudimg.tencent-cloud.cn/image/document/b7c51a7edfaa9a74751178f79e4d7156.png)
图标即可导出文件篡改规则。
![](https://qcloudimg.tencent-cloud.cn/image/document/5dc894494f259153052542175d9c494d.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/b7c51a7edfaa9a74751178f79e4d7156.png)
说明
单击操作栏处![](https://qcloudimg.tencent-cloud.cn/image/document/f3dba634814e9f6f90f490194e1e7320.png)
图标,可进行批量勾选。
![](https://qcloudimg.tencent-cloud.cn/image/document/f3dba634814e9f6f90f490194e1e7320.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/e9db1e7a95ef02a3fe6dae53f7a67526.png)
自定义列表管理
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御 > 文件篡改 > 规则配置,进入规则配置页面。
2. 在规则配置页面,单击![](https://qcloudimg.tencent-cloud.cn/image/document/e3142e30e9e1bfec4f4b837ce7f37cfa.png)
图标,弹出自定义列表管理弹窗,在弹窗中可以自定义设定列表管理。
![](https://qcloudimg.tencent-cloud.cn/image/document/e3142e30e9e1bfec4f4b837ce7f37cfa.png)
3. 在自定义列表管理弹窗,选择所需的类型后,单击确定,即可完成设置自定义列表管理。
![](https://qcloudimg.tencent-cloud.cn/image/document/1fee9a71488654f40e5ced74174fd304.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/1fee9a71488654f40e5ced74174fd304.png)
列表重点字段说明
1. 规则类别:系统规则或自定义规则。
2. 生效镜像:规则生效的镜像数量。单击生效镜像“数字”,右侧抽屉展示规则详情。
3. 状态:启用/禁用
4. 操作:系统策略操作栏仅复制规则;用户自定义规则支持复制、编辑和删除。