文件篡改功能提供文件篡改监测事件列表和规则配置列表。规则配置展示模块中提供配置规则列表。
筛选刷新规则
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御 > 文件篡改 > 规则配置,进入规则配置页面。
2. 在规则配置页面,单击搜索框,可通过“规则名称”关键词对配置规则进行查询。
3. 在规则配置页面,单击操作栏右侧
新增规则
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御 > 文件篡改 > 规则配置,进入规则配置页面。
2. 在规则配置页面,单击创建规则,右侧抽屉弹出新增规则页面。
3. 在新增规则页面,需配置基本信息、配置规则和镜像生效范围。
基本信息:输入事件的规则名称,单击
说明
关闭后,将不再进行该规则检测!
配置规则:需输入进程路径和被访问文件路径,并选择执行动作,单击添加或删除,可进行添加或删除规则。
说明
配置规则最多可添加30条。
执行动作有:
拦截:命中规则条件时,将自动拦截进程运行,记录事件详情。
告警:命中规则条件时,仅自动告警事件,不拦截进程运行,记录事件详情。
放行:命中规则条件时,将自动放行进程运行,不产生事件记录。
镜像范围:全部镜像和自选镜像。其中单击所需的自选镜像
说明
支持按住 shift 键进行多选。
4. 选择所需内容后,单击设置或取消,即可完成或取消设置。
复制规则
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御 > 文件篡改 > 规则配置,进入规则配置页面。
2. 在规则配置页面,单击右侧复制,右侧弹出编复制规则页面。
3. 在复制规则页面,需输入规则名称,可修改启用状态、配置规则和镜像生效范围。
4. 选择所需内容后,单击确定或取消,即可完成或取消复制规则。
编辑规则
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御 > 文件篡改 > 规则配置,进入规则配置页面。
2. 在规则配置页面,单击右侧编辑,右侧弹出编辑规则设置页面。
3. 在编辑规则设置页面,可修改规则的基本信息、配置规则和镜像生效范围。
4. 选择所需内容后,单击确定或取消,即可完成或取消修改规则。
删除规则
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御>文件篡改>规则配置,进入规则配置页面。
2. 在规则配置页面,可选择如下两种方式删除规则:
选择所需的规则单击
在规则配置页面,选择所需规则的所作行,单击右侧删除,弹出“确认删除”弹窗。
3. 在“确认删除”弹窗中,单击删除或取消,即可删除或取消删除规则。
说明
删除后,规则将无法恢复,该规则的关联镜像将自动关联系统默认规则。
导出规则
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御 > 文件篡改 > 规则配置,进入规则配置页面。
2. 在规则配置页面,单击
说明
单击操作栏处
自定义列表管理
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御 > 文件篡改 > 规则配置,进入规则配置页面。
2. 在规则配置页面,单击
3. 在自定义列表管理弹窗,选择所需的类型后,单击确定,即可完成设置自定义列表管理。
列表重点字段说明
1. 规则类别:系统规则或自定义规则。
2. 生效镜像:规则生效的镜像数量。单击生效镜像“数字”,右侧抽屉展示规则详情。
3. 状态:启用/禁用
4. 操作:系统策略操作栏仅复制规则;用户自定义规则支持复制、编辑和删除。
