配置建议及示例建议您为系统核心文件和重要配置文件设置对应的监控规则。关于规则配置的规范和示例的更多信息,请参见核心文件监控配置最佳实践。
在执行新建规则操作步骤前,您需要确定需监控的文件及可访问文件的合法进程范围。
对于核心业务文件,您需要为所有进程配置告警规则,并为合法的访问进程配置放行规则。在可以监控对该文件所有访问操作的同时,避免产生无意义的告警,实现对核心文件访问的全面监控。例如,您需监控的核心文件路径为/etc/sysctl.conf,合法进程为systemd。为实现对/etc/sysctl.conf文件路径的监控,您需要配置两条规则:
规则1:处置方式为告警,进程路径为*(表示匹配所有进程),文件路径为/etc/sysctl.conf,文件操作选择所有操作。
规则2:处置方式为放行,进程路径为/usr/lib/systemd/systemd,文件路径为/etc/sysctl.conf,文件操作选择所有操作。
需要监控多台服务器的核心文件时,您可以在一条告警规则中配置所有服务器需监控的文件路径,并将进程路径配置为*。然后再根据不同服务器需放行的进程路径,配置多条放行的规则。
重要 如果告警规则未设置所有进程,则无法监控进程路径外其他进程的访问操作。进程路径配置外的所有进程,都可以绕过云安全中心的监控。
配置放行规则时,不建议进程路径使用通配符路径。使用通配符路径容易被攻击者利用放行规则直接放行访问操作,达到攻击行为绕过告警规则的目的。