通过实时防护策略，包括文件实时防护、WebShell检测、暴力破解检测和无文件攻击防护配置。

•   说明：

点击右侧图标，则禁止客户端修改此配置，如解除锁定，则客户端可自行变更此配置。

3.3.3.1.文件实时防护

文件实时防护实时监控终端文件读、写、执行操作，防止恶意文件影响终端运行。配置如下。

其中：

防护级别：支持设置高、中、低三种防护级别，不同的防护级别对恶意文件的防护能力如下：

• 高：监控文件的所有操作方式，对电脑性能有一定影响；

• 中：监控文件的执行、写入，确保病毒无法入侵及运行，极少影响电脑性能；

• 低：监控文件的执行，确保病毒无法运行，不影响电脑性能。

文件类型：可选实时监控文件类型，包含文档文件、脚本文件、可执行文件、压缩文档、低风险文件。

•   说明：

扫描文件：设置过大的或压缩层级较大的文件进行跳过不监控（绝大多数情况恶意文件都是较小的文件）；

引擎配置：主要提供了四种引擎，包括深信服SAVE人工智能引擎、基因特征引擎、行为分析引擎和云查引擎。不同引擎组合形成四种模式，包括资源低耗模式、低误报模式、严格保护模式和自定义模式，根据业务场景选择适合模式，如下图。

•   说明：

发现威胁：发现威胁文件的处置机制，包括自动处置-业务优先、自动处置-安全优先和仅上报不处置三种处理方法，默认配置是自动处置-业务优先。

• 自动处置-业务优先：根据预置威胁判断机制，自动修复或隔离系统判断100%为威胁的文件，系统判断为可疑威胁文件不自动修复或隔离、仅将可疑威胁文件上报至管理端，由用户分析处置；

• 自动处置-安全优先：自动修复或隔离所有威胁文件，处置后的文件可在隔离区进行恢复，适用于严格保护场景；

• 仅上报不处置：不自动修复或隔离病毒文件，仅将被感染文件的信息上报至管控平台。适用于有人值守且用户了解如何处置不同的病毒威胁的场景。

3.3.3.2.WebShell检测

通过WebShell检测策略，可定义WebShell检测方式和发现WebShell后门的处理方式，配置如下。

其中：

检测方式：包括Agent首次安装后触发扫描、实时检测和定时检测三种检测方式。

• Agent首次安装后触发扫描：在首次安装后对网站根目录及其子目录进行检测扫描；

• 实时检测：对网站根目录及其子目录新增文件进行检测；

• 定时检测：对网站根目录及其子目录所有文件进行定期检测。

发现WebShell：设置发现webshell后的处理动作，包括[自动处置]及[仅上报，不处置]两种方式。

自定义Web目录：设置webshell检测目录。默认检测web服务器所在目录，也可以检测自定义的Web目录。

•   说明：

WebShell检测对Windows Server和Linux生效。

3.3.3.3.暴力破解检测

暴力破解检测能够检测RDP、SMB、SSH暴力破解并拦截，其中Windows终端支持RDP和SMB暴力破解检测，Linux终端支持SSH暴力破解检测。

1. Windows系统侧，配置界面如下图所示。

其中：

• 快速暴破阈值：可定义单分钟内联系爆破超过几次就定义为快速暴破，RDP快速暴破阈值填写范围为1-100，SMB快速暴破阈值填写范围为20-1000，而慢速暴破及分布式暴破类型会由系统按只能算法触发检测机制。

• 发现RDP/SMB暴力破解：可选择[自动封堵]或[仅上报，不封堵]的后续处置策略。

2. Linux系统侧，配置界面如下图所示。

其中：

• 快速暴破阈值：可定义单分钟内联系爆破超过几次就定义为快速暴破，SSH快速暴破阈值填写范围为1-100，而慢速暴破及分布式暴破类型会由系统按只能算法触发检测机制；

• 发现SSH暴力破解：可选择[自动封堵]或[仅上报，不封堵]的后续处置策略。

3.3.3.4.无文件攻击防护

无文件攻击主要利用存在缺陷的应用程序，将代码注入到正常的系统进程（内存、注册表、powershell脚本、Office文档），进而获得访问权，并在目标设备执行攻击命令的一种高级攻击手段。通过无文件攻击防护，可对可疑的powershell脚本进行加测并处置，配置界面如下图所示。

其中：

开启可疑powershell脚本执行检测：需要同时开启文件实时防护策略，防护功能才可生效；

发现可疑powershell脚本执行：可设置为[自动阻断脚本执行]或[仅告警，不阻断]。建议默认设置为[仅告警，不阻断]，当发现可疑powershell脚本执行时：

• 针对PC：对powershell脚本执行进行报警并挂起，由用户选择是否放行或阻断；

• 针对服务器：对powershell脚本执行进行报警但不挂起，由用户选择是否阻断或忽略。

弹出如下告警。