容器的入侵行為主要是對命令執行、讀寫文件、網絡活動、主機異常等類型進行監測。

平臺支持多類檢測規則，對黑客的攻擊行為進行檢測防護，且支持預設策略的方式，將入侵行為在事件發生的第一時間對容器進行暫停并支持對容器所在的Pod進行隔離或重啟。

默認策略

平臺內置默認策略的啟用狀態默認為“啟用”，且僅支持查看、編輯，不支持刪除。

• 編輯默認策略時，支持選擇應用對象、自定義規則等操作。
• 默認策略包含的檢測規則請參見系統內置規則。

添加策略

1. 登錄容器安全衛士控制臺。

2. 在左側導航欄選擇“容器安全 > 容器策略”，進入容器策略頁面。

3. 在“入侵檢測策略”頁簽，單擊“添加策略”，進入添加策略頁面。

4. 配置基本信息。

   

5. 選擇策略應用的對象。

   

6. 配置策略規則，包括使用哪些規則，配置規則處置方式等。

   每條入侵行為下，有相關的行為描述和開啟建議，用戶可進行參考設置。

   說明
   可以為單個規則修改處置方式，也可以批量為規則修改處置方式：
   單個規則：規則啟用后才支持修改處置方式。
   批量設置：勾選規則前的復選框，選擇要啟動報警的內置策略，在列表上方的報警“處置方式”下拉框中批量設置報警處理方式。
   處置方式包含只報警、報警且隔離Pod、報警且重啟Pod、報警且暫停容器這四種處理方式。
   

   

   僅系統內置策略支持配置“主機異常”規則：

   

7. 參數配置完成后，單擊“保存”。

復制策略

通過復制策略，可以快速添加一個和已有策略類似的策略。

1. 登錄容器安全衛士控制臺。
2. 在左側導航欄選擇“容器安全 > 容器策略”，進入容器策略頁面。
3. 在“入侵檢測策略”頁簽，在已有策略的操作列單擊“復制策略”，進入復制策略頁面。
4. 策略配置的詳細說明請參考添加策略。

編輯策略

1. 登錄容器安全衛士控制臺。
2. 在左側導航欄選擇“容器安全 > 容器策略”，進入容器策略頁面。
3. 在“入侵檢測策略”頁簽，在已有策略的操作列單擊“編輯”，進入編輯策略頁面。
4. 在策略編輯界面，可以修改策略名稱、策略應用的對象、檢測規則配置對應的處理方式。策略配置的詳細說明請參考添加策略。

批量管理策略

支持批量對策略進行管理，包括啟用、禁用、刪除。

1. 登錄容器安全衛士控制臺。

2. 在左側導航欄選擇“容器安全 > 容器策略”，進入容器策略頁面。

3. 在“入侵檢測策略”頁簽，勾選入侵行為名稱前的復選框，選擇要操作的策略。

   

4. 單擊選擇列表上方的“批量”按鈕，展開批量操作。

5. 根據需要選擇執行的操作，支持批量啟用、禁用、刪除。