企业主机安全 HSS-产品功能:主机安全告警
下载企业主机安全 HSS用户手册完整版
主机安全告警
主机安全告警支持识别并阻止入侵主机的行为,实时检测主机的风险异变,检测并查杀主机中的恶意程序,识别主机中的网站后门等。
|
功能名称 |
功能概述 |
基础版 |
专业版 |
企业版 |
旗舰版 |
网页防篡改版 |
容器版 |
|---|---|---|---|---|---|---|---|
|
未分类恶意软件 |
对运行中的程序进行检测,识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
病毒 |
对服务器进行实时检测,对在服务器资产发现的各种病毒进行告警上报。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
蠕虫 |
对服务器中入侵的蠕虫或已存在的蠕虫进行检测、查杀,并进行告警上报。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
木马 |
对隐藏在正常程序中具备破坏和删除文件、发送密码、记录键盘等特殊功能的程序进行检测,发现时立即进行告警上报。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
僵尸网络 |
检测主机资产中是否存在已被传播的僵尸程序,一旦发现立即进行告警上报。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
后门 |
实时检测服务器系统是否存在后门漏洞,对发现的后门病毒进行告警上报。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
Rootkits |
检测服务器资产,对可疑的内核模块和可疑的文件或文件夹进行告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
勒索软件 |
检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产,并以此作为向您勒索钱财的筹码。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
× |
× |
√ |
√ |
√ |
|
黑客工具 |
检测服务器是否存在用来控制服务器的非标工具,一旦发现立即上报告警。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
× |
√ |
√ |
√ |
√ |
|
Webshell |
检测云服务器上Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。
支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
挖矿软件 |
实时检测服务器中是否存在挖矿软件,并对发现的软件进行告警上报。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
远程代码执行 |
实时检测服务器是否存在被远程调用的情况,一旦发现立即进行告警上报。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
× |
√ |
√ |
√ |
√ |
|
Redis漏洞利用 |
实时检测Redis进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
Hadoop漏洞利用 |
实时检测Hadoop进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
MySQL漏洞利用 |
实时检测MySQL进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
反弹Shell |
实时监控用户的进程行为,支持告警和阻断进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 目前支持阻断的反弹shell类别:exec反弹Shell、Perl反弹Shell、AWK反弹Shell、Python反弹Shell.b、Python反弹Shell.a、Lua反弹Shell、mkfifo/openssl反弹Shell、PHP反弹Shell、Ruby反弹Shell、使用rssocks进行反向代理、Bash反弹Shell、Ncat反弹Shell、exec重定向反弹Shell、Node反弹Shell、Telnet双端口反弹Shell、nc反弹Shell、Socat反弹Shell、rm/mkfifo/sh/nc反弹Shell、socket/tchsh反弹Shell。 支持的操作系统:Linux。 检测周期:实时检测。
说明:
启用反弹Shell自动阻断需确保满足以下条件:
|
× |
√ |
√ |
√ |
√ |
√ |
|
文件提权 |
检测当前系统对文件的提权。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
进程提权 |
检测以下进程提权操作:
支持的操作系统:Linux。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
关键文件变更 |
对于系统关键文件进行监控,文件被修改时告警,提醒用户关键文件存在被篡改的可能。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
文件/目录变更 |
实时监控系统文件/目录,对创建、删除、移动、修改属性或修改内容的操作进行告警,提醒用户文件/目录可能被篡改。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
进程异常行为 |
检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为:
支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
× |
√ |
√ |
√ |
√ |
|
高危命令执行 |
实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
异常Shell |
检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
敏感文件访问 |
检测未经授权访问或修改敏感文件的行为。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
Crontab可疑任务 |
检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况,及时发现异常自启动项,快速定位木马程序的问题。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
× |
× |
√ |
√ |
√ |
|
系统安全防护被禁用 |
检测勒索软件加密前准备动作:通过注册表关闭Windows Defender实时保护功能,一旦发现立即上报告警。 支持的操作系统:Windows。 检测周期:实时检测。 |
× |
× |
√ |
√ |
√ |
× |
|
备份删除 |
检测勒索软件加密前准备动作:删除备份格式文件或Backup文件夹下的文件,一旦发现立即上报告警。 支持的操作系统:Windows。 检测周期:实时检测。 |
× |
× |
√ |
√ |
√ |
√ |
|
异常注册表操作 |
检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作,一旦发现立即上报告警。 支持的操作系统:Windows。 检测周期:实时检测。 |
× |
× |
√ |
√ |
√ |
√ |
|
系统日志删除 |
检测到通过命令或工具清除系统日志的操作时进行告警。 支持的操作系统:Windows。 检测周期:实时检测。 |
× |
× |
√ |
√ |
√ |
× |
|
可疑命令执行 |
支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
× |
√ |
√ |
√ |
√ |
|
可疑进程运行 |
检测未经过认证或授权的应用进程运行,一旦发现进行告警上报。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
× |
√ |
√ |
√ |
√ |
|
可疑进程文件访问 |
检测未经过认证或授权的进程访问指定的目录,一旦发现进行告警上报。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
× |
√ |
√ |
√ |
√ |
|
暴力破解 |
检测“尝试暴力破解”和“暴力破解成功”等暴力破解。
支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
√ |
√ |
√ |
√ |
√ |
√ |
|
异常登录 |
检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施(例如:忽略、修改密码等)。 如果在非常用登录地登录,则触发安全事件告警。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
√ |
√ |
√ |
√ |
√ |
√ |
|
非法系统账号 |
检测主机系统中的账号,列出当前系统中的可疑账号信息,帮助用户及时发现非法账号。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
用户账号添加 |
检测使用命令创建隐藏账户,一旦创建成功后用户交互界面和命令查询均不可见。 支持的操作系统:Windows。 检测周期:实时检测。 |
× |
× |
√ |
√ |
√ |
√ |
|
用户密码窃取 |
检测主机中的系统账号和密码Hash值被异常获取的行为,一旦发现进行告警上报。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
× |
√ |
√ |
√ |
√ |
|
未知网络访问 |
检测对服务器未监听的端口进行访问的行为。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 |
× |
× |
× |
√ |
√ |
√ |
|
异常外联行为 |
检测到服务器存在异常外联可疑ip的行为,一旦发现进行告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
端口转发检测 |
检测到利用可疑工具进行端口转发行为,一旦发现进行告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
可疑的下载请求 |
检测到利用系统工具下载程序的可疑HTTP请求时进行告警。 支持的操作系统:Windows。 检测周期:实时检测。 |
× |
× |
√ |
√ |
√ |
× |
|
可疑的HTTP请求 |
检测到利用系统工具或进程执行远程托管脚本的可疑HTTP请求时进行告警。 支持的操作系统:Windows。 检测周期:实时检测。 |
× |
× |
√ |
√ |
√ |
× |
|
端口扫描 |
检测用户指定的端口存在被扫描或者嗅探的行为,一旦发现进行告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
√ |
√ |
√ |
|
主机扫描 |
检测网络对主机规则覆盖(包含对ICMP、ARP、nbtscan是覆盖)的扫描活动,一旦发现立即上报告警。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
√ |
√ |
√ |
|
进程注入 |
检测将恶意代码注入到正在运行的进程的行为,一旦发现立即告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
动态库注入进程 |
检测通过劫持动态链接库中的函数,从而实现白加黑注入代码的行为,一旦发现立即告警上报 。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
|
内存文件进程 |
检测通过memfd_create的系统调用,创建一个只存在于 RAM 中的匿名恶意文件,从而执行恶意文件的行为,一旦发现立即告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
√ |
√ |
√ |
√ |
√ |
