检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
(可选)清理风险资产。 如果您清点后发现有风险的资产请及时排除。 如果您收到危险端口告警,可以在“开放端口”栏搜索框中选择“是否危险端口”筛选出危险端口。对于危险端口,建议按如下进行处置: 如果检测到开放了危险端口或者开放了不必要的端口,需要排查这些端口是否是正常业务使用,如果不是正常业务端口,建议
、“用户组”、“用户目录”、“用户启动Shell”、“容器名称”、“容器ID”和“最近扫描时间”。 每小时自动检测 开放端口 检测容器系统中的端口,列出当前系统开放的端口列表,帮助用户识别出其中的危险端口和未知端口。 根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/
问题现象:没有权限 图2 没有权限 处理建议:执行命令的用户非root用户,请使用root用户登录服务器后,再执行安装命令。 问题现象:域名无法解析 图3 域名无法解析 处理建议:服务器无法访问Agent下载地址,需要配置华为云内网DNS地址。配置具体操作请参考修改DNS。 问题现象:/tmp磁盘不足100MB
、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 Linux、Windows 每小时自动检测 开放端口 检测主机系统中的端口,列出当前系统开放的端口列表,帮助用户识别出其中的危险端口和未知端口。 根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/
相应的实时防护能力。 如您需要保留或升级原有安全能力,建议您购买主机安全。目前支持购买企业版、旗舰版、网页防篡改版,基础版购买通道将于近期开放。主机安全各版本防护能力详情请参见版本功能特性。 基础版后续功能增强,提供更多漏洞检测、入侵检测防御能力。 如您有任何问题,可随时通过工单或者服务热线(
00.125.0.0/16网段的10180端口,请参见添加安全组规则放通该端口。 执行以下命令,确认主机DNS能否正常解析下载Agent的域名。 ping -c 1 hss-agent.区域代码.myhuaweicloud.com 命令中的区域代码,每个区域不同,各区域代码请参见地区和终端节点。
下: 报告内容: 安全总览:风险趋势 、风险分布、TOP5风险主机、TOP5暴力破解攻击来源。 风险预防:漏洞统计、资产账号变动记录、危险开放端口、弱口令。 入侵检测:风险账号、异地登录、恶意程序、网站后门、账号破解、关键文件变更。 报告生成时间: 默认周报(default weekly
操作系统分布:展示操作系统类型分布数量及占比。单击环形图占比分类,可跳转至对应的服务器列表页面。 资产清点:展示资产清点情况,包括账号、开放端口、进程、软件、自启动项、Web应用、Web服务、Web框架、Web站点、中间件、数据库和内核模块。单击各资产项数值,可跳转至对应的资产列表页面。
将默认的远程管理端口“22”、“3389”修改为不易猜测的其他端口。修改端口的操作请参见怎样修改远程登录的端口?。 设置安全组规则,限制攻击源IP访问您的服务端口 建议设置对外开放的远程管理端口(如SSH、远程桌面登录),只允许固定的来源IP进行连接。 您可以通过配置安全组规则来限制攻击源IP访问您的服务端口。如果是
影响HSS版本 单项扣分值 是否按风险个数叠加计算扣分 提高评分方法 开放端口 开放的TCP/UDP高危端口 所有版本 1 √ 建议您关闭不需要的端口,如果需要开放该端口,请前往“资产管理 > 主机指纹 > 开放端口”页面,对该端口执行忽略操作。 未开启资产发现 未开启资产发现策略
URI-scheme: 表示用于传输请求的协议,当前所有API均采用HTTPS协议。 Endpoint: 指定承载REST服务端点的服务器域名或IP,不同服务不同区域的Endpoint不同,您可以从地区和终端节点获取。 例如IAM服务在“华北-北京四”区域的Endpoint为“iam
Account创建 容器逃逸 容器高危系统调用、Shocker攻击、DirtCow攻击、容器文件逃逸攻击 容器信息模块 容器命名空间、容器开放端口、容器安全选项、容器挂载目录 容器进程白名单 容器进程异常事件上报 无文件攻击检测 进程注入、动态库注入、内存文件进程 文件保护 文件目录变更、关键文件变更、文件提权
将默认的远程管理端口“22”、“3389”修改为不易猜测的其他端口。修改端口的操作请参见怎样修改远程登录的端口?。 设置安全组规则,限制攻击源IP访问您的服务端口 建议设置对外开放的远程管理端口(如SSH、远程桌面登录),只允许固定的来源IP进行连接。 您可以通过配置安全组规则来限制攻击源IP访问您的服务端口。如果是
动修复,您可以参考漏洞详情界面提供的修复建议手动修复漏洞。 忽略漏洞 某些漏洞只在特定条件下存在风险,比如某漏洞必须通过开放端口进行入侵,如果主机系统并未开放该端口,则该漏洞不存在危害。如果评估后确认某漏洞暂时无害,可以忽略该漏洞。 添加漏洞白名单 如果确认漏洞不会对您的业务造成
该漏洞,请优先排查修复。 Linux DirtyPipe权限提升漏洞(CVE-2022-0847) 如果漏洞影响的软件未启动或启动后无对外开放端口,则实际风险较低,可滞后修复。 应用漏洞 HSS不支持扫描如用友、金蝶等商用软件的漏洞,因此商用软件漏洞您需要自行排查。 如果Web服
否,请对攻击源主机进行网络隔离,并立即进行安全排查。 端口扫描/主机扫描 端口扫描 一种常见的网络侦查技术,攻击者使用特定的工具或程序向目标主机发送数据包,以确定目标主机上开放的端口和正在运行的服务。 主机扫描 指攻击者使用各种工具和技术,对目标主机的操作系统、服务和应用程序等信息进行侦查和枚举,以确定潜在的漏洞和攻击路径。
ux主机。 严格控制系统管理员账户的使用范围,为应用和中间件配置各自的权限和并严格控制使用范围。 使用安全组定义访问规则,根据业务需求对外开放端口,对于特殊业务端口,建议设置固定的来源IP(如:远程登录)或使用VPN、堡垒机建立自己的运维通道,详细操作请参见安全组规则。 Windows加固建议
状态码: 200 表4 响应Body参数 参数 参数类型 描述 account_num Long 主机账号数量 port_num Long 开放端口数量 process_num Long 进程数量 app_num Long 软件数量 auto_launch_num Long 自启动进程数量
将检测结果于每日上午10:00发送给您添加的手机号或者邮箱。 表2 每日告警通知 通知项 通知内容 通知内容说明 资产管理 危险端口 检测开放了的危险端口或者不必要的端口,通知用户及时排查这些端口是否用于正常业务。 未安装Agent 检测当前账号未安装企业主机安全Agent的服务
”: 收敛互联网暴露面:定期扫描外部端口,保证公开范围最小化。 加强网络访问控制:各企业应具有明确的网络安全区域划分、访问限制规则,最小化开放访问权限,及时更新访问控制规则。 加强账号权限管控:通过身份管理、细粒度权限控制等访问控制规则为企业不同角色分配账号并授权,同时应提升特权
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
