检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
支持的操作系统:Linux、Windows。 隔离查杀:部分异常进程支持手动隔离查杀。 高危命令执行 您可以在“策略管理 > 实时进程”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。 支持的操作系统:Linux、Windows。 异常Shell
查看并处理经典弱口令检测结果 选择“经典弱口令检测”页签,查看服务器中存在风险的弱口令账号的统计,参数说明如表 经典弱口令检测参数说明所示。 图6 查看经典弱口令检测 表4 经典弱口令检测参数说明 参数名称 参数说明 服务器名称/IP地址 被检测的服务器名称及公网/私网IP地址。 账号名称 目标服务器中被检测出是弱口令的账号。
正式应用:经过多轮的策略调优后,当命中结果已趋于稳定,误报基本不存在时,可以在更多主机上应用。 图1 文件保护策略 表2 文件保护策略内容参数说明 策略模块 参数 默认参数取值 说明 文件提权检测 启用 开启 是否开启文件提权检测。 :开启。 :关闭。 忽略的文件路径 /usr/lib64/hal/hald-runner
确认无误,单击“下一步”,配置备份数据保留规则,选择不同的保留类型会配置不同的参数。 “保留类型”:“按数量” 配置备份规则参数说明如表 按数量配置保留规则参数说明所示。 图3 按数量配置保留规则 表2 按数量配置保留规则参数说明 参数名称 参数说明 取值样例 配置详情 配置保留最新备份的数量。 须知:
单击目标防护策略操作列的“编辑”,弹出防护策略编辑页面,对策略信息和关联服务器进行编辑,参数说明如表1所示。 以下以Linux为例。您也可以在“防护服务器”页面,单击服务器关联的防护策略名称,编辑防护策略。 表1 防护策略参数说明 参数名称 参数说明 取值样例 防护策略名称 设置防护策略的名称。 test 防护动作
私网自建集群接入HSS过程中,在集群上执行镜像上传命令上传镜像到私有镜像仓失败,报错“http: server gave HTTP response to HTTPS client”,如图 上传失败所示。 图1 上传失败 解决办法 使用如下命令,替换镜像上传命令中的“docker manifest
单。 图9 容器进程白名单策略 表8 容器进程白名单参数说明 图9中参数编号 参数 示例 说明 ① 动态白名单 开启动态白名单,HSS对容器进程的检测机制如下:HSS默认容器是单进程模型,即容器只运行容器启动参数中配置的进程命令行。HSS会在容器启动时,自动识别容器启动的entr
在“容器资产接入与安装”对话框中,单击“复制镜像上传命令”,复制命令,并在集群节点上执行该命令。 图5 复制镜像上传命令 命令执行后界面回显如图 镜像仓上传成功所示,表示上传成功。 图6 镜像仓上传成功 单击“下一步”。 配置集群接入信息,并单击“生成命令”。接入信息相关参数说明如表 配置接入信息参数说明所示。 图7
登录控制台,进入创建虚拟私有云页面。 在“创建虚拟私有云”页面,根据页面提示配置VPC和子网的参数。 建议参考表1所示设置部分参数,其余参数保持默认。关于创建虚拟私有云更详细的参数介绍请参见创建虚拟私有云和子网。 表1 创建虚拟私有云参数说明 参数名称 参数说明 取值样例 区域 不同区域的云服务产品之间内网互不相通
选择“脚本控制台”页签。 图1 进入脚本控制台 配置脚本运维信息。相关参数说明请参见表 脚本运维参数说明。 图2 配置脚本运维信息 表1 脚本运维参数说明 参数 说明 执行脚本 选择脚本“HSS-Agent.sh”。 脚本参数 不填写。 执行账户 单击“选择”,选择待安装Agent的主机账户或账户组。
选择“非CCE集群(公网接入)”,并单击“开始配置”。 配置集群接入信息,并单击“生成命令”。接入信息相关参数说明如表 配置接入信息参数说明所示。 图1 配置集群接入信息 表1 配置接入信息参数说明 参数名称 参数说明 集群名称 填写接入的集群名称。 服务商 选择集群所属的服务商。目前支持接入以下服务商的集群:
单击“接入三方镜像仓”,弹出“接入三方镜像仓”对话框。 根据页面提示, 填写接入所需信息。各项参数说明请参见表 接入镜像仓参数说明。 图1 接入三方镜像仓 表1 接入镜像仓参数说明 参数名称 参数说明 取值样例 选择承载集群 选择承载镜像仓的集群。 cluster01 扫描组件获取方式
表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 租户企业项目ID 请求参数 表3 请求Header参数 参数 是否必选
等)连接您服务器的弹性IP,远程登录到您的服务器。 在命令窗口执行关闭命令。 临时关闭 在命令窗口执行以下命令临时关闭SELinux。 setenforce 0 在重启系统后将恢复开启状态。 永久关闭 在目录窗口执行以下命令,编辑SELinux的config文件。 vi /etc/selinux/config
文件完整性管理”,进入文件完整性管理界面,查看文件变更概况。 可选择目标企业项目进行筛选。 图1 进入文件管理界面 表1 文件变更概况参数说明 参数名称 参数说明 服务器统计 存在文件变更的服务器数量统计。 变更统计 总变更数:所有文件和注册表变更的总数量。 文件数:所有文件变更的数量。
格,内存需选择8GiB或以上规格。 代理服务器的镜像需选择:可使用yum命令的Linux镜像;推荐使用HCE镜像。 创建代理服务器 登录控制台,进入购买弹性云服务器页面。 在购买弹性云服务页面,设置购买参数。 CPU架构:此处示例选择“x86计算”。 实例:此处示例选择“c6.xlarge
/v5/{project_id}/ransomware/protection/policy 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 企
From user; 部分MySQL数据库版本可能不支持以上查询命令。 若执行以上命令没有获取到用户密码信息,请执行命令。 SELECT user, host password From user; 执行以下命令,根据查询结果及弱密码告警信息,修改具体用户的密码。 SET PASSWORD
container:容器 请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值) 响应参数 状态码: 200 表4
container:容器 请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值) 响应参数 状态码: 200 表4
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
