检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
主机管理”,进入“云服务器”界面。 如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 在云服务器列表右上方单击“导出”,导出云服务器列表详情。 如需导出部分服务器信息,请勾选对应的服务器,然后单击“导出”。 当前云服
0升级至Agent2.0需要在企业主机安全(旧版)控制台中操作,升级后您将在企业主机安全(新版)继续查看、管理主机防护状态,企业主机安全(旧版)将停止检测、防护。 如何判断是否已升级 判断服务器是否升级需要在企业主机安全(旧版)控制台查看服务器的“Agent状态”。 登录管理控制台。 在页面
恶意软件 护网场景下企业主机安全检测出病毒、木马、黑客工具、Webshell类型的恶意软件居多,其中黑客工具类型尤其多,因此请重点关注这些类型的恶意软件告警。 发现恶意软件类告警即表示告警主机大概率被攻破,请按以下方式处理: 立即进行安全排查。 对告警主机进行网络隔离,防止横向扩散。 反弹Shell
第三方云主机、线下IDC通过专线和VPC终端节点接入HSS的流程如下: 创建专线连接 第三方服务器如果不能访问公网,需要创建专线连接云上VPC,实现网络互通。 创建VPC终端节点 创建VPC终端节点,用于实现第三方服务器通过华为云内网访问HSS。 获取项目ID 获取VPC终端节点所在的项目ID,用于制作安装命令。
创建专线连接 第三方服务器如果不能访问公网,需要创建专线连接云上VPC,实现网络互通。 创建代理服务器 需要创建一台云上服务器,作为代理服务器,连接第三方服务器。 为代理服务器安装Agent 为代理服务器安装Agent,确保网络的畅通,辅助配置nginx的参数。 为代理服务器安装配置nginx
查看网页防篡改防护事件 开启静态网页防篡改防护后,企业主机安全将立即对您添加的防护目录执行全面的安全检测。您可以查看所有主机防护文件被非法篡改的记录。 前提条件 云服务器的“Agent状态”为“在线”且“防护状态”为“开启”。 已开启网页防篡改。 查看网页防篡改防护事件 登录管理控制台。
处置风险容器 操作场景 企业主机安全支持检测容器安全风险,并将容器安全风险分为以下几类: 致命:恶意程序等 高危:勒索攻击、恶意程序、反弹shell、逃逸攻击、危险命令等 中危:Webshell、异常启动、进程异常、敏感文件访问等 低危:暴力破解等 为避免有中危及以上安全风险容器
主机已开启HSS专业版/企业版/旗舰版/网页防篡改版/容器版防护。详细操作请参见HSS接入概述。 判定漏洞修复的紧急程度 如果您的资产中,检测出多个漏洞时,您可以通过如下方式综合判断漏洞修复的紧急程度,优先修复紧急程度高、会对服务器造成影响的漏洞。 通过漏洞修复优先级判定 您可以
的运行。 缓存服务端静态网页 不支持特权进程管理 动态网页 提供tomcat应用运行时自我保护,能够检测针对数据库等动态数据的篡改行为。 不支持 备份恢复 主动备份恢复 如果检测到防护目录下的文件被篡改时,将立即使用本地主机备份文件自动恢复被非法篡改的文件。 远端备份恢复 如果本
录说明请参见表 历史变动记录说明。 如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 图1 主机资产历史变动记录 表1 历史变动记录说明 资产类型 历史变动记录说明 账号 记录新建、删除账号,修改账号名、管理员权限或用户组等信息的变动。
开启容器集群防护 容器集群防护可在容器镜像启动时检测其中存在的基线、漏洞和恶意文件风险,并支持告警和阻断不安全容器镜像的运行。您可以开启容器集群防护,提升容器集群的风险防御能力,保护容器资产安全。 约束限制 开启容器集群防护后,需要配置防护策略才能成功启动集群防护,配置防护策略操作请参见配置容器集群防护策略。
HSS是否支持病毒查杀? 企业主机安全 HSS支持检测恶意程序、勒索病毒等入侵威胁。 对于恶意进程和进程异常行为:HSS支持手动隔离查杀,详细操作请参见处理告警事件。 对于勒索病毒:HSS为您提供了防勒索解决方案,帮助您从勒索病毒入侵前、入侵时和入侵后全方位应对勒索病毒,详情请参见勒索病毒防护。
程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,如果隔离查杀有误报,您可以执行取消隔离/忽略操作。 在“恶意程序隔离查杀”界面,如果不开启“恶意程序隔离查杀”功能,当HSS检测到恶意程序时,将会触发告警。 您可以在“检测与响应”的“安全告警事件”中,查看“恶意程序”中的告警信息,并对恶意程序进行隔离查杀。
动态端口蜜罐概述 什么是动态端口蜜罐? 动态端口蜜罐功能是一个攻击诱捕陷阱,利用真实端口作为诱饵端口诱导攻击者访问;在内网横向渗透场景下,可有效地检测到攻击者的扫描行为,识别失陷主机,延缓攻击者攻击真正目标,从而保护用户的真实资源。 用户可选择系统推荐端口或自定义端口开启动态端口蜜罐,诱
容器集群防护插件卸载失败怎么办? 故障原因 当集群网络异常或插件正在工作时,通过HSS控制台卸载插件可能会失败。 解决措施 在任一集群节点执行如下操作,即可卸载容器集群防护插件。 登录任一集群节点。 在/tmp目录下新建plugin.yaml文件,并将如下脚本内容拷贝至plugin
Linux:集群入侵检测、webshell检测、文件保护、HIPS检测、登录安全检测、恶意文件检测、端口扫描检测、进程异常行为、root提权、实时进程、rootkit检测。 Windows:AV检测、webshell检测、HIPS检测、登录安全检测、实时进程。 容器版 集群入侵检测、容器逃逸
经典弱口令 检测MySQL、FTP及系统账号的弱口令。 入侵检测 未分类恶意软件 对运行中的程序进行检测,识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 Rootkits 检测服务器资产,对可疑的内核模块和可疑的文件或文件夹进行告警上报。 勒索软件 检测来自网页、软件
防护设置”,进入“防护设置”页面。 如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 图1 查看防护设置 单击“添加防护服务器”,在弹窗中选择需要防护的服务器和策略。 防护策略可自定义创建,未创建选择默认策略即可。 图2
容器管理” ,进入“容器管理”页面。 如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 选择“容器”,进入容器页签。 查看容器信息和安全状态。 您可以在容器列表查看容器名称、状态、是否有安全风险,重启次数、所属POD、所属集群、集群类型等相关信息。
资产概览”,进入资产概览总览页,查看资产状态和资产清点情况。 如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 资产分布:展示主机节点、容器节点分布数量。单击环形图占比分类,可跳转至对应的节点服务器列表页面。 Agent状态:展示Agent在
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
