检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
确认学习结果 HSS学习完白名单策略关联的服务器后,输出的学习结果中可能存在一些特征不明显的可疑进程需要再次进行确认,您可以手动或设置系统自动将这些可疑进程确认并分类标记为可疑、恶意或可信进程。 学习结果确认方式,在创建白名单策略时可设置: “学习结果确认方式”选择的“自动确认可
重新学习服务器 如果已完成进程白名单扩展,但仍然存在较多可信进程运行误报或您的服务器业务存在变更,您可以设置HSS重新学习服务器,校准HSS的应用进程情报数据,避免误报。 重新学习服务器 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
配置登录登出后,不显示用户名称。 打开控制面板。 选择“管理工具 > 本地安全策略”。 在“本地安全策略”窗口中,选择“本地策略 > 安全选项”。 双击“交互式登录:不显示最后的用户名”。 在弹出的“交互式登录:不显示最后的用户名”属性窗口中,选择“启用”,并单击确定。 口令安全加固
应用进程控制”,进入“应用进程控制”界面。 选择“白名单策略”页签。 在目标策略所在行的操作列,单击“开启防护”。 您也可以批量选中所有目标策略,在策略列表左上方,单击“开启防护”,批量为多个策略开启防护。 在开启防护弹窗中,单击“确定”。 在策略列表中,查看目标策略的策略状态为“学习完成,防护中”,表示开启应用进程防护成功。
查看并处理可疑进程 在服务器防护过程中,如果HSS发现服务器中存在可疑进程运行事件,会将其展示在可疑进程运行事件列表中,但不会告警;对于可疑进程运行事件,由于HSS根据学习到的应用进程特征无法判断其是否可信,因此需要您根据实际情况判断并将可疑进程手动加入进程白名单,避免可信进程运行被持续告警。
征。 在目标策略所在行的操作列,单击“关闭防护”。或者批量选中所有目标策略,并在策略列表左上方单击“关闭防护”,批量为多个策略关闭防护。 单击“确定”。 关闭防护,并删除HSS学习到的服务器应用进程特征。 在目标策略所在行的操作列,单击“删除”。 单击“确定”。 在策略列表中,查看目标策略。
白名单策略名称 系统默认会生成白名单策略名称,建议您自定义修改,后续方便区分和管理。 test 智能学习天数 HSS学习服务器应用进程的天数。学习天数越多,学习结果越准确。 7 学习结果确认方式 当HSS学习完策略关联的服务器后,对于特征不明显可疑进程的确认方式。 自动确认可疑进程:HSS根据
应用进程控制 应用进程控制概述 创建白名单策略 确认学习结果 开启应用进程控制防护 查看并处理可疑进程 扩展进程白名单 重新学习服务器 关闭应用进程控制防护 父主题: 主机防御
表1 应用进程控制使用流程说明 操作项 描述 创建白名单策略 白名单策略是管理HSS学习服务器行为和应用进程防护动作的规则,只有关联了白名单策略的服务器才能开启应用进程防护。 确认学习结果 HSS学习完服务器中的应用进程后,可能存在某些可疑应用进程的特征不明显,HSS无法完全定义为
可被添加在多个登录地中。 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。 选择“安装与配置 > 主机安装与配置 > 安全配置 > 常用登录地”,单击“添加常用地登录”。 在弹出的对话框中依次选择地理位置、国家名称、城
对于策略关联的服务器,如果您认为HSS学习到的应用进程比HSS扫描到的进程指纹少且可疑进程告警事件较多,您可以配置HSS扩展进程白名单,通过比对HSS已学习的应用进程和资产指纹功能扫描到的对应服务器的资产指纹,进一步扩展HSS应用进程情报库,补充可信进程白名单。 扩展进程白名单 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规
可视化的管理平台,便于您集中下发配置信息,查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎,深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务,并转发给安装在服务器上的Agent。 接收
确认为攻击事件,建议您对挖矿程序进行隔离查杀。 在待处理告警中,选择“恶意软件 > 挖矿软件”。 图1 挖矿软件告警 在右侧告警列表中,单击告警事件的告警名称,可查看告警的详细信息。 在告警列表中,单击告警“操作”列的“处理”。 在弹出的对话框中,“处理方式”选择“隔离查杀”。
支持的操作系统:Linux、Windows。 检测周期:实时检测。 × × × √ √ √ 文件目录遍历 获取访问文件的路径或目录,匹配是否在敏感目录或敏感文件下。 支持的操作系统:Linux、Windows。 检测周期:实时检测。 × × × √ √ √ Struts2 OGNL
deleteAppWhitelistPolicyHost 白名单策略添加主机 hss addAppWhitelistPolicyHost 操作白名单策略学习状态 hss switchAppWhitelistPolicyLearnStatus 新增进程白名单策略进程 hss addAppWhitelistPolicyProcess
操作频繁,请等待2分钟后再次同步 操作频繁,请等待2分钟后再次同步 请稍后重试 400 HSS.1069 白名单可信进程数为0,请重新学习后再开启防护 白名单可信进程数为0,请重新学习后再开启防护 请参照错误提示处理 400 HSS.1070 病毒查杀按次计费开关未开启 病毒查杀按次计费开关未开启 请开启病毒查杀按次计费开关
近7天内任意时间段的操作事件。 您可以参考云审计服务应用示例,来学习如何查询具体的事件。 在事件列表页面,您还可以导出操作记录文件、刷新列表、设置列表展示信息等。 在搜索框中输入任意关键字,按下Enter键,可以在事件列表搜索符合条件的数据。 单击“导出”按钮,云审计服务会将查询结果以
可视化的管理平台,便于您集中下发配置信息,查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎,深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务,并转发给安装在服务器上的Agent。 接收
针对主机和容器存在的风险生成安全报告供用户查看。 发布区域:全部。 免费体检 恶意程序隔离查杀 HSS采用先进的AI、机器学习等技术,并集成多种杀毒引擎,深度查杀主机中的恶意程序。 开启“恶意程序隔离查杀”后,HSS对识别出的后门、木马、蠕虫等恶意程序,提供自动隔离查杀功能,帮助用户自动识别处理系统存在的安全风险。
Agent状态显示在线,表示Agent安装成功。 步骤三:开启防护 在企业主机安全控制台左侧导航栏选择“资产管理 > 主机管理”,进入云服务器列表页面。 在目标服务器所在行的“操作”列,单击“开启防护”。 在“开启防护”弹窗中,选择开启方式。 表3 开启防护参数设置 参数 示例
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
