检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
修复漏洞 HSS默认每周自动进行一次全面的漏洞扫描,如果您需要立即扫描主机漏洞也可以手动扫描,待漏洞扫描完成后,可查看并修复漏洞。 前提条件 请确保修复漏洞时,您的业务处于低峰期或特定的变更时间窗。 修复说明 Linux、Windows漏洞 如下是近两年在攻防演练中被红队利用最频
管理应用防护策略 操作场景 应用防护策略支持添加、编辑、删除,具体使用场景如下: 添加:企业主机安全提供了“默认策略”,其中包含应用防护全量检测规则,具体请参见检测能力。如果您需要为服务器定制防护策略,可单独添加防护策略,对策略中的检测规则项及规则配置进行自定义选择和设置。 编辑
文件目录变更、关键文件变更、文件提权 HIPS检测 Windows Defender防护被禁用、可疑的黑客工具、可疑的勒索加密行为、隐藏账号创建、读取用户密码凭据、可疑的SAM文件导出、可疑shadow copy删除操作、备份文件删除、可疑勒索病毒操作注册表、可疑的异常进程行为、可疑的扫描探测、
漏洞需立即修复。 漏洞修复优先级是由漏洞最高CVSS分值、漏洞发布时间和漏洞影响的资产重要性进行加权计算得出,反映了漏洞修复的紧急程度。 默认情况下资产重要性为“一般资产”,您可以为服务器关联匹配的重要等级,详细操作请参考管理服务器重要性。 漏洞修复优先级主要分为紧急、高、中、低
设置网络防御策略(VPC网络模型集群) VPC网络模型的集群支持通过设置网络防御策略限制访问容器宿主服务器的流量。当未配置安全组规则时,默认所有进出容器宿主服务器的流量都被允许。 本章节介绍如何为VPC网络模型的集群设置网络防御策略。 创建网络防御策略 登录管理控制台。 在页面左
目标策略组指的是您需要开启企业主机安全自保护的服务器所属策略组。 如果您未新建新的旗舰版策略组,那您的服务器都以系统默认的旗舰版策略组进行防护,您选择系统默认的旗舰版或网页防篡改版策略组“tenant_XXX_XXX_default_policy_group”即可。 如果您新建
选择的是“消息主题”,则参照消息主题修改手机号或邮箱。 图1 告警方式 消息中心 登录管理控制台。 进入消息中心,新增或修改“消息中心”中接收告警通知的邮箱、手机号。 告警通知默认发送给账号联系人,修改接收配置可到“消息中心 > 消息接收配置 > 安全消息 > 安全事件通知”,新增或修改接收人,具体操作请参见修改指定消息接收人。
手动执行基线检查:如需查看指定服务器的实时基线风险,或者进行口令复杂度策略检测,您可以手动执行基线检查。 自动执行基线检查 企业主机安全默认每日凌晨01:00左右将自动进行一次全量服务器的配置检查和经典弱口令检测。 HSS旗舰版、网页防篡改版、容器版可自定义配置检查的自动检测周期,配置操作详情请参见配置检测。
配置远端备份 配置远端备份服务器后,HSS会在防护目录下的文件发生变化时触发备份;HSS默认会将防护目录下的文件备份在“添加防护目录”时添加的本地备份路径下(被排除的子目录和文件类型不会备份),为防止备份在本地的文件被攻击者破坏,请您启用远端备份功能。 如果本地主机上的文件目录和
选择无需发送告警的屏蔽事件。关于告警通知项详细说明,请参见告警通知项说明。 选择设置的告警方式,“消息中心”或者“消息主题”告警通知方式。 选择“消息中心”。 告警通知默认发送给账号联系人,新增或修改接收人,请前往“消息中心 > 消息接收配置 > 安全消息 > 安全事件通知”进行修改,具体操作请参见修改指定消息接收人。
设置网络防御策略(云原生网络2.0模型集群) 云原生网络2.0模型的集群支持通过设置网络防御策略限制访问容器宿主服务器的流量;当未配置安全组策略时,默认所有进出容器宿主服务器的流量都被允许。 本章节介绍如何为云原生网络2.0模型的集群创建网络防御策略。 创建网络防御策略 登录管理控制台。
选择安装方式。 选择网络模式:公网接入 选择服务器操作系统:Linux 选择安装数量:批量 选择服务器验证模式:根据服务器验证模式,选择“账号密码方式”或“密钥方式”。 根据界面提示,安装Agent。 在任一服务器执行如下操作即可。 单击控制台界面“安装主机安全Agent”对话框中“linux-host-list
在左侧导航树选择“安装与配置 > 插件配置”,进入插件配置页面,查看插件列表详情。插件列表参数说明请参见表 Docker插件列表参数说明。 插件列表默认展示所有服务器,如果服务器安装了插件,插件列表会展示插件的详细信息,如果服务器未安装插件,插件信息为空。 表1 Docker插件列表参数说明
管理服务器重要性 HSS默认所有服务器为一般资产,您可以为服务器关联匹配的资产重要等级,关联后,您可通过资产重要等级对服务器进行分类管理。 资产重要等级分类如下: 重要资产:一般绑定运行业务或数据均为企业核心资产的服务器。 一般资产:一般绑定无重要业务运行、无核心资产的服务器。
创建自定义策略组 操作场景 对于旗舰版、容器版策略组,支持通过复制的方式创建自定义策略组,您可以部署自定义策略组替换默认策略组,以匹配不用应用场景的主机安全需求。 创建自定义策略组 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
时,极易被攻击方通过弱口令完成入侵,因此弱口令风险需要优先修复。 当前HSS支持SSH、FTP、MYSQL类型弱口令,系统中应用的弱口令或默认口令需要您自行排查,如nacos、weblogic等。 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
变更”、“登录成功”和“Crontab可疑任务”事件。 文件/目录变更、登录成功、Crontab可疑任务 选择告警方式 消息中心 告警通知默认发送给账号联系人的消息中心,如需修改接收人请参见修改指定消息接收人。 消息主题 单击下拉列表选择已创建的主题,或者单击“查看消息通知服务主
企业项目ID,查询所有企业项目时填写:all_granted_eps host_id 否 String Host ID category 否 String 类别,默认为host,包含如下: host:主机 container:容器 请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token
查询主机静态网页防篡改防护动态 功能介绍 查询主机静态网页防篡改防护动态:展示服务器名称、服务器ip、防护策略、检测时间、防护文件、事件描述信息 调用方法 请参见如何调用API。 URI GET /v5/{project_id}/webtamper/static/protect-history
HSS为什么没有检测到攻击? 如果您的主机在开启HSS之前已被入侵,HSS可能无法检测出来。 如果您购买了企业主机安全配额但是没有开启防护,HSS无法检测出来。 HSS主要是防护主机层面的攻击,如果攻击为web层面攻击,无法检测出来。建议咨询安全SA提供安全解决方案,或者推荐使用安全的其他产品(WAF,DDOS等)。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
