检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
告警并自动隔离 告警 告警并自动隔离 动态诱饵防护 开启动态诱饵防护后,系统会在防护目录和其他随机位置(不包括排除目录)中部署诱饵文件,在随机位置部署的诱饵文件每12小时会自动删除再重新随机部署。诱饵文件会占用小部分服务器资源,请将不希望部署诱饵文件的目录配置在排除目录内。
auto_launch_name 否 String 自启动项名称 type 否 Integer 自启动项类型 0 :自启动服务 1 :定时任务 2 :预加载动态库 3 :Run注册表键 4 :开机启动文件夹 variation_type 否 String 变更类型: add :新建 delete :删除
Integer 偏移量:指定返回记录的开始位置 host_name 否 String 服务器名称 host_ip 否 String 服务器ip file_path 否 String 防护文件 file_operation 否 String 文件操作类型 add: 新增 delete: 删除
对于危险端口,建议按如下进行处置: 如果检测到开放了危险端口或者开放了不必要的端口,需要排查这些端口是否是正常业务使用,如果不是正常业务端口,建议关闭端口;对于危险端口建议进一步检查程序文件,如果存在风险建议删除或者隔离源文件。
攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新账户。 本实践介绍通过HSS检测与修复该漏洞的建议。
容器 容器(Container)是镜像的实例,容器可以被创建、启动、停止、删除、暂停等。 容器运行时 容器运行时(Container Runtime)是Kubernetes最重要的组件之一,负责真正管理镜像和容器的生命周期。
说明: 线下IDC Agent离线30天后,主机管理页面会自动删除该主机信息。 防护状态 防护中:HSS为该服务器提供全面的安全防护。 未防护:目标未开启防护。Agent安装完成后,单击“操作”列“开启防护”可以开启防护。 防护中断:HSS防护服务器中断,未正常防护服务器。
文件/目录变更 指系统中对文件和目录的修改、删除、移动等行为,可能会对系统的稳定性、可用性和安全性产生影响。 这类告警一般需要结合其他告警(如反弹shell、异常登录、恶意软件等高危告警)分析。
对于危险端口,建议按如下进行处置: 如果检测到开放了危险端口或者开放了不必要的端口,需要排查这些端口是否是正常业务使用,如果不是正常业务端口,建议关闭端口;对于危险端口建议进一步检查程序文件,如果存在风险建议删除或者隔离源文件。
hss:assets:list - 删除集群防护策略。 hss:clusterProtect:delete - 配置应用运行时检测策略。 hss:rasp:set - 关联资产重要性。 hss:hosts:set - 关联资产管理。
破坏系统:攻击者破解弱口令入侵系统,可以对系统进行恶意攻击,如删除重要数据、植入恶意软件、恶意修改程序等,导致系统瘫痪或无法正常运行。
对于危险端口建议进一步检查程序文件,如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口,根据业务实际情况处理危险程度为“未知”的端口。 忽略风险:如果检测出的危险端口是业务正在使用的正常端口,您可以忽略该条告警。
objects 口令复杂度策略检测列表 表5 PwdPolicyInfoResponseInfo 参数 参数类型 描述 host_id String 主机id host_name String 服务器名称 host_ip String 服务器IP(私有IP),为兼容用户使用,不删除此字段
对于危险端口建议进一步检查程序文件,如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口,根据业务实际情况处理危险程度为“未知”的端口。 忽略风险:如果检测出的危险端口是业务正在使用的正常端口,您可以忽略该条告警。
告警并自动隔离 告警 告警并自动隔离 动态诱饵防护 开启动态诱饵防护后,系统会在防护目录和其他随机位置(不包括排除目录)中部署诱饵文件,在随机位置部署的诱饵文件每12小时会自动删除再重新随机部署。诱饵文件会占用小部分服务器资源,请将不希望部署诱饵文件的目录配置在排除目录内。
WeakPwdListInfoResponseInfo objects 弱口令列表 表5 WeakPwdListInfoResponseInfo 参数 参数类型 描述 host_id String 主机ID host_name String 服务器名称 host_ip String 服务器IP(私有IP),为兼容用户使用,不删除此字段
异常Shell 检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。
策略组列表 表5 PolicyGroupResponseInfo 参数 参数类型 描述 group_name String 策略组名 group_id String 策略组ID description String 策略组的描述信息 deletable Boolean 是否允许删除该策略组
图1 基线检查概览 表1 基线检查概览 参数名称 参数说明 基线检查策略 选择要查看的基线策略检测的结果,所有可选择的基线检查策略均为已添加的基线检查策略,可进行自定义创建、编辑、删除。 检测主机数 已检测的主机总数。 检测基线数 检测主机时执行的基线数。
异常shell:检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux 已启用 √ √ √ √ √ 外联检测 检测进程主动连接到外部网络的行为。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
