检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
攻击来源。 风险预防:漏洞统计、资产账号变动记录、危险开放端口、弱口令。 入侵检测:风险账号、异地登录、恶意程序、网站后门、账号破解、关键文件变更。 报告生成时间: 默认周报(default weekly security report):每周一06:00~12:00,生成统计周
退订“包年/包月”计费模式的企业主机安全配额 包年/包月计费模式的企业主机安全配额支持退订。 购买的配额(不包含未生效资源)在开通5天内,且当年已退订资源未超过10个,华为云支持5天无理由全额退款。 购买的配额超过5天后退订会收取手续费、已消费金额,不退还已使用代金券和折扣券。 退订规则详细说明请参见退订规则说明
如果系统预置的HSS权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参见HSS授权项说明。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1027。 检测与修复建议 华为云企业主机安全支持对该漏洞的便捷检测与修复。 检测并查看漏洞详情,详细的操作步骤请参见查看漏洞详情。 图1 手动检测漏洞 漏洞修复与验证,详细的操作步骤请参见漏洞修复与验证。
> 配置概览”,单击安全服务“修改”,先关闭安全服务,再开启安全服务,重试为所有节点开启防护。 系统异常,请联系技术人员解决问题。 请您在华为云管理控制台的右上角,单击“工单 > 新建工单”,通过工单向技术人员寻求帮助。 父主题: 容器安全
所使用的配置文件。 --audit-log-path:指定用来写入审计事件的日志文件路径。不指定此标志会禁用日志后端。 --audit-log-maxsize:定义审计日志文件轮转之前的最大大小(兆字节)。 --audit-log-maxage:定义保留旧审计日志文件的最大天数。
String 服务器名称 host_ip 否 String 服务器ip file_path 否 String 防护文件 file_operation 否 String 文件操作类型 add: 新增 delete: 删除 modify: 修改内容 attribute: 修改属性 请求参数
Engine版本在18.06.0及以上。 Docker API版本在1.38以及以上。 仅支持Linux操作系统。 仅支持x86和Arm硬件架构。 目前仅支持华为云线上服务器安装本插件。 父主题: 插件配置
告警。 文件逃逸攻击 文件逃逸攻击是指攻击者利用文件系统或应用程序漏洞,绕过文件权限限制,访问或修改未经授权的文件或目录。 HSS监控发现容器进程访问了宿主机系统的关键文件目录(例如:“/etc/shadow”、“/etc/crontab”),则认为容器内发生了逃逸文件访问,触发
检测使用了危险类的反序列化攻击。 文件目录遍历 文件目录遍历指的是攻击者通过修改URL或使用特殊字符绕过应用程序的安全检查,访问或读取服务器上的任意文件或文件夹。 FileDirAccess 获取访问文件的路径或目录,匹配是否在敏感目录或敏感文件下。 Struts2 OGNL Struts2
在线修复漏洞时,需要连接Internet,通过外部yum源提供漏洞修复服务。如果服务器无法访问Internet,或者外部yum源提供的服务不稳定时,可以使用华为云提供的镜像源进行漏洞修复。 内核老版本存留 由于内核升级比较特殊,一般都会有老版本存留的问题。您可通过执行修复命令查看当前使用的内核版本
开启勒索备份 为了进一步提升您主机的勒索病毒防御能力,降低主机被勒索后的业务损失风险,建议您开启勒索防护备份,定期为服务器备份数据。 约束与限制 仅华为云主机支持勒索备份功能。 步骤一(可选):购买备份存储库 如果您未购买备份存储库,您可以参考本节在HSS控制台购买备份存储库,也可以前往云
HSS不支持跨区域使用,如果您购买了与主机不在同一区域的配额,请退订配额后重新购买主机所在区域的配额。 仅部分区域支持非华为云主机通过公网接入HSS,具体区域请参见哪些区域支持接入非华为云主机?。请在支持接入非华为云主机的区域购买主机防护配额 华北-北京一 版本规格 支持购买的版本有“基础版”、“专业版”、
Windows:web\test 排除文件类型 排除防护目录下不需要防护的文件类型,例如log类型的文件。 文件类型只能输入字母、数字,最多可添加10个文件类型,每个文件类型长度不能超过10个字符,多个文件类型以英文分号隔开。 为实时记录主机中的运行情况,请排除防护目录下log类型的文件,您可以为日志文件添加等
如何防御勒索病毒攻击? 勒索病毒一般通过挂马、邮件、文件、漏洞、捆绑、存储介质进行传播,且勒索病毒攻击发展迅速,目前没有任何工具能100%的防护服务器免受攻击。 建议您合理使用勒索病毒防护工具(如企业主机安全),并提升自身的“免疫力”,以消减勒索攻击造成的损害。 详细操作请参考企业主机安全勒索防护最佳实践。
几类: 致命:恶意程序等 高危:勒索攻击、恶意程序、反弹shell、逃逸攻击、危险命令等 中危:Webshell、异常启动、进程异常、敏感文件访问等 低危:暴力破解等 为避免有中危及以上安全风险容器影响其他容器的正常运行和使用,您可以通过隔离、暂停或停止容器的方式处置风险容器。 约束限制
配置容器集群防护策略 您可以根据自身业务情况,配置容器集群防护策略,例如配置触发告警的风险(基线、漏洞、恶意文件)等级、容器集群防护范围、镜像白名单以及告警事件发生后HSS执行的防护动作等。 创建防护策略 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
程树。进程树信息包含进程ID、进程文件路径、进程命令行、进程启动时间、进程文件hash等信息,您可以根据这些进程信息定位恶意进程。 文件取证信息:当告警事件含文件信息时,调查取证栏目会展示文件取证信息。文件取证信息包含文件路径、文件hash、文件操作类型、用户信息(瞬时进程可能获
主机购买并开启HSS防护后,当主机被植入木马时,会触发HSS发送“木马”告警。您需要自行判断检测出的木马告警文件是正常业务文件,还是攻击者运行的恶意文件。如果确认为攻击事件,建议您对恶意文件进行隔离查杀。 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1020。 检测与修复建议 华为云企业主机安全支持对该漏洞的便捷检测与修复。 检测并查看漏洞详情,详细的操作步骤请参见查看漏洞详情。 图1 手动检测漏洞 漏洞修复与验证,详细的操作步骤请参见漏洞修复与验证。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
