检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
用于远端备份的服务器,需满足以下条件: 华为云Linux服务器。 “服务器状态”为“运行中”。 已安装HSS的Agent且“Agent状态”为“在线”。 Linux备份服务器与防护服务器间网络可通时即可使用远程备份功能,但为保证备份功能的正常工作,建议您将同一内网中的服务器设置为备份服务器。
在风险建议删除或者隔离源文件。 如果检测出的危险端口是业务正在使用的正常端口,您可以忽略该条告警。忽略之后将不再作为危险项进行记录,也不再发送告警。 常见危险端口如危险端口列表所示。 查看单服务器的主机资产信息 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 >
2.9及以上版本时支持扫描应急漏洞。升级Agent请参见升级主机Agent。 目标服务器“服务器状态”为“运行中”,“Agent状态”为“在线”,“防护状态”为“防护中”,否则无法进行漏洞扫描。 企业主机安全各版本支持扫描的漏洞类型请参见支持扫描和修复的漏洞类型。 Linux漏洞
l helper的协议流中。受影响Git版本对恶意URL执行git clone命令时,会触发此漏洞,攻击者可利用恶意URL欺骗Git客户端发送主机凭据。 本实践介绍通过HSS检测与修复该漏洞的建议。 SaltStack远程命令执行漏洞(CVE-2020-11651/CVE-2020-11652)
主机执行漏洞修复。 在线修复主机漏洞时,需要连接Internet,通过外部镜像源提供漏洞修复服务。 Linux系统:如果主机无法访问Internet,或者外部镜像源提供的服务不稳定时,可以使用华为云提供的镜像源进行漏洞修复。为了保证漏洞修复成功,请在执行在线升级漏洞前,确认主机中
您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 查看并处理“挖矿软件”告警。 当主机被植入挖矿程序时,会触发HSS发送“挖矿软件”告警。您需要自行判断检测出的挖矿告警文件是正常业务文件,还是攻击者运行的恶意文件。如果确认为攻击事件,建议您对挖矿程序进行隔离查杀。
agent_status String Agent状态,包含如下5种。 installed :已安装。 not_installed :未安装。 online :在线。 offline :离线。 install_failed :安装失败。 installing :安装中。 protect_status String
请检查参数是否正确 400 HSS.1005 无效的策略信息 无效的策略信息 请检查参数是否正确 400 HSS.1006 发送Agent指令信息失败 发送Agent指令信息失败 请联系技术支持 400 HSS.1007 Agent离线 Agent离线 请启动agent 400 HSS
图2 填写服务器验证信息。 单击“确定”,Agent开始安装。 选择“已安装主机”页面,筛选查看目标服务器Agent状态。 Agent状态显示在线,表示Agent安装成功。 步骤三:开启防护 在企业主机安全控制台左侧导航栏选择“资产管理 > 容器管理”,进入容器管理页面。 在目标服务
在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。 排查进程异常行为,如果出现主机挖矿行为,会触发HSS发送“进程异常行为”告警。 选择“检测与响应 > 安全告警事件 > 主机安全告警 ”,选择“系统异常行为 > 进程异常行为”,查看并处理发生的
建容器失败 "get_container_info_failed":获取容器信息失败 "docker_offline":docker引擎不在线 "get_docker_root_failed":获取容器根文件系统失败 "image_not_exist_or_docker_api_
度为“未知”的端口。 忽略风险:如果检测出的危险端口是业务正在使用的正常端口,您可以忽略该条告警。忽略之后将不再作为危险项进行记录,也不再发送告警。 Linux、Windows 每30秒自动检测 进程 检测主机系统中运行的进程,对运行中的进程进行收集及呈现,便于自主清点合法进程发现异常进程。
"response_timed_out":响应超时 "database_error" : 数据库错误 "failed_to_send_the_scan_request" : 发送扫描请求失败 image_size Long 镜像大小 latest_update_time Long 镜像版本最后更新时间,时间单位 毫秒(ms)
度为“未知”的端口。 忽略风险:如果检测出的危险端口是业务正在使用的正常端口,您可以忽略该条告警。忽略之后将不再作为危险项进行记录,也不再发送告警。 每30秒自动检测 进程 检测容器系统中运行的进程,对运行中的进程进行收集及呈现,便于自主清点合法进程发现异常进程。 根据容器中“进
压缩:常见的zip,rar,jar等。 文本:常见的php,jsp,html,bash等。 OLE:复合型文档,常见的office格式文件(ppt,doc)和保存的邮件文件(msg)。 其他:除开以上类型的其他类型。 全部 防护动作 目标检测告警的防护动作。 自动处置:检测为高危等级病毒文件将自动执行隔离,其余风险等级病毒不自动隔离。
在风险建议删除或者隔离源文件。 如果检测出的危险端口是业务正在使用的正常端口,您可以忽略该条告警。忽略之后将不再作为危险项进行记录,也不再发送告警。 常见危险端口如危险端口列表所示。 查看单容器的资产指纹数据 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 >
图2 填写服务器验证信息。 单击“确定”,Agent开始安装。 选择“已安装主机”页面,筛选查看目标服务器Agent状态。 Agent状态显示在线,表示Agent安装成功。 步骤三:开启防护 在企业主机安全控制台左侧导航栏选择“主机防御 > 网页防篡改”,进入网页防篡改页面。 在“防护配置”页签,单击“添加防护服务器”。
deleteSecurityReport 创建或复制新报告 hss addSecurityReport 修改报告 hss changeSecurityReport 发送安全报告 hss sendSecurityReport 修改安全体检定时配置信息 hss updateSecurityCheckConfig
发生相同的告警时不再进行告警。 发布区域:全部。 配置登录白名单 管理告警白名单 告警通知 开启告警通知功能后,您能接收到企业主机安全服务发送的告警通知,及时了解主机/网页内的安全风险。否则,无论是否有风险,您都只能登录管理控制台自行查看,无法收到报警信息。 告警通知设置仅在当前
agent_status String Agent状态,包含如下5种。 installed :已安装。 not_installed :未安装。 online :在线。 offline :离线。 install_failed :安装失败。 installing :安装中。 protect_status String