检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
3026 : crontab提权 3027 : Crontab可疑任务 3029 :系统安全防护被禁用 3030 :备份删除 3031 :异常注册表操作 3036 : 容器镜像阻断 4002 : 暴力破解 4004 : 异常登录 4006 : 非法系统账号 4014 : 用户账号添加
例如上海市浦东新区华京路xx号xx楼xx机房。 标签 云专线服务的标识,包括键和值。可以为云专线服务创建10个标签。 说明: 如果已经通过TMS的预定义标签功能预先创建了标签,则可以直接选择对应的标签键和值。 预定义标签的详细内容,请参见预定义标签简介。 描述 用户可以对物理连接添加备注信息。
获取项目ID 登录管理控制台。 鼠标悬停在右上角的用户名,选择下拉列表中的“我的凭证”。 在“API凭证”页面的项目列表中获取项目ID。 您创建的VPC终端节点所属哪个区域,就获取对应区域的项目ID。 图1 获取项目ID 父主题: 实施步骤
例如上海市浦东新区华京路xx号xx楼xx机房。 标签 云专线服务的标识,包括键和值。可以为云专线服务创建10个标签。 说明: 如果已经通过TMS的预定义标签功能预先创建了标签,则可以直接选择对应的标签键和值。 预定义标签的详细内容,请参见预定义标签简介。 描述 用户可以对物理连接添加备注信息。
创建代理服务器 创建1台云上服务器,作为第三方服务器的代理服务器。 登录华为云控制台购买弹性云服务器,关于购买弹性服务器的详细介绍请参见自定义购买弹性云服务器。 代理服务器的CPU架构需要选择x86计算。 代理服务器的vCPUs需选择4vCPUs或以上规格,内存需选择8GiB或以上规格。
conf echo "{项目ID}" > project_id.conf cat project_id.conf 上述命令中的“终端节点IP”和“项目ID”,请根据实际情况改写。 VPC终端节点IP即执行创建VPC终端节点操作时,您获取的服务地址。 项目ID即执行获取项目ID操作时,您获取的项目ID。
为代理服务器安装Agent,确保网络的畅通,辅助配置nginx的参数。 为代理服务器安装Agent 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 单击页面左上方的,选择“安全与合规 > 企业主机安全”,进入“企业主机安全”页面。 左侧导航栏选择“安装与配置 > 主机安装与配置”,进入“主机安装与配置”页面。
备份删除 检测勒索软件加密前准备动作:删除备份格式文件或Backup文件夹下的文件,一旦发现立即上报告警。 支持的操作系统:Windows。 检测周期:实时检测。 × × √ √ √ √ 异常注册表操作 检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作,一旦发现立即上报告警。
为代理服务器安装配置nginx nginx负责将第三方服务器的请求转发至HSS后台管理后台。 为代理服务器安装配置nginx 登录代理服务器 检查yum源 检查yum源是否有nginx软件包,如果没有nginx软件包需完成配置yum源,并临时绑定公网IP,待安装结束之后再解绑公网IP。
生成的zip安装包拷贝到本地后一定要进行解压后再执行安装,否则将无法安装。 安装完成后,在“Windows任务管理器”中查看到进程“HostGuard.exe”和“HostWatch.exe”,表示Agent安装完成。 等待约10分钟后,在HSS控制台左侧导航栏,选择“资产管理 > 主机管理”,进入云服务器页面。
次防护,可监控容器宿主机和容器内出现的进程、文件、网络活动、进程Capabilities、系统调用共5种异常行为,支持对异常行为进行告警和阻断,阻止容器逃逸,保护容器运行时的安全。 进程监控:监控容器宿主机或容器内的可疑进程行为,检测并阻止异常的系统调用和进程操作,例如使用“cdk
生成的zip安装包拷贝到本地后一定要进行解压后再执行安装,否则将无法安装。 安装完成后,在“Windows任务管理器”中查看到进程“HostGuard.exe”和“HostWatch.exe”,表示Agent安装完成。 等待约10分钟后,在企业主机安全控制台左侧导航栏,选择“资产管理 > 主机管理”,进入云服务器页面。
通过代理服务器制作Agent安装包或安装命令 根据第三方服务器操作系统类型,通过代理服务器制作对应的Agent安装命令(Linux)或Agent安装包(Windows)。 通过代理服务器制作Agent安装命令(Linux) 登录代理服务器 执行以下命令进入tmp目录。 cd /tmp
修改:修改文件的总数量。 新增:新增文件的总数量。 删除:删除文件的总数量。 查看单个服务器文件变更记录 在云服务器列表中,可查看服务器对应的文件、注册表变更数量和最后变更时间。 图2 云服务器列表 单击服务器名称进入服务器变更详情页,可查看单个服务器的文件变更详细记录。 图3 查看单个服务器文件变更记录
如果您的主机不能访问公网,需要接入HSS进行防护,请参考如下实践方案: 接入“华东二”、“西南-贵阳一”区域:第三方主机通过专线和终端节点接入HSS。 接入除“华东二”、“西南-贵阳一”以外的区域:第三方主机通过专线和代理服务器接入HSS。 通过命令行为三方Linux主机安装Agent 以下是为Linux主机安装Agent的操作方法,您按需选用即可。
由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。 在我的凭证下,您可以查看账号ID和用户ID。通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。 区域(Region) 从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、
hips_0001 : Windows Defender防护被禁用 hips_0002 : 可疑的黑客工具 hips_0003 : 可疑的勒索加密行为 hips_0004 : 隐藏账号创建 hips_0005 : 读取用户密码凭据 hips_0006 : 可疑的SAM文件导出 hips_0007
3018 : 异常Shell 3027 : Crontab可疑任务 3029 :系统安全防护被禁用 3030 :备份删除 3031 :异常注册表操作 3036 : 容器镜像阻断 4002 : 暴力破解 4004 : 异常登录 4006 : 非法系统账号 4014 : 用户账号添加
String 自启动项名称 type 否 Integer 自启动项类型 0 :自启动服务 1 :定时任务 2 :预加载动态库 3 :Run注册表键 4 :开机启动文件夹 variation_type 否 String 变更类型: add :新建 delete :删除 modify
告警。 应急漏洞 通过软件版本比对和POC验证的方式,检测服务器上运行的软件和依赖包是否存在漏洞,将存在风险的漏洞上报至控制台,并给您提供漏洞告警。 支持扫描和修复的漏洞类型 HSS各版本支持扫描和修复的漏洞类型请参见表 HSS各版本支持扫描和修复的漏洞类型。 表中的标识含义如下:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
