检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
重新学习服务器 如果已完成进程白名单扩展,但仍然存在较多可信进程运行误报或您的服务器业务存在变更,您可以设置HSS重新学习服务器,校准HSS的应用进程情报数据,避免误报。 重新学习服务器 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
确认学习结果 HSS学习完白名单策略关联的服务器后,输出的学习结果中可能存在一些特征不明显的可疑进程需要再次进行确认,您可以手动或设置系统自动将这些可疑进程确认并分类标记为可疑、恶意或可信进程。 学习结果确认方式,在创建白名单策略时可设置: “学习结果确认方式”选择的“自动确认可
于可疑进程运行事件,由于HSS根据学习到的应用进程特征无法判断其是否可信,因此需要您根据实际情况判断并将可疑进程手动加入进程白名单,避免可信进程运行被持续告警。 查看并处理可疑进程 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
“策略生效方式”选择“学习完成后自动开启”:系统完成策略关联服务器学习后,自动为该策略的服务器开启应用进程控制防护。 “策略生效方式”选择“学习完成后手动开启”:您可根据实际业务情况手动为服务器开启应用进程控制防护。具体操作您可以参考本章节。 前提条件 已创建白名单策略并完成策略学习结果确认,
检测与响应 主机安全告警 容器安全告警 白名单管理
白名单策略名称 系统默认会生成白名单策略名称,建议您自定义修改,后续方便区分和管理。 test 智能学习天数 HSS学习服务器应用进程的天数。学习天数越多,学习结果越准确。 7 学习结果确认方式 当HSS学习完策略关联的服务器后,对于特征不明显可疑进程的确认方式。 自动确认可疑进程:HSS根据
应用进程控制 应用进程控制概述 创建白名单策略 确认学习结果 开启应用进程控制防护 查看并处理可疑进程 扩展进程白名单 重新学习服务器 关闭应用进程控制防护 父主题: 主机防御
表1 应用进程控制使用流程说明 操作项 描述 创建白名单策略 白名单策略是管理HSS学习服务器行为和应用进程防护动作的规则,只有关联了白名单策略的服务器才能开启应用进程防护。 确认学习结果 HSS学习完服务器中的应用进程后,可能存在某些可疑应用进程的特征不明显,HSS无法完全定义为
扩展进程白名单 对于策略关联的服务器,如果您认为HSS学习到的应用进程比HSS扫描到的进程指纹少且可疑进程告警事件较多,您可以配置HSS扩展进程白名单,通过比对HSS已学习的应用进程和资产指纹功能扫描到的对应服务器的资产指纹,进一步扩展HSS应用进程情报库,补充可信进程白名单。 扩展进程白名单
单击“确定”。 关闭防护,并删除HSS学习到的服务器应用进程特征。 在目标策略所在行的操作列,单击“删除”。 单击“确定”。 在策略列表中,查看目标策略。 关闭防护,但保留HSS学习到的服务器应用进程特征。 查看目标策略的策略状态为“学习完成,未生效”,表示关闭应用进程防护成功。
定期检查并删除无关账户 定期删除或锁定与设备运行、维护等与工作无关的账户。 打开控制面板。 选择“管理工具 > 计算机管理”。 选择“系统工具 > 本地用户和组”。 单击“用户”或者“用户组”,在用户或者用户组页面,删除或锁定与设备运行、维护等与工作无关的账户。 不显示最后的用户名
可视化的管理平台,便于您集中下发配置信息,查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎,深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务,并转发给安装在服务器上的Agent。 接收
HSS与CodeArts Inspector、WAF有什么区别? 华为云提供的HSS、CodeArts Inspector、WAF服务,帮助您全面从主机、网站、Web应用等层面防御风险和威胁,提升系统安全指数。建议三个服务搭配使用。 表1 HSS、CodeArts Inspector、WAF的区别
资产识别与管理 HSS会收集账号、进程、开放端口、自启动项、软件、Web框架、Web站点等16类主机和容器资产信息,并展示资产清点情况,帮助用户及时发现主机和容器中存在风险的资产。 表1 HSS的资产管理相关功能 功能 说明 详细介绍 资产概览 资产概览展示用户全量主机和容器资产
定期检查并删除无关账户 定期删除或锁定与设备运行、维护等与工作无关的账户。 打开控制面板。 选择“管理工具 > 计算机管理”。 选择“系统工具 > 本地用户和组”。 单击“用户”或者“用户组”,在用户或者用户组页面,删除或锁定与设备运行、维护等与工作无关的账户。 不显示最后的用户名
警。每个主机可被添加在多个登录地中。 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。 选择“安装与配置 > 主机安装与配置 > 安全配置 > 常用登录地”,单击“添加常用地登录”。 在弹出的对话框中依次选择地理位置、
可视化的管理平台,便于您集中下发配置信息,查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎,深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务,并转发给安装在服务器上的Agent。 接收
云审计控制台对用户的操作事件日志保留7天,过期自动删除,不支持人工删除。 在新版事件列表查看审计事件 登录管理控制台。 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务页面。 单击左侧导航树的“事件列表”,进入事件列表信息页面。 事件列表支持通过高级搜索来查询对
约束与限制 主机防护限制 HSS支持对华为云主机、第三方云主机和线下数据中心(IDC)进行防护,具体支持防护的主机类型包括: 华为云 华为云弹性云服务器(Elastic Cloud Server,ECS) 华为云裸金属服务器(Bare Metal Server,BMS) 华为云云耀云服务器(Hyper
deleteAppWhitelistPolicyHost 白名单策略添加主机 hss addAppWhitelistPolicyHost 操作白名单策略学习状态 hss switchAppWhitelistPolicyLearnStatus 新增进程白名单策略进程 hss addAppWhitelistPolicyProcess
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
