检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
容器镜像阻断 在Docker环境中容器启动前,HSS检测到镜像异常行为策略中指定的不安全容器镜像运行时触发告警。 说明: 需安装Docker插件。 可疑命令执行 检测通过命令或工具创建、删除计划任务或自启动任务。 检测远程执行命令的可疑行为。 运行时异常行为 运行时异常行为是指在容
“修复失败”表示该漏洞修复失败,可能因为漏洞已不存在或漏洞已经被更改。您可以查看修复失败原因,参考HSS提供的方法,修复漏洞。具体操作,请参见漏洞修复失败怎么办?。 手动修复漏洞:Web-CMS漏洞、应用漏洞和应急漏洞不支持自动修复,需参考漏洞修复建议手动修复。 在“漏洞管理”页面,单击目标漏洞名称,在漏洞详情页面,查看修复建议。
已添加告警白名单,进程还是被隔离? 告警白名单仅用于忽略告警,把当前告警事件加入告警白名单后,当再次发生相同的告警时不再进行告警,但是不会取消隔离。因此如果您的进程被隔离,请手动恢复。 隔离查杀恶意程序 方式一:在“安装与配置 > 主机安装与配置 > 安全配置 > 恶意程序隔离查杀”页面中,开启自动隔离查杀。
处置风险容器 操作场景 企业主机安全支持检测容器安全风险,并将容器安全风险分为以下几类: 致命:恶意程序等 高危:勒索攻击、恶意程序、反弹shell、逃逸攻击、危险命令等 中危:Webshell、异常启动、进程异常、敏感文件访问等 低危:暴力破解等 为避免有中危及以上安全风险容器
如何开启/关闭企业主机安全自保护? 自保护是企业主机安全的自我保护功能,具体功能如下: Windows自保护:防止恶意程序卸载Agent、篡改企业主机安全文件或停止企业主机安全进程。 Linux自保护:防止恶意程序停止企业主机安全进程、卸载Agent。 自保护功能默认是关闭状态,
镜像、容器、应用的关系是什么? 镜像是一个特殊的文件系统,除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准备的配置参数(如匿名卷、环境变量、用户等)。镜像不包含任何动态数据,其内容在构建之后也不会被改变。 容器和镜像的关系,像程序设计中的实例和类一样,
应用防护概述 应用防护功能基于RASP(Runtime Application Self-Protection)技术,为运行时的应用提供安全检测和防护。用户无需修改应用文件,只需将探针注入到应用,即可为其提供强大的安全防护能力。 技术原理 通过动态代码注入技术在运行时将监控&保护
使用HSS应对挖矿攻击 应用场景 挖矿(Mining),又称加密货币挖矿(Cryptocurrency Mining),是指通过大量计算机运算获取加密货币的过程。由于运算过程需要耗费大量的计算资源和电力,为了降低成本,攻击者会在用户不知情或未经允许的情况下,向个人或企业的计算机和
Windows内核特权提升漏洞(CVE-2020-1027) Windows内核处理内存中对象的方式中存在特权提升漏洞,成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 为了利用此漏洞,在本地经过身份验证的攻击者可能会运行经特殊设计应用程序。 漏洞编号 CVE-2020-1027
方案概述 企业主机安全(Host Security Service,HSS)是以工作负载为中心的安全产品,集成了主机安全、容器安全和网页防篡改,旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。HSS不受地理位置影响,为主机、容器等提供统一的可视化和控制能力。H
使用HSS查杀系统木马 应用场景 木马程序是当前网络安全领域一个重要问题,它通过不同方式入侵计算机系统,对用户数据安全、隐私保护和系统稳定性构成严重威胁。 为了防范木马,您需要及时更新操作系统和软件,使用安全的网络连接,避免下载和运行来自未知来源的文件。除此之外,您还可以使用HS
HSS到期后不续费,对主机和业务有影响吗? 不会产生直接影响。 停止续费说明 企业主机安全是提升主机整体安全性的服务,到期后不续费会自动停止防护。 停止续费风险 不续费会降低服务器的防护能力,遭受破解、入侵的风险会增加,会有很大的安全隐患,例如一般数据、程序都是运行在云服务器上,
查看并处理勒索病毒防护事件 开启勒索病毒防护功能后,当服务器发生勒索攻击防护事件时,防护事件会被记录并展示在勒索病毒防护事件列表中供您查看分析,您可以结合自身业务情况处理防护事件。 约束限制 开启勒索病毒防护后需要及时处置勒索病毒告警、修复系统及中间件漏洞。 查看并处理勒索病毒防护事件
如何为高危命令执行类告警添加白名单? 如果您在服务器上执行了正常业务相关命令,HSS进行“高危命令执行”告警,您可以添加白名单,避免告警。 添加命令告警白名单方式如下: 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
Agent版本说明 企业主机安全会持续迭代优化提升服务能力,包括但不限于新增功能、优化缺陷。本文介绍企业主机安全Agent每个版本更新的内容。 Agent版本说明(Linux) Agent版本 更新说明 3.2.17 应急漏洞扫描支持Arm架构。 AV检测在高检出模式下支持扫描txt类型文件。
处理主机告警事件 企业主机安全可对您已开启的告警防御能力提供总览数据,帮助您快速了解安全告警概况包括需紧急处理告警、告警总数、存在告警的服务器、已拦截IP和已隔离文件等。 事件列表仅保留近30天内发生的告警事件,您可以根据自己的业务需求,自行判断并处理告警,快速清除资产中的安全威胁。
Adobe Font Manager库远程代码执行漏洞(CVE-2020-1020/CVE-2020-0938) 当Windows Adobe Type Manager库未正确处理经特殊设计的多主机Adobe Type 1 PostScript格式字体时,Microsoft Windows中存在远程代码执行漏洞。
接入概述 主机/容器节点接入企业主机安全HSS并开启防护的流程如图 接入HSS流程所示。 图1 接入HSS流程 表1 接入HSS流程说明 序号 步骤 说明 1 购买防护配额 企业主机安全HSS提供基础版、专业版、企业版、旗舰版、网页防篡改版和容器版供您选择,每个版本支持的功能特性
采集主机资产指纹 HSS提供主机资产指纹采集功能,支持采集主机中的端口、进程、Web应用、Web服务、Web框架和自启动项等资产信息。通过主机资产指纹功能,您能集中清点主机中的各项资产信息,及时发现主机中含有风险的各项资产。本章节为您介绍主机资产指纹采集项以及如何采集主机资产指纹。
如何查看HSS的日志文件? 日志路径 您需要根据主机的操作系统,查看日志文件。 操作系统 日志所在路径 日志文件 Linux /var/log/hostguard/ hostwatch.log hostguard.log upgrade.log hostguard-service
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
