检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
确认学习结果 HSS学习完白名单策略关联的服务器后,输出的学习结果中可能存在一些特征不明显的可疑进程需要再次进行确认,您可以手动或设置系统自动将这些可疑进程确认并分类标记为可疑、恶意或可信进程。 学习结果确认方式,在创建白名单策略时可设置: “学习结果确认方式”选择的“自动确认可
重新学习服务器 如果已完成进程白名单扩展,但仍然存在较多可信进程运行误报或您的服务器业务存在变更,您可以设置HSS重新学习服务器,校准HSS的应用进程情报数据,避免误报。 重新学习服务器 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
白名单策略名称 系统默认会生成白名单策略名称,建议您自定义修改,后续方便区分和管理。 test 智能学习天数 HSS学习服务器应用进程的天数。学习天数越多,学习结果越准确。 7 学习结果确认方式 当HSS学习完策略关联的服务器后,对于特征不明显可疑进程的确认方式。 自动确认可疑进程:HSS根据
“策略生效方式”选择“学习完成后自动开启”:系统完成策略关联服务器学习后,自动为该策略的服务器开启应用进程控制防护。 “策略生效方式”选择“学习完成后手动开启”:您可根据实际业务情况手动为服务器开启应用进程控制防护。具体操作您可以参考本章节。 前提条件 已创建白名单策略并完成策略学习结果确认,
主机被挖矿攻击,怎么办? 黑客入侵主机后植入挖矿程序,挖矿程序会占用CPU进行超高运算,导致CPU严重损耗,并且影响主机上其他应用的运行。当您的主机被挖矿程序入侵,挖矿程序可能进行内网渗透,并在被入侵的主机上持久化驻留,从而获取最大收益。 当主机提示有挖矿行为时,请确定并清除挖矿程序,并及时对主机进行安全加固。
扩展进程白名单 对于策略关联的服务器,如果您认为HSS学习到的应用进程比HSS扫描到的进程指纹少且可疑进程告警事件较多,您可以配置HSS扩展进程白名单,通过比对HSS已学习的应用进程和资产指纹功能扫描到的对应服务器的资产指纹,进一步扩展HSS应用进程情报库,补充可信进程白名单。 扩展进程白名单
漏洞修复失败怎么办? 如果在企业主机安全控制台修复Linux和Windows系统漏洞时失败,请参考本文进行排查处理。 查看漏洞修复失败原因 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。 在左侧导航树中,选择“风险预防
漏洞扫描失败怎么办? 如果在企业主机安全控制台扫描漏洞失败,请参考本文进行排查处理。 查看漏洞扫描失败原因 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。 在左侧导航树中,选择“风险预防 > 漏洞管理”,进入漏洞管理界面。
Windows自保护无法关闭怎么办? 问题根因 当服务器网络不通时会导致Agent无法通信(Agent接收不到HSS控制台下发的关闭自保护的指令),因此企业主机安全自保护无法关闭。 解决方法 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
开启双因子认证失败,怎么办? 问题现象 在双因子认证列表下,没有待开启双因子认证的主机。 开启双因子认证后,不生效。 开启双因子认证失败。 可能原因 主机未开启防护。 开启双因子认证不会立即生效,需要等大约5分钟才生效。 Linux主机没有关闭“密钥对”登录方式。 与“网防G01
出现弱口令告警,怎么办? 如果您收到弱口令告警,则说明您的主机存在被入侵的风险。数据、程序都存储在系统中,如果密码被破解,系统中的数据和程序将毫无安全可言,请及时修改弱口令。 出现弱口令告警的原因 设置的自动生成密码的方式过于简单,与弱口令检测的密码库相重合。 将同一密码用于多个子账号,会被系统判定为弱密码。
账户被暴力破解,怎么办? 如果您的主机被暴力破解成功,攻击者很可能已经入侵并登录您的主机,窃取用户数据、勒索加密、植入挖矿程序、DDoS木马攻击等恶意操作。 如果您的主机被尝试暴力破解,攻击源IP被HSS拦截,请及时采取有效的措施预防账户暴力破解事件。 排查思路 以下排查思路按照
无法开启网页防篡改怎么办? 可能的原因及解决方法如下: 配额不足 现象: 所选区域内网页防篡改配额不足。 Agent状态异常 现象 网页防篡改页面防护列表中“Agent状态”为“离线”或者“未安装”。 解决方法 请参见Agent状态异常进行处理,确保主机列表中“Agent状态”为“在线”。
是,将登录主机的IP加入到SSH登录IP白名单。 否,请联系技术支持工程师。 相关操作 无法登录到Linux云服务器怎么办? 无法登录到Windows云服务器怎么办? 父主题: 安全配置
容器集群防护插件卸载失败怎么办? 故障原因 当集群网络异常或插件正在工作时,通过HSS控制台卸载插件可能会失败。 解决措施 在任一集群节点执行如下操作,即可卸载容器集群防护插件。 登录任一集群节点。 在/tmp目录下新建plugin.yaml文件,并将如下脚本内容拷贝至plugin
企业主机安全升级失败怎么处理? Agent升级说明 无论升级前还是升级后同一台主机都会同时在企业主机安全新、旧版呈现,服务器状态以使用的控制台版本为准。 整个升级Agent过程均为免费。 升级时查看“Agent状态”为“在线”才能正常升级。 升级过程中不影响您在云服务器上业务的正常使用。
怎么去除由于修复软件漏洞造成的关键文件变更告警? 告警通知检测到关键文件变更,如果您确认是正常操作可以不用关注,7天后自动消除。 父主题: 其他
可视化的管理平台,便于您集中下发配置信息,查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎,深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务,并转发给安装在服务器上的Agent。 接收
开启动态网页防篡改后,状态是“已开启未生效”,怎么办? 动态网页防篡改提供tomcat应用运行时的自我保护。 开启动态网页防篡改需要满足以下条件: 仅针对Tomcat应用。 主机是Linux操作系统。 开启动态网页防篡改后,请等待大约20分钟后检查“tomcat/bin”目录下是否已生成“setenv
在目标策略所在行的操作列,单击“删除”。 单击“确认”。 在策略列表中,查看目标策略。 关闭防护,但保留HSS学习到的服务器应用进程特征。 查看目标策略的策略状态为“学习完成,未生效”,表示关闭应用进程防护成功。 关闭防护,并删除HSS学习到的服务器应用进程特征。 目标策略已从策略列表中删除,表示关闭应用进程防护成功。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
