检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全告警事件”,进入“主机安全告警”界面。 在待处理告警列表中,展开“系统异常行为”类型告警 ,关注如图2所示的几类与文件变更相关的告警。 图2 文件变更相关告警 单击任一类型的告警,在右侧告警列表中,单击告警事件的告警名称,可查看告警详情。 图3 查看告警详情 根据告警详情中的“调查取证”信息,判断并处理告警。
/etc/selinux/config 找到SELINUX=enforcing,按i进入编辑模式,将参数修改为SELINUX=disabled。 图1 编辑selinux状态 修改完成后,按下键盘Esc键,执行以下命令保存文件并退出。 :wq 执行永久关闭命令并保存退出后,执行以下命令立即重启服务器。
文件保护 单击“文件保护”,弹出“文件保护”策略详情界面。 在弹出的文件保护界面中,修改“策略内容”,参数说明如表6所示。 如下图片以Linux策略为例。 图6 修改文件保护策略 表6 文件保护策略内容参数说明 参数 说明 支持的操作系统 文件提权检测 启用:是否开启文件提权检测。 :开启。
选择“白名单策略”页签。 单击策略状态为“学习完成,未生效”的策略名称,进入“策略详情”界面。 选择“进程文件”页签。 单击待确认进程数量,查看待确认进程。 图1 查看待确认进程 根据进程名称和进程文件路径等信息,确认应用进程是否可信。 在已确认进程所在行的操作列,单击“标记”。 您也可以批量勾选所
开启容器集群防护时,会在集群上安装策略管理功能插件,插件会占用部分集群资源。 在开启容器集群防护过程中,请勿在该集群上执行任何操作,否则会导致开启防护失败。 图1 开启容器集群防护 单击“确定”,开启防护。 容器集群“防护状态”显示“已启用,未配置”,表示已为集群完成相关防护配置且安装策略管理插件成
选择“守护进程集”页签,删除名称为“install-agent-ds”的工作负载。 在工作负载所在行的操作列,选择“更多 > 删除”,删除该工作负载。 图1 删除install-agent-ds 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。 在左侧导航栏,选择“安装与配置
(可选)勾选仅关注最新版本的镜像,可筛选查看最新版本的镜像。 图1 关注最新版本的镜像 在目标镜像的“安全风险”列,可查看该镜像的风险状态。 在目标镜像的“操作”列,单击“查看结果”,进入镜像扫描结果页面,查看详细结果。参数说明如表1所示。 图2 镜像扫描结果 表1 镜像扫描结果参数说明 参数名称
“自建专线接入”,进入物理连接的端口购买页面。 根据界面提示,在物理连接购买页面配置机房地址、华为云接入点、物理连接端口等信息,可参考表1输入相关参数。 图1 购买物理连接 表1 购买物理连接参数 参数 说明 计费模式 专线服务付费方式,目前仅支持包年/包月方式付费。 区域 物理连接开通的区域。
企业主机安全”,进入主机安全平台界面。 在左侧导航栏中,单击“检测与响应 > 安全告警事件 > 容器安全告警”,进入“容器安全告警”页面。 图1 容器安全告警 单击告警名称,查看告警信息和处理建议。 处理告警事件。 告警事件展示在“容器安全告警”页面中,事件列表仅展示最近30天的告警事件。
压缩:压缩包和安装包文件,常见zip、rar、tar等。 脚本:脚本文件,常见的bat、py、ps1等。 文档:文档文件,常见的txt、doc、pdf等。 图片:图片文件,常见的bmp、jpg、gif等。 音频文件:音频文件,常见的mp3、mp4、flv等 目录设置(可选) 需要扫描病毒文件的目录。
在左侧导航栏选择“资产管理>主机管理”,进入“主机管理”页面。 在“云服务器”页签,查看服务器的运行状态、Agent状态以及服务器使用的企业主机安全版本。 图1 查看服务器信息 确认相关信息后,请参考如下方式处理问题: 使用企业主机安全“基础版”的服务器。 企业主机安全基础版不支持手动扫描漏洞和修
仅可对“备份状态”为“可用”的备份数据进行恢复。 在弹出的对话框中确认服务器、是否重启等信息,确认无误,单击“确定”,执行自动恢复。 图1 恢复服务器 在“备份统计”栏,单击备份恢复任务的数值,查看备份恢复进度。 父主题: 勒索病毒防护
DS_SSHD_DENY_DROP、IN_HIDS_SSHD_WHITE_LIST两条规则。 以MySQL为例,新增的规则如图 MySQL新增规则所示。 图1 MySQL新增规则 不建议删除已添加的iptables规则,如果删除iptables规则,HSS将无法防护MySQL、vfstpd或SSH被暴力破解。
“自建专线接入”,进入物理连接的端口购买页面。 根据界面提示,在物理连接购买页面配置机房地址、华为云接入点、物理连接端口等信息,可参考表1输入相关参数。 图1 购买物理连接 表1 购买物理连接参数 参数 说明 计费模式 专线服务付费方式,目前仅支持包年/包月方式付费。 区域 物理连接开通的区域。
(可选)在白名单管理页面左上方,“企业项目”选择主机所属的企业项目或“所有项目”。 如果您没有开通企业项目,可跳过此步骤。 选择“系统用户白名单”页签,单击“添加”。 图1 配置系统用户白名单 在“添加系统用户白名单”弹窗中填写主机ID、系统用户名以及备注信息。 单击“确定”,添加完成。 修改系统用户白名单
0-1020。 检测与修复建议 华为云企业主机安全支持对该漏洞的便捷检测与修复。 检测并查看漏洞详情,详细的操作步骤请参见查看漏洞详情。 图1 手动检测漏洞 漏洞修复与验证,详细的操作步骤请参见漏洞修复与验证。 父主题: HSS针对官方披露漏洞的修复建议
建完成。 目前仅支持Web应用、Web服务、Web框架、Web站点、中间件和数据库支持实时手动采集更新,其他类型每天会自动执行采集更新。 图1 立即采集 自动执行完成之后,“最后采集时间”将会更新,可查看最新的容器资产信息。 手动采集所有容器指纹最新数据 如果您想实时查看账号、开
执行如下命令停止服务。 /etc/init.d/hostguard stop (可选)输入界面回显的认证字符。如图 认证字符所示。 仅开启了企业主机安全自保护的主机,才需要执行此操作。 图1 认证字符 在任意目录执行如下命令,卸载Agent。 不可以在/usr/local/hostguar
服务器。 执行以下命令,查看目标云服务器的内存使用情况。 free -m 执行命令反馈信息如图1所示,查看free项的数值。 如果available数值小于300M,则表示内存不足。 图1 查看内存 Windows主机 通过远程管理工具(如:mstsc、rdp)远程登录目标云服务器。
主机指纹”,进入“主机指纹”页面,查看所有主机资产。 如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 图1 查看主机资产信息 单击指纹列表的目标指纹类型,查看对应资产信息。 (可选)清理风险资产。 如果您清点后发现有风险的资产请及时排除。 如果
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
