检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
告警。 查看并处理可疑进程 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。 在左侧导航栏,选择“主机防御 > 应用进程控制”,进入“应用进程控制”界面。 选择“可疑进程”页签,查看存在的可疑进程。 图1 查看可疑进程
您可以在容器列表查看容器名称、状态、是否有安全风险,重启次数、所属POD、所属集群、集群类型等相关信息。 查看容器详细信息。 单击目标容器名称,进入容器详情页面查看容器镜像、进程、端口、数据挂载等相关信息。 查看容器安全风险分布。 鼠标滑动至有风险的目标容器所在行的安全风险列,查看容器存在低危、中危、高危、致命风险的数量。
主机防御 应用防护 网页防篡改 勒索病毒防护 应用进程控制 文件完整性管理 病毒查杀 动态端口蜜罐
登录主机,详细操作请参见在云服务器控制台上登录主机。 如果您的主机已经绑定了弹性IP,您也可以使用远程管理工具(例如:PuTTY、Xshell等)登录主机,并使用root账号在主机中卸载插件。 执行以下命令进入tmp目录。 cd /tmp/ 执行以下命令,创建文件linux-host-list
登录主机,详细操作请参见在云服务器控制台上登录主机。 如果您的主机已经绑定了弹性IP,您也可以使用远程管理工具(例如:PuTTY、Xshell等)登录主机,并使用root账号在主机中安装插件 执行以下命令进入tmp目录。 cd /tmp/ 执行以下命令,创建文件linux-host-list
每小时自动检测 开放端口 检测主机系统中的端口,列出当前系统开放的端口列表,帮助用户识别出其中的危险端口和未知端口。 根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”,您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测
查看插件信息 插件配置页面会展示服务器列表以及服务器对应的插件信息,如果服务器未安装插件,插件相关信息为空。您可通过查看服务器的插件信息,判断需要安装插件的服务器。 查看插件信息 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
资源分类标签。 绑定主机 您也可以通过在“资产管理 > 主机管理 > 防护配额”页面的“操作”列中,单击“绑定主机”,为主机绑定防护配额,HSS自动为主机开启防护。 一个配额只能绑定一个主机,且只能绑定agent在线的主机。 解除绑定 您也可以在“资产管理 > 主机管理 > 防护配额
检测主机时执行的基线数。 主机配置检查项 已检查主机配置项的总数。 主机配置基线通过率 按照基线检测主机配置通过的配置项占总检测项的占比,同时按照不同风险等级分别统计未通过的配置项总数。 主机配置风险TOP5 按照主机的维度统计存在配置风险的主机。 优先按照高危且风险总数最多的前5台主机进行排序,如果不存在高危,则依次为中危、低危。
快速查看ECS安全态势 如果您未开通企业主机安全,企业主机安全针对未开启防护的ECS,每周提供一次全量的免费安全体检,检测时间为每周一凌晨。您可以参考本章节查看未开启防护的ECS安全态势。 如果您使用了企业主机安全防护弹性云服务器ECS,可以参考本章节查看已开启防护的ECS安全态势。
在“看板名称”列,单击“主机安全服务 HSS”,进入主机安全服务监控详情页面。 在页面左上方下拉框中,选择“主机安全”或“主机实例”维度。 根据维度查看监控指标。 主机安全 在目标企业项目名称所在行的“操作”列中,单击“查看监控指标”,查看企业项目下的主机防护指标详情。 主机实例 在目标主机名称所
按需选用即可。 通过账号密码为单台华为云主机安装Agent 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。 在左侧导航栏中,选择“安装与配置 > 主机安装与配置”,进入“主机安装与配置”界面。 如果您的服务器已通过企
如何查看HSS的日志文件? 日志路径 您需要根据主机的操作系统,查看日志文件。 操作系统 日志所在路径 日志文件 Linux /var/log/hostguard/ hostwatch.log hostguard.log upgrade.log hostguard-service
参数名称 说明 取值样例 地址 该地址为华为云主机的私网地址。 192.168.0.249 端口 请确保设置的端口未被安全组、防火墙等拦截,并且未被占用。 8080 备份路径 将需要备份的防护目录下的内容备份在该远端备份服务器的目录下。 如果多个主机的防护目录同时备份在同一远端备份服务器
在“双因子认证”页面,勾选需要开启双因子的主机,单击“开启双因子认证”,开启双因子认证。详细操作请参见双因子认证。 修改默认端口 将默认的远程管理端口“22”、“3389”修改为不易猜测的其他端口。修改端口的操作请参见怎样修改远程登录的端口?。 设置安全组规则,限制攻击源IP访问您的服务端口 建议设置对外开
如何查看并处理HSS告警通知? 如何查看 主机安全告警查看操作详情请参见查看主机安全告警,容器安全告警查看操作详情请参见查看容器安全告警事件。 如何处理 企业主机安全提供漏洞修复方法、入侵事件排查/处理方法、风险配置修复建议,详细操作请参见处理主机安全告警。 容器安全提供对告警的处理,操作详情请参见处理容器告警事件。
扫描病毒 查看并处理病毒 账号管理 企业主机安全支持组织成员账号的主机及风险情况统计,如果您的账号由组织管理,您可以查看组织内所有成员账号下主机数量以及对应的漏洞、基线、告警风险数量。 发布区域:全部。 账号管理 动态端口蜜罐 动态端口蜜罐功能是一个攻击诱捕陷阱,利用真实端口作为诱饵
企业主机安全”,进入主机安全平台界面。 如图 异常登录所示查看“异常登录”,单击告警名称“异地登录”查看详情。 图1 异常登录 本地查看登录记录 Linux主机 您可以在“/var/log/secure”和“/var/log/message”路径下查看主机登录日志,或使用last命令查看登录记录中是否有异常登录。
查看容器审计日志 操作场景 本章节为您介绍如何查看容器审计日志。 查看容器审计日志 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。 在左侧导航栏,选择“安全运营 > 容器审计”,进入“容器审计”页面。 根据以下操作查看不同类型的审计日志。
破坏的行为。 漏洞利用通常被分为远程利用和本地利用。远程漏洞利用指攻击者利用网络连接到目标系统,挖掘系统漏洞实施攻击。本地漏洞利用指攻击者已在目标系统上取得低权限访问后,利用漏洞升级权限或执行其他恶意操作。 远程代码执行 实时检测利用漏洞入侵主机的行为,对发现的入侵行为进行告警上报。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
