-
如何为高危命令执行类告警添加白名单? - 主机安全服务(新版)HSS
添加命令白名单。参数说明如下: 进程全路径或程序名:填写进程的全路径或者程序名称,例如/usr/bin/sleep或sleep。 命令行正则表达式:填写需要加白的命令行的正则表达式,例如^[A-Za-z0-9[:space:]\\*\\.\\\":_'\\(>=-]+$ 图1 添加白名单 单击“确认”,保存修改。
-
配置策略 - 主机安全服务(新版)HSS
白名单(不记录/不上报) 添加检测时放行、忽略的路径或程序名;同时可填写需要加白的命令行的正则表达式,命令行正则表达式非必填。 示例: 进程全路径或程序名:/usr/bin/sleep 命令行正则表达式:^[A-Za-z0-9[:space:]\\*\\.\\\":_'\\(>=-]+$
-
HSS自定义策略 - 主机安全服务(新版)HSS
可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。 JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见:创建自定义策略。
-
SDK概述 - 主机安全服务(新版)HSS
址。 在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 表 SDK列表提供了HSS服务支持的SDK列表,您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 表1 SDK列表 编程语言
-
HSS与其他云服务的关系 - 主机安全服务(新版)HSS
开启消息通知服务后,当您的主机遭受攻击或被检测出有高危风险时,您将接收到主机安全服务发送的各项风险告警通知。 在“告警通知”界面,您可以根据运维计划选择“每日告警通知”和“实时告警通知”。 关于SMN的详细内容,请参见《消息通知服务用户指南》。 统一身份认证服务 统一身份认证服务(Identity
-
主机安全告警事件概述 - 主机安全服务(新版)HSS
ckup文件夹下的文件,一旦发现立即上报告警。 × × √ √ √ Windows × × 异常注册表操作 检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作,一旦发现立即上报告警。 × × √ √ √ Windows × × 系统日志删除 检测到通过
-
出现弱口令告警,怎么办? - 主机安全服务(新版)HSS
主机安全服务”,进入主机安全平台界面。 选择“风险预防 > 基线检查”,单击“经典弱口令检测”,查看存在的弱口令。 图1 经典弱口令 根据经典弱口令列表中的“服务器名称/IP地址”、“账号名称”、“账号类型”和“弱口令使用时长(单位:天)”,登录待修改弱口令的主机,修改弱口令。 修改常见的服务器弱口令
-
查询开放端口统计信息 - 主机安全服务(新版)HSS
String 项目ID 最小长度:1 最大长度:256 表2 Query参数 参数 是否必选 参数类型 描述 port 否 Integer 端口号,精确匹配 最小值:1 最大值:65535 port_string 否 String 端口字符串,用来进行模糊匹配 最小长度:1 最大长度:256
-
Agent检测时占用多少CPU和内存资源? - 主机安全服务(新版)HSS
启动Hostwatch后会自动拉起Hostguard。 不同规格主机Agent资源占用一览 Agent运行时,不同规格的云服务器CPU、内存占用情况如表1所示。 表1 Agent资源占用一览 vCPUs规格 Agent运行占用CPU资源比例(峰值) 执行病毒查杀时,内存占用(峰值) 内存占用(峰值)
-
配置容器集群防护策略 - 主机安全服务(新版)HSS
动作。 告警:在“容器集群防护 > 防护事件”页面生成一个防护动作为“告警”的事件。 阻断:阻断风险镜像运行,并在“容器集群防护 > 防护事件”页面生成一个防护动作为“阻断”的事件。 放行:在“容器集群防护 > 防护事件”页面生成一个防护动作为“放行”的事件。 加白名单 填写需要
-
如何为主机安全服务续费? - 主机安全服务(新版)HSS
主机安全服务”,进入主机安全平台界面。 根据不同的配额类型执行续费操作。 续费主机配额: 在左侧导航栏选择“资产管理 > 主机管理”页面,选择“防护配额”页签,进入防护配额列表页面。 在需要续费的配额所在行的“操作”列,选择“更多 > 续费”。 您也可以勾选所有需要续费的配额,在配额列表左上方单击“批量续费”,进行批量续费。
-
如何为主机安全服务续费? - 主机安全服务(新版)HSS
主机安全服务”,进入主机安全平台界面。 根据不同的配额类型执行续费操作。 续费主机配额: 在左侧导航栏选择“资产管理 > 主机管理”页面,选择“防护配额”页签,进入防护配额列表页面。 在需要续费的配额所在行的“操作”列,选择“更多 > 续费”。 您也可以勾选所有需要续费的配额,在配额列表左上方单击“批量续费”,进行批量续费。
-
安装部署流程 - 主机安全服务(新版)HSS
混合云解决方案 根据服务器的不同类别会采用不同的安装方式进行Agent安装,获取安装命令的方式也不一样。 表2 混合云方案安装命令获取方式 服务器场景类别 安装命令/安装包获取方式 华为云服务器 华为云控制台复制华为云安装命令。 非华为云服务器(互联网) 搭建代理服务,生成安装命令或安
-
创建白名单策略 - 主机安全服务(新版)HSS
在“创建策略”弹窗中,设置策略参数,相关参数说明请参见表 创建白名单策略参数说明。 图1 创建白名单策略 表1 创建白名单策略参数说明 参数名称 参数说明 策略模式 应用进程控制防护策略模式。 默认配置下日常运营模式允许可信、可疑进程运行,仅对恶意进程进行告警。 白名单策略名称 系统默认会生成白名单策略名称,建议您自定义修改,后续方便区分和管理。
-
修订记录 - 主机安全服务(新版)HSS
修改说明 2024-06-28 第十六次正式发布。 修改: 服务版本差异,增加容器审计、容器安装与配置功能说明;应用防护功能增加JNDI注入、表达式注入介绍。 约束与限制,增加支持的集群容器类型说明。 2024-03-25 第十五次正式发布。 优化: 服务版本差异,增加动态端口蜜罐功能说明。
-
服务版本差异 - 主机安全服务(新版)HSS
p文件夹下的文件,一旦发现立即上报告警。 × × √ √ √ √ Windows 实时检测 异常注册表操作 检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作,一旦发现立即上报告警。 × × √ √ √ √ Windows 实时检测 系统日志删除 检测
-
查看月度运营总结报告 - 主机安全服务(新版)HSS
主机安全服务每月1号会生成上一月的月度资产安全运营总结报告,以便您了解上一月的资产安全状态、防护功能配置情况等,通过对安全运营总结进行分析,您可以在后续的安全运营过程中加固安全防护配置、提升安全运维效率。 约束与限制 如果上一月您未访问过主机安全服务,则不会生成月度运营总结报告。
-
步骤四:制作安装包/安装命令 - 主机安全服务(新版)HSS
n。 arm_deb_install.sh中的安装命令适用于arm架构,deb软件包管理的镜像,如Ubuntu、Debian。 查看生成的命令,生成的目标命令将用于线下Linux服务器Agent的安装使用。 图2 Linux安装命令 制作Windows安装包 执行以下命令进入tmp目录。
-
设置监控告警规则 - 主机安全服务(新版)HSS
告警规则”,进入“告警规则”页面。 在页面右上方,单击“创建告警规则”,进入“创建告警规则”界面。 根据界面提示配置参数。 关键参数如下,更多配置参数信息,请参见创建告警规则和通知: 告警名称:系统会生成一个名称,也可以进行修改。 资源类型:主机安全服务 维度:主机安全 监控范围:告警规则适用的资源范围,可选全部资源或指定资源。
-
接入容器资产 - 主机安全服务(新版)HSS
com/huawei/anp-agent 界面回显如图 镜像仓上传成功所示,表示上传成功。 图4 镜像仓上传成功 单击“下一步”。 配置集群接入信息,并单击“生成命令”。接入信息相关参数说明如表 配置接入信息参数说明所示。 图5 配置集群接入信息 表5 配置接入信息参数说明 参数名称 参数说明 集群名称