检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
服务器中出现网络异常访问行为可能是遭受攻击的前兆。 异常外联行为 检测到服务器存在异常外联可疑ip的行为,一旦发现进行告警上报。 端口转发检测 检测到利用可疑工具进行端口转发行为,一旦发现进行告警上报。
详细操作,请参见使用云服务器备份恢复数据。 漏洞修复 为了防止再次被木马入侵,您可以通过HSS的漏洞管理功能,查看并修复该服务器漏洞。详细操作,请参见使用HSS扫描和修复漏洞。
企业主机安全提供病毒查杀功能,病毒查杀功能基于特征病毒检测引擎,支持扫描服务器中的病毒文件,扫描文件类型覆盖可执行文件、压缩文件、脚本文件、文档、图片、音视频文件;用户可根据自身需要,自主对服务器执行“快速查杀”、“全盘查杀”、“自定义查杀”扫描任务。
勒索防护异常 勒索防护异常主要表现为服务器的勒索防护状态显示“防护失败”和“防护降级”,您可以根据勒索防护状态在本文中查找并确认问题原因和解决方案。 勒索防护失败 服务器勒索防护状态显示“防护失败”,您可以将鼠标悬停在该状态旁的处查看具体原因。
HSS提供基于云监控服务的资源监控能力,帮助用户监控账号下的服务器防护情况,执行自动实时监控、告警和通知操作。用户可以实时监控未开启防护服务器数量、有风险服务器数量和未安装/已离线Agent数量等信息。 关于HSS支持的监控指标,以及如何创建监控告警规则等内容,请参见监控。
在目标扫描任务所在行的“操作”列,单击“查看详情”,可查看具体服务器的扫描详情。 图3 查看扫描任务 您也可以在“资产管理>主机管理>云服务器”页面,为单台服务器手动扫描漏洞,具体操作如下: 单击服务器名称。 选择“漏洞管理”页签。
前提条件 目标服务器“服务器状态”为“运行中”,“Agent状态”为“在线”,“防护状态”为“防护中”。查看相关状态的详细操作请参见查看主机防护状态。 约束与限制 该功能仅企业主机安全专业版、企业版、旗舰版、网页防篡改版、容器版支持。 导出漏洞列表(漏洞视图) 登录管理控制台。
关闭防护,并解除服务器和当前策略的关联关系。 如果您需要为服务器切换防护策略,请先在当前策略中删除该服务器,再新建或编辑防护策略关联该服务器。 在目标策略所在行的操作列,单击“删除”。 单击“确定”。 在服务器列表中,查看目标服务器,确认关闭防护是否成功。
在左侧导航栏,选择“资产管理 > 主机管理”,进入“主机管理”界面,选择“云服务器”页签,进入云服务器页面。 如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
在弹出的对话框中单击“确定”,跳转到ECS服务器详情页面。 选择“安全组”页签,查看安全组规则。 单击“配置规则”,系统自动跳转到安全组页面。 选择相应规则页签,管理规则。 修改规则 在目标规则所在行的“操作”列,单击“修改”,完成修改后,单击“确定”。
绑定配额:将购买的版本配额绑定至需要防护的服务器,绑定后目标服务器才会开启对应版本支持的防护能力,操作详情请参见开启防护。 开启防护后建议开启告警通知确保在发现告警的第一时间收到通知,同时对服务器进行安全配置,进一步提升服务器的安全性。 父主题: 防护配额
当前用户可以通过在企业主机安全控制台“资产管理 > 主机管理”页面,单击服务器名称,进入服务器防护详情页面,查看“安全运营 > 策略管理”中的策略状态判断Agent防护是否降级。如果存在状态为“启用异常”的策略,表示Agent存在防护降级。
主机防护列表:在左侧导航栏选择“资产管理 > 主机管理”页面,选择“云服务器”页签,进入主机防护列表页面。 容器防护列表:在左侧导航栏选择“资产管理 > 容器管理”页面,选择“容器节点管理 > 节点”页签,进入容器防护列表页面。
购买HSS防护配额需要同时具有ECS ReadOnlyAccess、BSS Administrator和TMS ReadOnlyAccess角色。 ECS ReadOnlyAccess:系统策略,弹性云服务器的只读访问权限。
查看“审计描述”、“修改建议”和“受影响服务器”等信息,根据“修改建议”修复所有受影响服务器中的异常信息。
查看并处理勒索病毒防护事件 开启勒索病毒防护功能后,当服务器发生勒索攻击防护事件时,防护事件会被记录并展示在勒索病毒防护事件列表中供您查看分析,您可以结合自身业务情况处理防护事件。 约束限制 开启勒索病毒防护后需要及时处置勒索病毒告警、修复系统及中间件漏洞。
查看并处理可疑进程 在服务器防护过程中,如果HSS发现服务器中存在可疑进程运行事件,会将其展示在可疑进程运行事件列表中,但不会告警;对于可疑进程运行事件,由于HSS根据学习到的应用进程特征无法判断其是否可信,因此需要您根据实际情况判断并将可疑进程手动加入进程白名单,避免可信进程运行被持续告警
设置网络防御策略(云原生网络2.0模型集群) 云原生网络2.0模型的集群支持通过设置网络防御策略限制访问容器宿主服务器的流量;当未配置安全组策略时,默认所有进出容器宿主服务器的流量都被允许。 本章节介绍如何为云原生网络2.0模型的集群创建网络防御策略。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 在目标服务器所在行的“操作”列,单击“关闭防护”。 您也可以勾选多个目标服务器,并在列表上方单击“关闭防护”,批量关闭防护。
找到服务器对应防护版本的策略组,单击策略组名称,进入策略组管理页面。 单击“实时进程”策略名称。 添加命令白名单。参数说明如下: 进程全路径或程序名:填写进程的全路径或者程序名称,例如/usr/bin/sleep或sleep。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
