检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
白名单策略是管理HSS学习服务器行为和应用进程防护动作的规则,只有关联了白名单策略的服务器才能开启应用进程防护。 确认学习结果 HSS学习完服务器中的应用进程后,可能存在某些可疑应用进程的特征不明显,HSS无法完全定义为恶意进程或可信进程,因此这些不确定具体分类的可疑进程需要再次进行确认。 开启应用进程控制
服务器统计 存在文件变更的服务器数量统计。 变更统计 总变更数:文件变更总次数。 变更文件次数:文件变更总次数。 变更类别 修改:修改文件的总数量。 新增:新增文件的总数量。 删除:删除文件的总数量。 查看单个服务器文件变更记录 在云服务器列表中,可查看服务器对应的文件、注册表变更数量和最后变更时间。
查容器中的异常进程。 进程信息管理检测的机制是30天检测不到进程后,自动清除进程信息管理列表中的进程信息。 每小时自动检测 软件 检测并列出当前系统安装的软件信息,帮助用户清点软件资产,识别不安全的软件版本。 根据软件的实时信息和历史变动,您能够快速排查容器中含有风险的软件。 软
病毒扫描任务执行完成后,系统会根据您创建查杀任务时选择的处置策略处置检测到的病毒文件,相关处置策略如下: 自动处置:经过云病毒检测中心进一步确认为病毒的病毒文件系统自动进行隔离;未被确认为病毒的可疑文件会被打上“可疑”标签,需人工确认后进行处置。 人工处置:仅对检测到的病毒文件进行告警不自动隔离,需人工确认后进行处置。
默认规则:容器运行时的sock地址为通用地址,Agent将默认安装在没有配置污点的节点上。 自定义规则:如果您的容器运行时sock地址非通用地址需要修改,或仅需要在指定的节点上安装Agent,可选择该规则。 说明: 如果容器运行时的sock地址不正确,可能导致集群接入HSS后,部分HSS功能不能正常使用。
资源和成本规划 本方案示例中涉及的资源如下: 表1 资源说明 资源 资源说明 数量 成本说明 云专线(Direct Connect) DC,作为连接第三方主机和云上资源的专属通道。 2 DC具体的计费方式及标准请参考DC计费说明。 VPC终端节点(VPC Endpoint) VP
定时启停静态网页防篡改 网页防篡改提供的定时开关功能,能够定时启停静态网页防篡改,您可以使用此功能定时更新需要发布的网页。 定时关闭防护期间,文件存在被篡改的风险,请合理制定定时关闭的时间。 关闭防护时段设置规则 每个时间段最小关闭时间 >= 5分钟 每个时间段最长关闭时间 < 24小时
Knowledge,它是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型。 表2 ATT&CK攻击阶段说明 ATT&CK攻击阶段 说明 侦查 攻击者尝试发现您的系统或网络中的漏洞。 初始访问 攻击者尝试进入您的系统或网络。 执行 攻击者尝试运行恶意代码。 持久化 攻击者尝试保持住它们入侵的进攻点。 权限提升
通过检测主机及容器宿主机上运行的软件及依赖包发现是否存在漏洞,将存在风险的漏洞上报至控制台,并为您提供漏洞告警。 应急漏洞 通过软件版本比对和POC验证的方式,检测服务器上运行的软件和依赖包是否存在漏洞,将存在风险的漏洞上报至控制台,并给您提供漏洞告警。 支持扫描和修复的漏洞类型 HSS各版本支持扫描和修复的漏洞类型请参见表
发送记录存储了邮件发送报告的发送详情。 单击安全报告概览页右上角的“报告发送记录”查看报告发送记录。 在弹窗中查看报告发送记录,参数说明如表1所示。 表1 报告发送记录参数 参数名称 参数说明 报告名称 已发送报告的名称。 统计周期 目标发送报告内容的统计周期。 报告类型 目标发送报告的统计周期类型。
端节点获取,对应地区和终端节点页面的“区域”字段的值。 scope参数定义了Token的作用域,下面示例中获取的Token仅能访问project下的资源。您还可以设置Token作用域为某个账号下所有资源或账号的某个project下的资源,详细定义请参见获取用户Token。 POST
管理系统用户白名单 HSS会对主机新添加的root用户组权限用户(非root用户)进行“风险账号”告警。如果是您信任的用户,您可以将该用户添加到系统用户白名单,添加后,HSS将不再对其进行“风险账号”告警。 添加系统用户白名单 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规
等与工作无关的账户。 不显示最后的用户名 配置登录登出后,不显示用户名称。 打开控制面板。 选择“管理工具 > 本地安全策略”。 在“本地安全策略”窗口中,选择“本地策略 > 安全选项”。 双击“交互式登录:不显示最后的用户名”。 在弹出的“交互式登录:不显示最后的用户名”属性窗口中,选择“启用”,并单击确定。
如何筛选未绑定配额的主机? 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全合规 > 企业主机安全”,进入企业主机安全界面。 在左侧导航树中,选择“主机管理”,进入主机管理界面。 在“云服务器”页签中,在搜索框筛选“防护状态”为“未防护”的主机,查看未绑定配额的主机。 图1
升级Agent仅CCE集群支持;其他类型的集群如需升级Agent享受最新版企业主机安全,请先卸载Agent,再重新接入集群,详细操作请参考卸载集群Agent、为集群安装Agent。 升级集群Agent 企业主机安全会定期迭代版本,优化升级服务能力,因此建议您及时将Agent升级为最新版。 登录管理控制台。
企业主机安全是提升主机整体安全性的服务,通过主机管理、风险预防、入侵检测、主动防御、安全运营等功能,可全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。关于企业主机安全提供的服务器安全防护功能请参见产品功能。
一般情况下,建议就近选择靠近您或者您的目标用户的区域,这样可以减少网络时延,提高访问速度。不过,在基础设施、BGP网络品质、资源的操作与配置等方面,中国大陆各个区域间区别不大,如果您或者您的目标用户在中国大陆,可以不用考虑不同区域造成的网络时延问题。 在除中国大陆以外的亚太地区有业务的用户,可以选择“中
目标策略组指的是您需要开启企业主机安全自保护的服务器所属策略组。 如果您未新建新的策略组,那您的服务器都以系统默认的策略组进行防护,您选择系统默认的策略组。“tenant_XXX_XXX_default_policy_group”即可。 如果您新建了策略组,您要选择您的服务器所属策略组,您可以通过以下方式确认服务器所属策略组:
白名单管理 管理登录告警白名单 管理告警白名单 管理系统用户白名单 父主题: 检测与响应
服务页面展示了服务的名称、端点名称、访问方式、服务IP、命名空间、所属集群、集群类型和创建时间信息。 搜索目标服务 您可以在端点列表上方的搜索框中输入服务名称、访问方式等信息,查找目标服务。 查看目标服务详细信息 单击目标服务名称,进入服务的详情页面,可以查看目标服务的选择器、标签和端口等信息。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
