检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
应用进程控制 应用进程控制概述 创建白名单策略 确认学习结果 开启应用进程控制防护 查看并处理可疑进程 扩展进程白名单 重新学习服务器 关闭应用进程控制防护 父主题: 主机防御
查看云服务器的文件变更情况。
执行以下命令,查看“/etc/sshd.deny.hostguard”文件,如图1所示。 cat /etc/sshd.deny.hostguard 图1 查看文件内容 执行以下命令,打开“/etc/sshd.deny.hostguard”文件。
单击待确认进程数量,查看待确认进程。 图1 查看待确认进程 根据进程名称和进程文件路径等信息,确认应用进程是否可信。 在已确认进程所在行的操作列,单击“标记”。 您也可以批量勾选所有应用进程,单击进程列表左上方的“批量标记”,进行批量标记。 在标记弹窗中,选择进程“信任状态”。
如何查看配置检查的报告? 出现弱口令告警,怎么办? 如何设置安全的口令?
详细介绍请参见通过企业项目维度查看成本分配。 图1 为企业主机安全选择企业项目 通过成本标签进行成本分配 标签是华为云为了标识云资源,按各种维度(例如用途、所有者或环境)对云资源进行分类的标记。
在“云服务器”页签,查看服务器的运行状态、Agent状态以及服务器使用的企业主机安全版本。 图1 查看服务器信息 确认相关信息后,请参考如下方式处理问题: 使用企业主机安全“基础版”的服务器。
图1 恢复服务器 在“备份统计”栏,单击备份恢复任务的数值,查看备份恢复进度。 父主题: 勒索病毒防护
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 选择“Agent管理”页签。 在页面右上角,单击“安装主机安全Agent”,弹出“安装主机安全Agent”对话框。
方式二:执行以下命令查看软件升级结果,确保软件已升级为最新版本。
等待5~10分钟后,在集群列表中查看无该集群,表示卸载Agent成功。 父主题: 容器安装与配置
在“Agent管理”页签,查看服务器的“Agent升级状态”。 如果“Agent升级状态”为“未升级”,请单击“升级Agent”,将Agent升级为最新版,如图 升级Agent所示。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 图1 主机安全告警 单击告警名称,查看告警信息和处理建议。 处理告警事件。 告警事件展示在“主机安全告警”页面中,事件列表仅展示最近30天的告警事件。
选择查看告警名称为“恶意程序”的告警事件,排查系统是否被植入了恶意程序。 单击告警名称,可查看告警事件详细信息。 如果被植入了恶意程序,请根据检测结果中提示的“恶意程序路径”、“运行用户”、“程序启动时间”等信息,分析、判断哪些确实是恶意程序。
图5 修改HIPS检测策略 表7 HIPS检测策略内容参数说明 参数名称 参数说明 自动化阻断 开启后,对检测到的注册表、文件及进程等异常变更行为进行阻断,例如反弹Shell、高危命令等。 :开启。 :关闭。 可信进程 添加可信进程的文件路径。
检测相关系统的漏洞,并查看漏洞详情,详细的操作步骤请参见查看漏洞详情。 漏洞修复与验证,详细的操作步骤请参见漏洞修复与验证。 图1 手动检测漏洞 检测主机是否开放了“4505”和“4506”端口。
查看防护事件 您可以在HSS控制台查看被告警或阻断的未授权或含高危安全风险的容器镜像运行事件,及时排查并清理不安全的容器镜像。 父主题: 容器集群防护
在“云服务器”页签中,在搜索框筛选“防护状态”为“关闭”的主机,查看未绑定配额的主机。 图1 筛选未绑定配额的主机 父主题: 防护配额
× × √ √ √ √ 异常注册表操作 检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作,一旦发现立即上报告警。 支持的操作系统:Windows。 检测周期:实时检测。
处理方法和步骤 查看漏洞检测结果。 按照漏洞检测结果给出的漏洞修复紧急度和解决方案逐个进行漏洞修复。 Windows系统漏洞修复完成后需要重启。 Linux系统Kernel类的漏洞修复完成后需要重启。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
