主机资产指纹识别
主机安全提供资产管理功能,主动检测主机中的开放端口、系统运行中的进程、主机中的Web目录和自启动项。通过资产管理,您能集中清点主机中的各项资产信息,及时发现主机中含有风险的各项资产。资产管理仅提供风险检测功能,若发现有可疑资产信息,请手动处理。
识别资产指纹
账号信息管理、开放端口检测:实时检测。开放端口检测结果每6小时刷新一次统计数据。
进程信息管理、Web目录管理、软件信息管理、自启动:每日凌晨自动进行一次检测。
功能项
|
功能描述
|
检测周期
|
---|---|---|
账号信息管理 |
检测主机系统中的账号,列出当前系统的账号信息,帮助用户进行账户安全性管理。 根据账号的实时信息和历史变动,您可以快速排查主机中的可疑账号。 ● 账号的实时信息包括账号的“账号名称”、“服务器数”以及具体账号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 ● 账号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 |
实时检测 |
开放端口检测 |
检测主机系统中的端口,列出当前系统开放的端口列表,帮助用户识别出其中的危险端口和未知端口。 根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”,您能够快速排查主机中含有风险的端口。 ● 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口,需要排查这些端口是否是正常业务使用,如果不是正常业务端口,建议关闭端口。对于危险端口建议进一步检查程序文件,如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口,根据业务实际情况处理危险程度为“未知”的端口。 ● 忽略风险:如果检测出的危险端口是业务正在使用的正常端口,您可以忽略该条告警。忽略之后将不再作为危险项进行记录,也不再发送告警。 |
实时检测 |
进程信息检测 |
检测主机系统中运行的进程,对运行中的进程进行收集及呈现,便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”,您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后,自动清除进程信息管理列表中的进程信息。 |
实时检测 |
软件信息管理 |
检测并列出当前系统安装的软件信息,帮助用户清点软件资产,识别不安全的软件版本。 根据软件的实时信息和历史变动,您能够快速排查主机中含有风险的软件。 ● 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 ● 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 |
每日凌晨自动检测 |
自启动项 |
检测并列出当前所有主机系统中的自启动项,帮助用户及时发现异常自启动项,快速定位木马程序的问题。 ● 自启动项的实时信息包括“名称”、“类型”(自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务)、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 ● 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 |
实时检测 |
Web站点 |
统计、展示存放Web内容的目录及对外提供访问的站点信息,您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、关键进程等信息。 |
1次/周(每周一凌晨05:00) |
Web框架 |
统计、展示Web内容对外呈现时所使用框架的详细信息,您可查看所有框架的版本、路径、关联进程等信息。 |
1次/周(每周一凌晨05:00) |
中间件 |
统计、展示所使用到的所有软件信息,您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 |
1次/周(每周一凌晨05:00) |
内核模块 |
统计、展示运行在内核层的全量程序模块文件,您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 |
1次/周(每周一凌晨05:00) |
查看资产指纹详情
资产管理仅提供风险检测功能,若发现有可疑资产信息,请手动处理。
1、登录管理控制台。在页面左上角选择“区域”,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
2、选择“资产管理 > 资产指纹”,进入“资产指纹”页面,选择不同页签,查看主机安全检测到的服务器上的所有资产。
查看历史变动记录
主机安全提供的资产管理,主动对账号信息、软件信息及自启动的变动情况进行记录,您可根据维度和时间进行选择查看对应的信息变动详情。
1、登录管理控制台。在页面左上角选择“区域”,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
2、选择“资产管理 > 资产指纹 > 历史变动记录”,进入“历史变动记录”页面,选择维度和时间段,查看账号、软件、自启动项的历史变动记录。
软件信息管理
历史变动状态说明:
● 变动状态:新增(新增的软件)、删除(删除的软件)。
● 最近扫描时间:由于为周期收集,变动记录的时间是获取到改动的时间,非真实发生的时间。
根据实时软件数据和历史变动记录,您可以统一管理所有主机中的软件信息。若发现主机中的软件版本过低或存在可疑的软件,您可以及时升级低版本的软件或删除可疑和无需使用的软件。
自启动项
大多数木马通常通过创建自启动服务、定时任务、预加载动态库、Run注册表键或者开启启动文件夹的方式入侵主机,自启动管理会收集所有云主机自启动的汇总信息,包含自启动的名称、类型和覆盖主机数。您可以根据统计并展示的自启动信息,快速发现主机中可疑的自启动。
您可以查看自启动项对应的服务器名称/IP、变动状态、路径、文件HASH、运行用户和最近扫描时间。
账号信息管理
历史变动状态说明:
● 变动状态:新建(新建了账号)、删除(删除了账号)、修改(修改了账号名、管理员权限或用户组等信息)。
● 最近扫描时间:服务器周期内最新的扫描时间。
根据历史变动记录和实时账号数据,您可以统一管理所有主机中的账号信息。若发现系统中有不必要的多余账号,或者发现有超级权限的账号(拥有root权限),需要排查这些账号是否是正常业务使用,如果不是则建议删除多余账号或者修改账号的权限,避免账号被黑客利用。