计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
云手机服务器 CPH
Huawei Cloud EulerOS
网络
虚拟私有云 VPC
弹性公网IP EIP
虚拟专用网络 VPN
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
VPC终端节点 VPCEP
云连接 CC
企业路由器 ER
企业交换机 ESW
全球加速 GA
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
边缘安全 EdgeSec
威胁检测服务 MTD
CDN与智能边缘
内容分发网络 CDN
CloudPond云服务
智能边缘云 IEC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
云搜索服务 CSS
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
数据可视化 DLV
数据湖工厂 DLF
湖仓构建 LakeFormation
企业应用
云桌面 Workspace
应用与数据集成平台 ROMA Connect
云解析服务 DNS
专属云
专属计算集群 DCC
IoT物联网
IoT物联网
设备接入 IoTDA
智能边缘平台 IEF
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
国际站常见问题
ICP备案
我的凭证
支持计划
客户运营能力
合作伙伴支持计划
专业服务
区块链
区块链服务 BCS
Web3节点引擎服务 NES
解决方案
SAP
高性能计算 HPC
视频
视频直播 Live
视频点播 VOD
媒体处理 MPC
实时音视频 SparkRTC
数字内容生产线 MetaStudio
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
存储容灾服务 SDRS
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属分布式存储服务 DSS
容器
云容器引擎 CCE
容器镜像服务 SWR
应用服务网格 ASM
华为云UCS
云容器实例 CCI
管理与监管
云监控服务 CES
统一身份认证服务 IAM
资源编排服务 RFS
云审计服务 CTS
标签管理服务 TMS
云日志服务 LTS
配置审计 Config
资源访问管理 RAM
消息通知服务 SMN
应用运维管理 AOM
应用性能管理 APM
组织 Organizations
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
应用身份管理服务 OneAccess
数据库
云数据库 RDS
文档数据库服务 DDS
数据管理服务 DAS
数据复制服务 DRS
云数据库 GeminiDB
云数据库 GaussDB
分布式数据库中间件 DDM
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
人脸识别服务 FRS
图引擎服务 GES
图像识别 Image
内容审核 Moderation
文字识别 OCR
AI开发平台ModelArts
图像搜索 ImageSearch
对话机器人服务 CBS
华为HiLens
视频智能分析服务 VIAS
语音交互服务 SIS
应用中间件
分布式缓存服务 DCS
API网关 APIG
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
多活高可用服务 MAS
事件网格 EG
企业协同
华为云会议 Meeting
云通信
消息&短信 MSGSMS
云生态
合作伙伴中心
云商店
开发者工具
SDK开发指南
API签名指南
Terraform
华为云命令行工具服务 KooCLI
其他
产品价格详情
系统权限
管理控制台
客户关联华为云合作伙伴须知
消息中心
公共问题
开发与运维
应用管理与运维平台 ServiceStage
软件开发生产线 CodeArts
需求管理 CodeArts Req
部署 CodeArts Deploy
性能测试 CodeArts PerfTest
编译构建 CodeArts Build
流水线 CodeArts Pipeline
制品仓库 CodeArts Artifact
测试计划 CodeArts TestPlan
代码检查 CodeArts Check
代码托管 CodeArts Repo
云应用引擎 CAE
开天aPaaS
云消息服务 KooMessage
云手机服务 KooPhone
云空间服务 KooDrive

版本功能特性

更新时间:2024-08-14 GMT+08:00

企业主机安全有企业版、旗舰版、网页防篡改版和容器安全供您选择,包含了资产管理、漏洞管理、基线检查、入侵检测、勒索防护、网页防篡改、容器镜像安全等功能,具体功能详情及版本差异详情请参见版本功能差异说明

功能特性说明

企业主机安全包含了资产管理、基线检查、勒索防护、入侵检测等功能特性,每一个功能都从不同维度提升主机的安全性,全方位保证主机的安全可靠,不同版本支持的功能详情请参见版本功能差异说明

表1 企业主机安全功能特性说明

功能名称

功能描述

资产管理

提供资产概览、资产指纹管理、主机管理、容器管理功能,支持查看资产运行状态、资产指纹和资产分类情况,同时可按照主机、容器的维度查看或管理目标服务器,实现主机全量资产的统一可视管理。

漏洞管理

提供检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞、应用漏洞,帮助用户识别潜在风险。

基线检查

扫描主机系统和关键软件含有风险的配置、弱口令、口令复杂度策略。

支持的检测基线包含安全实践和等保合规基线,且可自定义选择检测的子基线项。

支持对检测风险的修复和验证。

容器镜像安全

扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议,帮助用户得到一个安全的镜像。

应用防护

为运行时的应用提供安全防御。您无需修改应用程序文件,只需将探针注入到应用程序,即可为应用提供强大的安全防护能力。

当前只支持操作系统为Linux的服务器,且仅支持Java应用接入。

网页防篡改

实时发现并拦截篡改指定目录下文件的行为,并快速获取备份的合法文件恢复被篡改的文件,从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。

勒索病毒防护

支持已知勒索病毒检测能力,支持自定义勒索备份恢复策略。

文件完整性管理

检查Linux系统、应用程序软件和其他组件的文件,帮助用户及时发现发生了可能遭受攻击的更改。

容器防火墙

对容器集群内部和外部的网络流量进行控制和拦截,防止恶意访问和攻击。

主机入侵检测

识别并阻止入侵主机的行为,实时检测主机的风险异变,检测并查杀主机中的恶意程序,识别主机中的网站后门等。

容器入侵检测

实时监控容器节点运行状态,发现挖矿、勒索等恶意程序,发现违反容器安全策略的进程运行和文件修改,以及容器逃逸等行为并给出解决方案。

白名单管理

可以通过加入告警白名单避免大量告警误报的发生,提升安全事件告警质量。将当前告警事件加入告警白名单后,当再次发生相同的告警时不再进行告警。

策略管理

提供灵活的策略管理能力,可以根据需要自定义安全检测规则,并可以为不同的主机组或主机/容器应用不同的策略,以满足不同应用场景的主机/容器安全需求。

历史处置记录

提供漏洞的历史处置记录,方便您查看处理时间和处理人等信息。

安全报告

提供每周或每月的主机安全趋势以及关键安全事件与风险。

安全配置

提供配置常用登录地、常用登录IP、SSH登录IP白名单、恶意程序自动隔离查杀功能,满足不同应用场景的主机/容器安全需求。

版本推荐说明

  • 若您使用的主机涉及重要资产或者高风险情况,建议开启旗舰版或者网页防篡改版,例如:对外暴露EIP、保存有关键资产、存在数据库等。
  • 有网站或者关键系统防篡改需求,以及有应用安全防护需求的主机,主要部署在网站或者应用的主机上,推荐使用网页防篡改版
  • 有镜像安全、容器运行时安全需求,以及需要满足容器化部署业务的用户,推荐使用容器安全
    须知:
    • 为防止未防护主机感染勒索、挖矿等病毒后传染给其他主机,导致企业内网整体沦陷,建议您的云上主机全部署企业主机安全

版本功能差异说明

表2 版本功能差异说明

服务功能

功能项

功能概述

企业版

旗舰版

网页防篡改版

容器安全

支持的操作系统

检测周期

资产概览

所有主机的资产状态、清点情况统计。

Linux、Windows

实时检测

主机管理

所有主机资产管理,包含主机的防护状态、配额绑定、策略分配等。

Linux、Windows

:批量安装Agent仅支持Linux

-

容器管理

容器节点管理,容器镜像管理。

×

×

×

Linux

-

资产指纹

账号

检测当前系统的账号信息,帮助用户进行账户安全性管理。

×

Linux、Windows

实时检测

开放端口

检测当前系统开放的端口,帮助用户识别出其中的危险端口和未知端口。

×

Linux、Windows

实时检测

进程

监测运行中的进程并进行收集及呈现,便于用户自主清点合法进程,发现异常进程。

×

Linux、Windows

实时检测

软件

监测并记录当前系统安装的软件信息,帮助用户清点软件资产,识别不安全的软件版本。

×

Linux、Windows

每日凌晨自动检测

自启动项

对系统中的自启动项进行检测,及时统计自启动项的变更情况。

×

Linux、Windows

实时检测

Web应用

Web应用主要统计、展示推送发布web内容的软件详细信息,您可以查看所有软件的版本、路径、配置文件、关键进程等信息。

×

Linux

1次/周(每周一凌晨05:00)

Web服务

统计、展示对外提供web内容访问的软件详细信息,您可查看所有软件的版本、路径、配置文件、关联进程等信息。

×

Linux

1次/周(每周一凌晨05:00)

Web框架

统计、展示Web内容对外呈现时所使用框架的详细信息,您可查看所有框架的版本、路径、关联进程等信息。

×

Linux

1次/周(每周一凌晨05:00)

Web站点

统计、展示存放Web内容的目录及对外提供访问的站点信息,您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、关键进程等信息。

×

Linux

1次/周(每周一凌晨05:00)

中间件

统计、展示所使用到的所有软件信息,您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。

×

Linux

1次/周(每周一凌晨05:00)

数据库

统计、展示提供数据存储的软件详细信息,您可以查看所有软件的版本、路径、配置文件、关键进程等信息;

×

Linux

1次/周(每周一凌晨05:00)

内核模块

统计、展示运行在内核层的全量程序模块文件,您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。

×

Linux

1次/周(每周一凌晨05:00)

漏洞管理

Linux漏洞检测

通过与漏洞库进行比对,检测Linux操作系统官方维护的软件(非绿色版、非自行编译安装版;例如:kernel、openssl、vim、glibc等)存在的漏洞。

Linux

  • 每日凌晨自动检测
  • 手动检测

Windows漏洞检测

通过同步微软官方的补丁公告,检测Windows操作系统存在的漏洞。

Windows

  • 每日凌晨自动检测
  • 手动检测

Web-CMS漏洞检测

通过对Web目录和文件进行检测,识别Web-CMS漏洞,提升Web服务安全性。

Linux、Windows

  • 每日凌晨自动检测
  • 手动检测

应用漏洞检测

检测开源的jar包、elf文件等的漏洞,比如log4j、spring-core的漏洞。

Linux

  • 1次/周(每周一凌晨05:00)
  • 手动检测

基线检查

口令复杂度策略检测

检测系统中的口令复杂度策略,给出修改建议,帮助用户提升口令安全性。

Linux

  • 每日凌晨自动检测
  • 手动检测

经典弱口令检测

检测系统账户口令是否属于常用的弱口令,针对弱口令提示用户修改。

Linux

  • 每日凌晨自动检测
  • 手动检测

配置检查

对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查,帮助用户识别不安全的配置项。

Linux、Windows

  • 每日凌晨自动检测
  • 手动检测

容器镜像安全

容器镜像漏洞

通过与漏洞库进行比对,检测并管理本地镜像和私有镜像仓库存在的漏洞,对当前镜像中存在的紧急漏洞进行提醒。

×

×

×

Linux

  • 每日凌晨自动检测
  • 手动检测

镜像基线检查

提供18类容器基线配置检查,帮助用户识别不安全的配置。

×

×

×

Linux

实时检测

网页防篡改

静态网页防篡改

防止网站服务器中的静态网页文件被篡改。

×

×

×

Linux、Windows

实时检测

动态网页防篡改

防止网站数据库中动态网页内容被篡改。

×

×

×

Linux

实时检测

勒索病毒防护

勒索病毒防护

帮助用户识别检测已知勒索病毒攻击,通过勒索备份恢复业务。

×

Linux、Windows

实时检测

文件完整性管理

文件完整性检测

检查Linux系统、应用程序软件和其他组件的文件,帮助用户及时发现发生了可能遭受攻击的更改。

×

Linux

实时检测

容器防火墙

容器防火墙

对容器集群内部和外部的网络流量进行控制和拦截,防止恶意访问和攻击。

×

×

×

Linux

实时检测

主机入侵检测

未分类恶意软件

对运行中的程序进行检测,识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。

Linux、Windows

实时检测

Rootkits

检测服务器资产,对可疑的内核模块和可疑的文件或文件夹进行告警上报。

Linux

实时检测

勒索软件

检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。

勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产,并以此作为向您勒索钱财的筹码。

×

Linux、Windows

实时检测

Webshell

检测云服务器上Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。

  • 网站后门检测信息包括“木马文件路径”“状态”“首次发现时间”“最后发现时间”。您可以根据网站后门信息忽略可信文件。
  • 您可以使用手动检测功能检测主机中的网站后门。

Linux、Windows

实时检测

Redis漏洞利用

实时检测Redis进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

Linux

实时检测

Hadoop漏洞利用

实时检测Hadoop进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

Linux

实时检测

MySQL漏洞利用

实时检测MySQL进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

Linux

实时检测

反弹Shell

实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。

支持对TCP、UDP、ICMP等协议的检测。

Linux

实时检测

文件提权

检测当前系统对文件的提权。

Linux

实时检测

进程提权

检测以下进程提权操作:
  • 利用SUID程序漏洞进行root提权。
  • 利用内核漏洞进行root提权。

Linux

实时检测

关键文件变更

对于系统关键文件进行监控,文件被修改时告警,提醒用户关键文件存在被篡改的可能。

Linux、Windows

实时检测

文件/目录变更

对于系统文件/目录进行监控,文件/目录被修改时告警,提醒用户文件/目录存在被篡改的可能。

Linux、Windows

实时检测

进程异常行为

检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。

对于进程的非法行为、黑客入侵过程进行告警。

进程异常行为可以监控以下异常行为:

  • 监控进程CPU使用异常。
  • 检测进程对恶意IP的访问。
  • 检测进程并发连接数异常等。

Linux、Windows

实时检测

高危命令执行

实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。

Linux、Windows

实时检测

异常Shell

检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。

Linux

实时检测

Crontab可疑任务

检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。

帮助用户通过自启动变更情况,及时发现异常自启动项,快速定位木马程序的问题。

Linux、Windows

实时检测

系统安全防护被禁用

检测勒索软件加密前准备动作:通过注册表关闭 Windows Defender 实时保护功能,一旦发现立即上报告警。

Windows

实时检测

备份删除

检测勒索软件加密前准备动作:删除备份格式文件或Backup文件夹下的文件,一旦发现立即上报告警。

Windows

实时检测

异常注册表操作

检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作,一旦发现立即上报告警。

Windows

实时检测

系统日志删除

检测到通过命令或工具清除系统日志的操作时进行告警。

×

Windows

实时检测

可疑命令执行

  • 检测通过命令或工具创建、删除计划任务或自启动任务。
  • 检测远程执行命令的可疑行为。

Linux、Windows

实时检测

暴力破解

检测“尝试暴力破解”“暴力破解成功”等暴力破解。

  • 检测账户遭受的口令破解攻击,封锁攻击源,防止云主机因账户破解被入侵。
  • 若账户暴力破解成功,登录到云主机,则触发安全事件告警。

Linux、Windows

实时检测

异常登录

检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施(例如:忽略、修改密码等)。

若在非常用登录地登录,则触发安全事件告警。

Linux、Windows

实时检测

非法系统账号

检测主机系统中的账号,列出当前系统中的可疑账号信息,帮助用户及时发现非法账号。

Linux、Windows

实时检测

用户账号添加

检测使用命令创建隐藏账户,一旦创建成功后用户交互界面和命令查询均不可见。

Windows

实时检测

用户密码窃取

检测主机中的系统账号和密码Hash值被异常获取的行为,一旦发现进行告警上报。

Windows

实时检测

可疑的下载请求

检测到利用系统工具下载程序的可疑HTTP请求时进行告警。

×

Windows

实时检测

可疑的HTTP请求

检测到利用系统工具或进程执行远程托管脚本的可疑HTTP请求时进行告警。

×

Windows

实时检测

端口扫描

检测用户指定的端口存在被扫描或者嗅探的行为,一旦发现进行告警上报。

×

Linux

实时检测

容器入侵检测

未分类恶意软件

对容器中运行的程序进行检测,识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。

×

×

×

Linux

实时检测

勒索软件

检测容器场景下勒索软件,并进行告警上报。

×

×

×

Linux

实时检测

Webshell

检测容器中Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。

×

×

×

Linux

实时检测

漏洞逃逸攻击

监控到容器内进程行为符合已知漏洞的行为特征时,触发逃逸漏洞攻击告警。

×

×

×

Linux

实时检测

文件逃逸攻击

监控发现容器进程访问了宿主机系统的关键文件目录(例如:“/etc/shadow”、“/etc/crontab”),则认为容器内发生了逃逸文件访问,触发告警。即使该目录符合容器配置的目录映射规则,仍然会触发告警。

×

×

×

Linux

实时检测

反弹Shell

实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。支持对TCP、UDP、ICMP等协议的检测。

×

×

×

Linux

实时检测

进程提权

检测以下进程提权操作:
  • 利用SUID程序漏洞进行root提权。
  • 利用内核漏洞进行root提权。

×

×

×

Linux

实时检测

容器进程异常

  • 容器恶意程序

    监控容器内启动的容器进程的行为特征和进程文件指纹,如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。

  • 容器异常进程

    对于已关联的容器镜像启动的容器,只允许白名单进程启动,如果容器内存在非白名单进程,触发容器异常程序告警。

×

×

×

Linux

实时检测

容器异常启动

监控新启动的容器,对容器启动配置选项进行检测,当发现容器权限过高存在风险时触发告警。

支持以下容器环境检测:

  • 禁止启动特权容器(privileged:true)
  • 需要限制容器能力集(capabilities:[xxx])
  • 建议启用seccomp(seccomp=unconfined)
  • 限制容器获取新的权限(no-new-privileges:false)
  • 危险目录映射(mounts:[...])

×

×

×

Linux

实时检测

高危命令执行

实时检测容器场景系统中执行的高危命令,当发生高危命令执行时触发告警。

×

×

×

Linux

实时检测

高危系统调用

Linux系统调用是用户进程进入内核执行任务的请求通道,容器安全监控容器进程,如果发现进程使用了危险系统调用,触发高危系统调用告警。

×

×

×

Linux

实时检测

敏感文件访问

监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。

×

×

×

Linux

实时检测

容器镜像阻断

在Docker环境中容器启动前,告警并阻断镜像异常行为策略中指定的不安全容器镜像运行。

×

×

×

Linux

实时检测

暴力破解

检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为,发现暴破行为时触发告警。

支持检测容器场景下SSH、Web和Enumdb暴破行为。

说明:

目前暂仅支持Docker容器运行时的暴力破解检测告警。

×

×

×

Linux

实时检测

非法系统用户账户

检测容器场景系统中的账号,列出当前系统中的可疑账号信息并告警上报,帮助用户及时发现非法账号。

×

×

×

Linux

实时检测

白名单管理

加入告警白名单

处理告警事件时,将告警事件加入到告警白名单。

Linux、Windows

实时检测

登录白名单

对部分告警可加入告警白名单。

Linux、Windows

实时检测

系统用户白名单

对于主机中新添加的root用户组权限用户(非root用户)可添加到系统用户白名单,避免HSS进行风险账号告警。

Linux、Windows

实时检测

策略管理

查看和修改策略

支持自定义检测策略配置与下发,能够为每组或每台主机灵活配置检测规则,便于精细化安全运营。

  • 查看策略组列表
  • 依据默认策略组和已创建的策略组添加策略组
  • 自定义策略
  • 修改和删除策略组
  • 针对策略组包含的策略,进行修改和关闭策略
  • “主机管理”页面可以对主机进行批量部署策略

√(仅支持默认企业版策略组)

Linux、Windows

实时检测

历史处置记录

历史处置记录

提供漏洞、安全告警事件的历史处置记录,方便您查看相关处理时间和处理人等信息。

Linux、Windows

-

安全报告

主机安全报告

呈现每周或每月的主机安全趋势以及关键安全事件与风险。

Linux、Windows

-

安全配置

Agent管理

可查看所有服务器的Agent状态,可进行升级、卸载、安装等操作。

Linux、Windows

实时检测

常用登录地

配置常用登录地后,服务将对非常用地登录主机的行为进行告警。每个主机可被添加在多个登录地中。

Linux、Windows

实时检测

常用登录IP

配置常用登录IP,服务将对非常用IP登录主机的行为进行告警。

Linux、Windows

实时检测

配置SSH登录IP白名单

SSH登录IP白名单功能是防护账户爆破的一个重要方式,主要是限制需要通过SSH登录的服务器。

配置了白名单的服务器,只允许白名单内的IP通过SSH登录到服务器,拒绝白名单以外的IP。

Linux

实时检测

恶意程序隔离查杀

开启恶意程序隔离查杀后,HSS对识别出的后门、木马、蠕虫等恶意程序,提供自动隔离查杀功能,帮助用户自动识别处理系统存在的安全风险。

Linux、Windows

实时检测

插件管理

对插件进行安装、卸载、升级及统一管理。

×

×

×

Linux

-

我们使用cookie来确保您的高速浏览体验。继续浏览本站,即表示您同意我们使用cookie。 详情

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容