版本功能特性
企业主机安全有企业版、旗舰版、网页防篡改版和容器安全供您选择,包含了资产管理、漏洞管理、基线检查、入侵检测、勒索防护、网页防篡改、容器镜像安全等功能,具体功能详情及版本差异详情请参见版本功能差异说明。
功能特性说明
企业主机安全包含了资产管理、基线检查、勒索防护、入侵检测等功能特性,每一个功能都从不同维度提升主机的安全性,全方位保证主机的安全可靠,不同版本支持的功能详情请参见版本功能差异说明。
功能名称 |
功能描述 |
---|---|
资产管理 |
提供资产概览、资产指纹管理、主机管理、容器管理功能,支持查看资产运行状态、资产指纹和资产分类情况,同时可按照主机、容器的维度查看或管理目标服务器,实现主机全量资产的统一可视管理。 |
漏洞管理 |
提供检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞、应用漏洞,帮助用户识别潜在风险。 |
基线检查 |
扫描主机系统和关键软件含有风险的配置、弱口令、口令复杂度策略。 支持的检测基线包含安全实践和等保合规基线,且可自定义选择检测的子基线项。 支持对检测风险的修复和验证。 |
容器镜像安全 |
扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议,帮助用户得到一个安全的镜像。 |
应用防护 |
为运行时的应用提供安全防御。您无需修改应用程序文件,只需将探针注入到应用程序,即可为应用提供强大的安全防护能力。 当前只支持操作系统为Linux的服务器,且仅支持Java应用接入。 |
网页防篡改 |
实时发现并拦截篡改指定目录下文件的行为,并快速获取备份的合法文件恢复被篡改的文件,从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。 |
勒索病毒防护 |
支持已知勒索病毒检测能力,支持自定义勒索备份恢复策略。 |
文件完整性管理 |
检查Linux系统、应用程序软件和其他组件的文件,帮助用户及时发现发生了可能遭受攻击的更改。 |
容器防火墙 |
对容器集群内部和外部的网络流量进行控制和拦截,防止恶意访问和攻击。 |
主机入侵检测 |
识别并阻止入侵主机的行为,实时检测主机的风险异变,检测并查杀主机中的恶意程序,识别主机中的网站后门等。 |
容器入侵检测 |
实时监控容器节点运行状态,发现挖矿、勒索等恶意程序,发现违反容器安全策略的进程运行和文件修改,以及容器逃逸等行为并给出解决方案。 |
白名单管理 |
可以通过加入告警白名单避免大量告警误报的发生,提升安全事件告警质量。将当前告警事件加入告警白名单后,当再次发生相同的告警时不再进行告警。 |
策略管理 |
提供灵活的策略管理能力,可以根据需要自定义安全检测规则,并可以为不同的主机组或主机/容器应用不同的策略,以满足不同应用场景的主机/容器安全需求。 |
历史处置记录 |
提供漏洞的历史处置记录,方便您查看处理时间和处理人等信息。 |
安全报告 |
提供每周或每月的主机安全趋势以及关键安全事件与风险。 |
安全配置 |
提供配置常用登录地、常用登录IP、SSH登录IP白名单、恶意程序自动隔离查杀功能,满足不同应用场景的主机/容器安全需求。 |
版本推荐说明
- 若您使用的主机涉及重要资产或者高风险情况,建议开启旗舰版或者网页防篡改版,例如:对外暴露EIP、保存有关键资产、存在数据库等。
- 有网站或者关键系统防篡改需求,以及有应用安全防护需求的主机,主要部署在网站或者应用的主机上,推荐使用网页防篡改版。
- 有镜像安全、容器运行时安全需求,以及需要满足容器化部署业务的用户,推荐使用容器安全。
- 为防止未防护主机感染勒索、挖矿等病毒后传染给其他主机,导致企业内网整体沦陷,建议您的云上主机全部署企业主机安全。
版本功能差异说明
服务功能 |
功能项 |
功能概述 |
企业版 |
旗舰版 |
网页防篡改版 |
容器安全 |
支持的操作系统 |
检测周期 |
---|---|---|---|---|---|---|---|---|
资产概览 |
所有主机的资产状态、清点情况统计。 |
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
|
主机管理 |
所有主机资产管理,包含主机的防护状态、配额绑定、策略分配等。 |
√ |
√ |
√ |
√ |
Linux、Windows 注:批量安装Agent仅支持Linux |
- |
|
容器管理 |
容器节点管理,容器镜像管理。 |
× |
× |
× |
√ |
Linux |
- |
|
资产指纹 |
账号 |
检测当前系统的账号信息,帮助用户进行账户安全性管理。 |
× |
√ |
√ |
√ |
√ |
Linux、Windows 实时检测 |
开放端口 |
检测当前系统开放的端口,帮助用户识别出其中的危险端口和未知端口。 |
× |
√ |
√ |
√ |
√ |
Linux、Windows 实时检测 |
|
进程 |
监测运行中的进程并进行收集及呈现,便于用户自主清点合法进程,发现异常进程。 |
× |
√ |
√ |
√ |
√ |
Linux、Windows 实时检测 |
|
软件 |
监测并记录当前系统安装的软件信息,帮助用户清点软件资产,识别不安全的软件版本。 |
× |
√ |
√ |
√ |
√ |
Linux、Windows 每日凌晨自动检测 |
|
自启动项 |
对系统中的自启动项进行检测,及时统计自启动项的变更情况。 |
× |
√ |
√ |
√ |
√ |
Linux、Windows 实时检测 |
|
Web应用 |
Web应用主要统计、展示推送发布web内容的软件详细信息,您可以查看所有软件的版本、路径、配置文件、关键进程等信息。 |
× |
√ |
√ |
√ |
√ |
Linux 1次/周(每周一凌晨05:00) |
|
Web服务 |
统计、展示对外提供web内容访问的软件详细信息,您可查看所有软件的版本、路径、配置文件、关联进程等信息。 |
× |
√ |
√ |
√ |
√ |
Linux 1次/周(每周一凌晨05:00) |
|
Web框架 |
统计、展示Web内容对外呈现时所使用框架的详细信息,您可查看所有框架的版本、路径、关联进程等信息。 |
× |
√ |
√ |
√ |
√ |
Linux 1次/周(每周一凌晨05:00) |
|
Web站点 |
统计、展示存放Web内容的目录及对外提供访问的站点信息,您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、关键进程等信息。 |
× |
√ |
√ |
√ |
√ |
Linux 1次/周(每周一凌晨05:00) |
|
中间件 |
统计、展示所使用到的所有软件信息,您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 |
× |
√ |
√ |
√ |
√ |
Linux 1次/周(每周一凌晨05:00) |
|
数据库 |
统计、展示提供数据存储的软件详细信息,您可以查看所有软件的版本、路径、配置文件、关键进程等信息; |
× |
√ |
√ |
√ |
√ |
Linux 1次/周(每周一凌晨05:00) |
|
内核模块 |
统计、展示运行在内核层的全量程序模块文件,您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 |
× |
√ |
√ |
√ |
√ |
Linux 1次/周(每周一凌晨05:00) |
|
漏洞管理 |
Linux漏洞检测 |
通过与漏洞库进行比对,检测Linux操作系统官方维护的软件(非绿色版、非自行编译安装版;例如:kernel、openssl、vim、glibc等)存在的漏洞。 |
√ |
√ |
√ |
√ |
Linux |
|
Windows漏洞检测 |
通过同步微软官方的补丁公告,检测Windows操作系统存在的漏洞。 |
√ |
√ |
√ |
√ |
Windows |
|
|
Web-CMS漏洞检测 |
通过对Web目录和文件进行检测,识别Web-CMS漏洞,提升Web服务安全性。 |
√ |
√ |
√ |
√ |
Linux、Windows |
|
|
应用漏洞检测 |
检测开源的jar包、elf文件等的漏洞,比如log4j、spring-core的漏洞。 |
√ |
√ |
√ |
√ |
Linux |
|
|
基线检查 |
口令复杂度策略检测 |
检测系统中的口令复杂度策略,给出修改建议,帮助用户提升口令安全性。 |
√ |
√ |
√ |
√ |
Linux |
|
经典弱口令检测 |
检测系统账户口令是否属于常用的弱口令,针对弱口令提示用户修改。 |
√ |
√ |
√ |
√ |
Linux |
|
|
配置检查 |
对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查,帮助用户识别不安全的配置项。 |
√ |
√ |
√ |
√ |
Linux、Windows |
|
|
容器镜像安全 |
容器镜像漏洞 |
通过与漏洞库进行比对,检测并管理本地镜像和私有镜像仓库存在的漏洞,对当前镜像中存在的紧急漏洞进行提醒。 |
× |
× |
× |
√ |
Linux |
|
镜像基线检查 |
提供18类容器基线配置检查,帮助用户识别不安全的配置。 |
× |
× |
× |
√ |
Linux |
实时检测 |
|
网页防篡改 |
静态网页防篡改 |
防止网站服务器中的静态网页文件被篡改。 |
× |
× |
√ |
× |
Linux、Windows |
实时检测 |
动态网页防篡改 |
防止网站数据库中动态网页内容被篡改。 |
× |
× |
√ |
× |
Linux |
实时检测 |
|
勒索病毒防护 |
勒索病毒防护 |
帮助用户识别检测已知勒索病毒攻击,通过勒索备份恢复业务。 |
× |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
文件完整性管理 |
文件完整性检测 |
检查Linux系统、应用程序软件和其他组件的文件,帮助用户及时发现发生了可能遭受攻击的更改。 |
× |
√ |
√ |
√ |
Linux |
实时检测 |
容器防火墙 |
容器防火墙 |
对容器集群内部和外部的网络流量进行控制和拦截,防止恶意访问和攻击。 |
× |
× |
× |
√ |
Linux |
实时检测 |
主机入侵检测 |
未分类恶意软件 |
对运行中的程序进行检测,识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 |
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
Rootkits |
检测服务器资产,对可疑的内核模块和可疑的文件或文件夹进行告警上报。 |
√ |
√ |
√ |
√ |
Linux |
实时检测 |
|
勒索软件 |
检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产,并以此作为向您勒索钱财的筹码。 |
× |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
|
Webshell |
检测云服务器上Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。
|
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
|
Redis漏洞利用 |
实时检测Redis进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。 |
√ |
√ |
√ |
√ |
Linux |
实时检测 |
|
Hadoop漏洞利用 |
实时检测Hadoop进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。 |
√ |
√ |
√ |
√ |
Linux |
实时检测 |
|
MySQL漏洞利用 |
实时检测MySQL进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。 |
√ |
√ |
√ |
√ |
Linux |
实时检测 |
|
反弹Shell |
实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 |
√ |
√ |
√ |
√ |
Linux |
实时检测 |
|
文件提权 |
检测当前系统对文件的提权。 |
√ |
√ |
√ |
√ |
Linux |
实时检测 |
|
进程提权 |
检测以下进程提权操作:
|
√ |
√ |
√ |
√ |
Linux |
实时检测 |
|
关键文件变更 |
对于系统关键文件进行监控,文件被修改时告警,提醒用户关键文件存在被篡改的可能。 |
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
|
文件/目录变更 |
对于系统文件/目录进行监控,文件/目录被修改时告警,提醒用户文件/目录存在被篡改的可能。 |
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
|
进程异常行为 |
检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为:
|
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
|
高危命令执行 |
实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。 |
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
|
异常Shell |
检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 |
√ |
√ |
√ |
√ |
Linux |
实时检测 |
|
Crontab可疑任务 |
检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况,及时发现异常自启动项,快速定位木马程序的问题。 |
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
|
系统安全防护被禁用 |
检测勒索软件加密前准备动作:通过注册表关闭 Windows Defender 实时保护功能,一旦发现立即上报告警。 |
√ |
√ |
√ |
√ |
Windows |
实时检测 |
|
备份删除 |
检测勒索软件加密前准备动作:删除备份格式文件或Backup文件夹下的文件,一旦发现立即上报告警。 |
√ |
√ |
√ |
√ |
Windows |
实时检测 |
|
异常注册表操作 |
检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作,一旦发现立即上报告警。 |
√ |
√ |
√ |
√ |
Windows |
实时检测 |
|
系统日志删除 |
检测到通过命令或工具清除系统日志的操作时进行告警。 |
√ |
√ |
√ |
× |
Windows |
实时检测 |
|
可疑命令执行 |
|
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
|
暴力破解 |
检测“尝试暴力破解”和“暴力破解成功”等暴力破解。
|
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
|
异常登录 |
检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施(例如:忽略、修改密码等)。 若在非常用登录地登录,则触发安全事件告警。 |
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
|
非法系统账号 |
检测主机系统中的账号,列出当前系统中的可疑账号信息,帮助用户及时发现非法账号。 |
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
|
用户账号添加 |
检测使用命令创建隐藏账户,一旦创建成功后用户交互界面和命令查询均不可见。 |
√ |
√ |
√ |
√ |
Windows |
实时检测 |
|
用户密码窃取 |
检测主机中的系统账号和密码Hash值被异常获取的行为,一旦发现进行告警上报。 |
√ |
√ |
√ |
√ |
Windows |
实时检测 |
|
可疑的下载请求 |
检测到利用系统工具下载程序的可疑HTTP请求时进行告警。 |
√ |
√ |
√ |
× |
Windows |
实时检测 |
|
可疑的HTTP请求 |
检测到利用系统工具或进程执行远程托管脚本的可疑HTTP请求时进行告警。 |
√ |
√ |
√ |
× |
Windows |
实时检测 |
|
端口扫描 |
检测用户指定的端口存在被扫描或者嗅探的行为,一旦发现进行告警上报。 |
× |
√ |
√ |
√ |
Linux |
实时检测 |
|
容器入侵检测 |
未分类恶意软件 |
对容器中运行的程序进行检测,识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 |
× |
× |
× |
√ |
Linux |
实时检测 |
勒索软件 |
检测容器场景下勒索软件,并进行告警上报。 |
× |
× |
× |
√ |
Linux |
实时检测 |
|
Webshell |
检测容器中Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。 |
× |
× |
× |
√ |
Linux |
实时检测 |
|
漏洞逃逸攻击 |
监控到容器内进程行为符合已知漏洞的行为特征时,触发逃逸漏洞攻击告警。 |
× |
× |
× |
√ |
Linux |
实时检测 |
|
文件逃逸攻击 |
监控发现容器进程访问了宿主机系统的关键文件目录(例如:“/etc/shadow”、“/etc/crontab”),则认为容器内发生了逃逸文件访问,触发告警。即使该目录符合容器配置的目录映射规则,仍然会触发告警。 |
× |
× |
× |
√ |
Linux |
实时检测 |
|
反弹Shell |
实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。支持对TCP、UDP、ICMP等协议的检测。 |
× |
× |
× |
√ |
Linux |
实时检测 |
|
进程提权 |
检测以下进程提权操作:
|
× |
× |
× |
√ |
Linux |
实时检测 |
|
容器进程异常 |
× |
× |
× |
√ |
Linux |
实时检测 |
||
容器异常启动 |
监控新启动的容器,对容器启动配置选项进行检测,当发现容器权限过高存在风险时触发告警。 支持以下容器环境检测:
|
× |
× |
× |
√ |
Linux |
实时检测 |
|
高危命令执行 |
实时检测容器场景系统中执行的高危命令,当发生高危命令执行时触发告警。 |
× |
× |
× |
√ |
Linux |
实时检测 |
|
高危系统调用 |
Linux系统调用是用户进程进入内核执行任务的请求通道,容器安全监控容器进程,如果发现进程使用了危险系统调用,触发高危系统调用告警。 |
× |
× |
× |
√ |
Linux |
实时检测 |
|
敏感文件访问 |
监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 |
× |
× |
× |
√ |
Linux |
实时检测 |
|
容器镜像阻断 |
在Docker环境中容器启动前,告警并阻断镜像异常行为策略中指定的不安全容器镜像运行。 |
× |
× |
× |
√ |
Linux |
实时检测 |
|
暴力破解 |
检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为,发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。
说明:
目前暂仅支持Docker容器运行时的暴力破解检测告警。 |
× |
× |
× |
√ |
Linux |
实时检测 |
|
非法系统用户账户 |
检测容器场景系统中的账号,列出当前系统中的可疑账号信息并告警上报,帮助用户及时发现非法账号。 |
× |
× |
× |
√ |
Linux |
实时检测 |
|
白名单管理 |
加入告警白名单 |
处理告警事件时,将告警事件加入到告警白名单。 |
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
登录白名单 |
对部分告警可加入告警白名单。 |
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
|
系统用户白名单 |
对于主机中新添加的root用户组权限用户(非root用户)可添加到系统用户白名单,避免HSS进行风险账号告警。 |
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
|
策略管理 |
查看和修改策略 |
支持自定义检测策略配置与下发,能够为每组或每台主机灵活配置检测规则,便于精细化安全运营。
|
√(仅支持默认企业版策略组) |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
历史处置记录 |
历史处置记录 |
提供漏洞、安全告警事件的历史处置记录,方便您查看相关处理时间和处理人等信息。 |
√ |
√ |
√ |
√ |
Linux、Windows |
- |
安全报告 |
主机安全报告 |
呈现每周或每月的主机安全趋势以及关键安全事件与风险。 |
√ |
√ |
√ |
√ |
Linux、Windows |
- |
安全配置 |
Agent管理 |
可查看所有服务器的Agent状态,可进行升级、卸载、安装等操作。 |
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
常用登录地 |
配置常用登录地后,服务将对非常用地登录主机的行为进行告警。每个主机可被添加在多个登录地中。 |
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
|
常用登录IP |
配置常用登录IP,服务将对非常用IP登录主机的行为进行告警。 |
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
|
配置SSH登录IP白名单 |
SSH登录IP白名单功能是防护账户爆破的一个重要方式,主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器,只允许白名单内的IP通过SSH登录到服务器,拒绝白名单以外的IP。 |
√ |
√ |
√ |
√ |
Linux |
实时检测 |
|
恶意程序隔离查杀 |
开启恶意程序隔离查杀后,HSS对识别出的后门、木马、蠕虫等恶意程序,提供自动隔离查杀功能,帮助用户自动识别处理系统存在的安全风险。 |
√ |
√ |
√ |
√ |
Linux、Windows |
实时检测 |
|
插件管理 |
对插件进行安装、卸载、升级及统一管理。 |
× |
× |
× |
√ |
Linux |
- |