采集容器资产

操作场景

HSS提供的容器资产采集功能，支持采集集群、节点、容器、镜像以及容器指纹信息。通过容器资产功能，您能集中盘点容器相关各类资产，及时发现风险资产。本章节为您介绍容器资产采集项以及如何采集容器资产。

前提条件

已将容器资产接入企业主机安全。详细操作请参见接入三方镜像仓、接入CI/CD和为集群安装Agent。

约束与限制

容器资产功能仅企业主机安全容器版支持，购买企业主机安全的操作，请参见购买主机安全防护配额。

容器资产采集内容

容器资产支持采集集群、节点、容器、镜像以及容器指纹，其中容器指纹细分为账号、开放端口、进程、软件、自启动项、Web应用、Web服务、Web框架、Web站点、中间件和数据库等多个子类别。有关各类资产详细说明请参见表1。

表1 容器资产采集内容
功能项	功能描述
集群	统计并展示集群、工作负载、服务以及Pod的详细信息。
节点	统计并展示集群节点、非集群节点的详细信息。
容器	统计并展示容器实例的详细信息。
镜像	统计并展示本地镜像、仓库镜像、CI/CD镜像信息。
账号	检测容器系统中的账号，列出当前系统的账号信息，帮助用户进行账户安全性管理。账号的实时信息包括账号的“账号名称”、“服务器数”以及具体账号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”、“容器名称”、“容器ID”、“最近扫描时间”和“首次扫描时间”。
开放端口	检测容器系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查容器中含有风险的端口。手动关闭风险端口如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。
进程	检测容器系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。根据容器中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查容器中的异常进程。进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。
软件	检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。根据软件的实时信息和历史变动，您能够快速排查容器中含有风险的软件。软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”、“最近扫描时间”和“首次扫描时间”。软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。
自启动项	检测并列出当前所有容器中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、“容器名称”、“容器ID”以及“最近扫描时间”。
Web站点	采集并展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。已支持采集的Web站点包括：Apache、Nginx、Tomcat。
Web框架	采集并展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。已支持采集的Web框架类型包括： Java语言框架：Struts、struts2、spring、hibernate、webwork、quartz、velocity、turbine、freemarker、flexive、stripes、vaadin、vertx、wicket、zkoss、jackson、fastjson、shiro、MyBatis、Jersey、JFinal。 Python语言框架：Django、Flask、Tornado、web.py、web2py。 PHP语言框架：Webasyst、KYPHP、CodeIgniter、InitPHP、SpeedPHP、ThinkPHP、OneThink Go语言框架：Gin、Beego、Fasthttp、Iris、Echo。
中间件	采集并展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。
Web服务	采集并展示对外提供Web内容访问的软件详细信息，您可查看所有软件的版本、路径、配置文件、关联进程等信息。已支持采集的Web服务类型包括：Apache、Nginx、Tomcat、Weblogic、WebSphere、JBoss、Wildfly、Jetty。
Web应用	采集并展示推送发布Web内容的软件详细信息，您可以查看所有软件的版本、路径、配置文件、关键进程等信息。已支持采集的Web应用类型包括：PHPMailer、PHPMyadmin、DedeCMS、Wordpress、ThinkPHP、BigTree、JPress、Jenkins、ZABBIX、Discuz!、ThinkCMF。
数据库	采集并展示提供数据存储的软件详细信息，您可以查看所有软件的版本、路径、配置文件、关键进程等信息。已支持采集的数据库类型包括：MySQL、Redis、Oracle、MongoDB、Memcache、PostgreSQL、HBase、DB2、Sybase、达梦数据库管理系统、金仓数据库管理系统kingbaseES。

容器资产采集方式

容器资产采集方式包括自动采集和手动采集，每类资产的采集方式说明请参见表2。

由于集群节点或非集群节点安装Agent成功后，会立即进行首次资产采集，因此自动采集周期默认是以Agent安装成功后的时间节点开始计算的。

中间件、Web框架、内核模块、Web应用、Web站点、Web服务以及数据库可自定义自动采集周期，详细操作请参见资产发现。

表2 容器资产采集方式说明
功能项	自动采集周期	手动采集方式
集群	每24小时自动检测	手动采集集群、服务、工作负载、Pod和容器信息
节点	集群节点：每24小时自动检测非集群节点：安装Agent后自动采集	无
容器	每24小时自动检测	手动采集集群、服务、工作负载、Pod和容器信息
镜像	本地镜像：集群节点上的镜像每24小时自动检测非集群节点上的镜像，安装Agent后自动采集仓库镜像：无，需手动采集 CI/CD镜像：CI/CD项目构建时自动采集	本地镜像、CI/CD镜像：无手动采集方式仓库镜像手动采集方式：同步仓库镜像列表
账号	每小时自动检测	手动采集所有容器指纹最新数据
开放端口	每30秒自动检测	手动采集所有容器指纹最新数据
进程	每小时自动检测	手动采集所有容器指纹最新数据
软件	每日自动检测	手动采集所有容器指纹最新数据
自启动项	每小时自动检测	手动采集所有容器指纹最新数据
Web站点	1次/周（每周一凌晨04：10）	手动采集单个容器指纹最新数据手动采集所有容器指纹最新数据
Web框架	1次/周（每周一凌晨04：10）	手动采集单个容器指纹最新数据手动采集所有容器指纹最新数据
中间件	1次/周（每周一凌晨04：10）	手动采集单个容器指纹最新数据手动采集所有容器指纹最新数据
Web服务	1次/周（每周一凌晨04：10）	手动采集单个容器指纹最新数据手动采集所有容器指纹最新数据
Web应用	1次/周（每周一凌晨04：10）	手动采集单个容器指纹最新数据手动采集所有容器指纹最新数据
数据库	1次/周（每周一凌晨04：10）	手动采集单个容器指纹最新数据手动采集所有容器指纹最新数据

手动采集单个容器指纹最新数据

针对Web应用、Web服务、Web框架、Web站点、中间件和数据库这些资产，如果您想实时查看最新的数据，可手动采集对应的资产。

登录企业主机安全控制台。
在控制台左上角，单击图标，选择区域或项目。
在左侧导航栏，选择“资产管理 > 主机管理”，进入“主机管理”界面，选择“云服务器”页签，进入云服务器页面。
（可选）如果您已开通企业项目，可在页面上方“企业项目”下拉框中选择企业项目，查看目标企业项目下的相关信息和数据。
单击目标服务器名称，进入目标服务器的详情页面，选择“资产指纹 > 容器资产”页签。
单击指纹列表的目标类型，单击右侧列表上方“立即采集”任务自动创建完成。

目前仅支持Web应用、Web服务、Web框架、Web站点、中间件和数据库支持实时手动采集更新，其他类型每天会自动执行采集更新。

图1 立即采集
自动执行完成之后，“最后采集时间”将会更新，可查看最新的容器资产信息。