更新时间:2022-09-09 GMT+08:00
分享

版本功能特性

主机安全服务有基础版、企业版、旗舰版、网页防篡改版和容器安全供您选择,包含了资产管理、漏洞管理、基线检查、入侵检测、勒索防护、网页防篡改、容器镜像安全等功能,具体功能详情及版本差异详情请参见版本功能差异说明

  • 主机安全服务包含基础版、企业版、旗舰版、网页防篡改版和容器安全五个版本,支持版本间切换和升级。

    请根据您已购买的配额版本,选择升级后的配额版本。

    • 若已购买包周期“基础版”,可以升级为“企业版”“旗舰版”或者“网页防篡改版”
    • 若已购买包周期“企业版”,可以升级为“旗舰版”或者“网页防篡改版”
  • 在购买网页防篡改时赠送旗舰版主机防护,包含旗舰版所有功能。

功能特性说明

主机安全服务包含了资产管理、基线检查、勒索防护、入侵检测等功能特性,每一个功能都从不同维度提升主机的安全性,全方位保证主机的安全可靠,不同版本支持的功能详情请参见版本功能差异说明

表1 主机安全服务功能特性说明

功能名称

功能描述

资产管理

可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务,在“资产管理”界面,您可以统一管理主机中的信息资产。

漏洞管理

提供检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞、应用漏洞,帮助用户识别潜在风险。

基线检查

扫描主机系统和关键软件含有风险的配置、弱口令、口令复杂度策略。

支持的检测基线包含安全实践和等保合规基线。

容器镜像安全

扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议,帮助用户得到一个安全的镜像。

应用防护

为运行时的应用提供安全防御。您无需修改应用程序文件,只需将探针注入到应用程序,即可为应用提供强大的安全防护能力。

应用防护目前仅支持Java应用接入。

网页防篡改

实时发现并拦截篡改指定目录下文件的行为,并快速获取备份的合法文件恢复被篡改的文件,从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。

勒索病毒防护

实时监控全盘新增文件及运行中的进程,有效把控新增文件的风险,动态生成诱饵文件进行主动诱捕,精准识别勒索软件,同时可自定义策略对服务器进行定期备份。

文件完整性管理

检查Linux系统、应用程序软件和其他组件的文件,帮助用户及时发现发生了可能遭受攻击的更改。

主机入侵检测

识别并阻止入侵主机的行为,实时检测主机内部的风险异变,检测并查杀主机中的恶意程序,识别主机中的网站后门等。

容器入侵检测

实时监控容器节点运行状态,发现挖矿、勒索等恶意程序,发现违反容器安全策略的进程运行和文件修改,以及容器逃逸等行为并给出解决方案。

白名单管理

可以通过加入告警白名单避免大量告警误报的发生,提升安全事件告警质量。将当前告警事件加入告警白名单后,当再次发生相同的告警时不再进行告警。

策略管理

提供灵活的策略管理能力,可以根据需要自定义安全检测规则,并可以为不同的主机组或主机/容器应用不同的策略,以满足不同应用场景的主机/容器安全需求。

安全配置

提供配置常用登录地、常用登录IP、SSH登录IP白名单,恶意程序自动隔离查杀功能,满足不同应用场景的主机/容器安全需求。

漏洞类告警详情请参见漏洞管理

资产类风险告警详情请参见基线检查

容器镜像类漏洞、告警详情请参见容器镜像安全

主机及容器防护、防御类告警详情请参见安全告警事件

版本推荐说明

  • 用于测试、个人用户防护主机账户安全,可使用基础版(无数量限制,只支持部分功能的检测能力,不支持防护能力,不支持等保认证),基础版按需模式支持30天免费体验使用。
  • 如果您有等保二级认证的需求,需购买企业版;如有等保三级认证的需求,需购买旗舰版;如有网站过等保认证的需求,则需购买网页防篡改版
  • 若您使用的主机涉及重要资产或者高风险情况,建议购买旗舰版或者网页防篡改版,例如:对外暴露EIP、保存有关键资产、存在数据库等。
  • 有网站或者关键系统防篡改需求,以及有应用安全防护需求的主机,主要部署在网站或者应用的主机上,推荐使用网页防篡改版
  • 有镜像安全、容器运行时安全需求,以及需要满足等保合规的容器化部署业务的用户,推荐使用容器安全
    • 为防止未防护主机感染勒索、挖矿等病毒后传染给其他主机,导致企业内网整体沦陷,建议您的云上主机全部署主机安全服务
    • 购买企业版选择“按需计费”模式时,当ECS关机后,主机安全将停止计费。

版本功能差异说明

表2 版本功能差异说明

服务功能

功能项

功能概述

基础版

(按需、包年/包月)

企业版

旗舰版

网页防篡改版

容器安全

检测周期

资产管理

主机管理

所有主机资产管理,包含主机的防护状态、配额绑定、策略分配等,提供Linux主机的批量安装agent功能。

-

容器管理

容器节点管理,容器镜像(私有镜像仓库、本地镜像)管理。

×

×

×

×

-

资产指纹

账号信息管理

检测当前系统的账号信息,帮助用户进行账户安全性管理。

×

实时检测

开放端口检测

检测当前系统开放的端口,帮助用户识别出其中的危险端口和未知端口。

×

实时检测

进程信息管理

监测运行中的进程并进行收集及呈现,便于用户自主清点合法进程,发现异常进程。

×

实时检测

软件信息管理

监测并记录当前系统安装的软件信息,帮助用户清点软件资产,识别不安全的软件版本。

×

每日凌晨自动检测

自启动

对系统中的自启动项进行检测,及时统计自启动项的变更情况。

×

实时检测

Web站点

统计、展示存放Web内容的目录及对外提供访问的站点信息,您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、关键进程等信息。

×

1次/周(每周一凌晨05:00)

Web框架

统计、展示Web内容对外呈现时所使用框架的详细信息,您可查看所有框架的版本、路径、关联进程等信息。

×

1次/周(每周一凌晨05:00)

中间件

统计、展示所使用到的所有软件信息,您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。

×

1次/周(每周一凌晨05:00)

内核模块

统计、展示运行在内核层的全量程序模块文件,您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。

×

1次/周(每周一凌晨05:00)

漏洞管理

软件漏洞检测

包括Linux软件漏洞和Windows系统漏洞。

通过与漏洞库进行比对,检测出系统和官方软件(非绿色版、非自行编译安装版;例如:SSH、OpenSSL、Apache、MySQL等)存在的漏洞,帮助用户识别出存在的风险。

×

  • 每日凌晨自动检测
  • 手动检测

Web-CMS漏洞检测

通过对Web目录和文件进行检测,识别出Web-CMS漏洞,提升Web服务安全性。

×

  • 每日凌晨自动检测
  • 手动检测

应用漏洞检测

包括检测Web服务、Web框架、Web站点、中间件、内核模块等资产信息存在的漏洞。

×

  • 每日凌晨自动检测
  • 手动检测

基线检查

口令复杂度策略检测

检测系统中的口令复杂度策略,给出修改建议,帮助用户提升口令安全性。

  • 每日凌晨自动检测
  • 手动检测

经典弱口令检测

检测系统账户口令是否属于常用的弱口令,针对弱口令提示用户修改。

  • 每日凌晨自动检测
  • 手动检测

配置检查

对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查,帮助用户识别不安全的配置项。

×

  • 每日凌晨自动检测
  • 手动检测

容器镜像安全

容器镜像漏洞

通过与漏洞库进行比对,检测并管理本地镜像和私有镜像仓库存在的漏洞,对当前镜像中存在的紧急漏洞进行提醒。

×

×

×

×

  • 每日凌晨自动检测
  • 手动检测

镜像恶意文件

检测镜像是否携带恶意文件(Trojan、Worm、Virus病毒和Adware垃圾软件等),帮助用户识别出存在的风险。

×

×

×

×

实时检测

镜像基线检查

提供18类容器基线配置检查,帮助用户识别不安全的配置。

×

×

×

×

实时检测

应用防护

SQL注入

检测防御SQL注入(SQL Injection)攻击,检测web应用是否存在对应漏洞。

×

×

实时检测

OS命令注入

检测防御远程OS命令注入(OS Command Injection)攻击,同时检测web应用是否存在对应漏洞。

×

×

实时检测

XSS

检测防御存储型跨站脚本(Cross-Site Scripting,XSS)注入攻击。

×

×

实时检测

Log4jRCE漏洞检测

检测防御远程代码执行的控制攻击。

×

×

实时检测

上传WebShell

检测防御上传危险文件的攻击或将已有文件改名为危险文件扩展名的攻击,同时检测web应用是否存在对应漏洞。

×

×

实时检测

XML External Entity Injection

检测防御XXE注入(XML External Entity Injection)攻击,检测web应用是否存在对应漏洞。

×

×

实时检测

反序列化输入

检测使用了危险类的反序列化攻击。

×

×

实时检测

文件目录遍历

获取访问文件的路径或目录,匹配是否在敏感目录或敏感文件下。

×

×

实时检测

Struts2 OGNL

OGNL代码执行检测。

×

×

实时检测

JSP执行操作系统命令

检测可疑行为——通过JSP请求执行操作系统命令。

×

×

实时检测

JSP删除文件

检测可疑行为——通过JSP请求删除文件失败。

×

×

实时检测

数据库连接异常

检测可疑异常——数据库连接抛出的认证和通讯异常。

×

×

实时检测

0 day漏洞检测

检测执行命令的堆栈哈希是否在Web应用的白名单堆栈哈希表里。

×

×

实时检测

SecurityManager权限检测异常

检测可疑异常——SecurityManager抛出的异常。

×

×

实时检测

网页防篡改

静态网页防篡改

防止网站服务器中的静态网页文件被篡改。

×

×

×

×

实时检测

动态网页防篡改

防止网站数据库中动态网页内容被篡改。

×

×

×

×

实时检测

勒索病毒防护

勒索病毒防御

通过对主机运行状态的自动学习和管理端智能分析,完成可信程序的判定,在防护阶段对非可信程序的操作进行告警。

×

×

实时检测

文件完整性管理

文件完整性检测

检查Linux系统、应用程序软件和其他组件的文件,帮助用户及时发现发生了可能遭受攻击的更改。

×

×

实时检测

主机入侵检测

恶意程序

对运行中的程序进行检测,识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。

×

实时检测

勒索软件

检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。

勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产,并以此作为向您勒索钱财的筹码。

×

×

实时检测

Webshell

检测云服务器上Web目录中的文件,判断是否为WebShell木马文件,支持检测常见的PHP、JSP等后门文件类型。

  • 网站后门检测信息包括“木马文件路径”“状态”“首次发现时间”“最后发现时间”。您可以根据网站后门信息忽略可信文件。
  • 您可以使用手动检测功能检测主机中的网站后门。

×

实时检测

反弹Shell

实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。

支持对TCP、UDP、ICMP等协议的检测。

×

×

实时检测

一般漏洞利用

实时检测利用漏洞入侵主机的行为,对发现的入侵行为进行告警上报。

×

实时检测

文件提权

检测当前系统对文件的提权。

×

×

实时检测

进程提权

检测以下进程提权操作:
  • 利用SUID程序漏洞进行root提权。
  • 利用内核漏洞进行root提权。

×

×

实时检测

关键文件变更

对于系统关键文件进行监控,文件被修改时告警,提醒用户关键文件存在被篡改的可能。

×

实时检测

文件/目录变更

对于系统文件/目录进行监控,文件/目录被修改时告警,提醒用户文件/目录存在被篡改的可能。

×

实时检测

进程异常行为

检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。

对于进程的非法行为、黑客入侵过程进行告警。

进程异常行为可以监控以下异常行为:

  • 监控进程CPU使用异常。
  • 检测进程对恶意IP的访问。
  • 检测进程并发连接数异常等。

×

实时检测

高危命令执行

实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。

×

×

实时检测

异常Shell

检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。

×

×

实时检测

Crontab可疑任务

检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。

帮助用户通过自启动变更情况,及时发现异常自启动项,快速定位木马程序的问题。

×

×

实时检测

暴力破解

检测“尝试暴力破解”“暴力破解成功”等暴力破解。

  • 检测账户遭受的口令破解攻击,封锁攻击源,防止云主机因账户破解被入侵。
  • 若账户暴力破解成功,登录到云主机,则触发安全事件告警。

实时检测

异常登录

检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施(例如:忽略、修改密码等)。

若在非常用登录地登录,则触发安全事件告警。

实时检测

非法系统账号

检测主机系统中的账号,列出当前系统中的可疑账号信息,帮助用户及时发现非法账号。

×

实时检测

容器入侵检测

漏洞逃逸攻击

监控到容器内进程行为符合已知漏洞的行为特征时,触发逃逸漏洞攻击告警。

×

×

×

×

实时检测

文件逃逸攻击

监控发现容器进程访问了宿主机系统的关键文件目录(例如:“/etc/shadow”、“/etc/crontab”),则认为容器内发生了逃逸文件访问,触发告警。即使该目录符合容器配置的目录映射规则,仍然会触发告警。

×

×

×

×

实时检测

容器进程异常

  • 容器恶意程序

    监控容器内启动的容器进程的行为特征和进程文件指纹,如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。

  • 容器异常进程

    对于已关联的容器镜像启动的容器,只允许白名单进程启动,如果容器内存在非白名单进程,触发容器异常程序告警。

×

×

×

×

实时检测

容器异常启动

监控新启动的容器,对容器启动配置选项进行检测,当发现容器权限过高存在风险时触发告警。

支持以下容器环境检测:

  • 禁止启动特权容器(privileged:true)
  • 需要限制容器能力集(capabilities:[xxx])
  • 建议启用seccomp(seccomp=unconfined)
  • 限制容器获取新的权限(no-new-privileges:false)
  • 危险目录映射(mounts:[...])

×

×

×

×

实时检测

高危系统调用

Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程,如果发现进程使用了危险系统调用,触发高危系统调用告警。

×

×

×

×

实时检测

敏感文件访问

监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。

×

×

×

×

实时检测

白名单管理

加入告警白名单

处理告警事件时,将告警事件加入到告警白名单。

以下类型的告警事件可加入“告警白名单”:

  • 反弹Shell
  • Webshell检测
  • 进程异常行为检测
  • 进程提权
  • 文件提权
  • 高危命令
  • 恶意程序

×

×

实时检测

策略管理

查看和修改策略

支持自定义检测策略配置与下发,能够为每组或每台主机灵活配置检测规则,便于精细化安全运营。

  • 查看策略组列表
  • 依据默认策略组和已创建的策略组添加策略组
  • 自定义策略
  • 修改和删除策略组
  • 针对策略组包含的策略,进行修改和关闭策略
  • “主机管理”页面可以对主机进行批量部署策略

×

√(仅支持默认企业版策略组)

实时检测

安全报告

主机安全报告

呈现每周或每月的主机安全趋势以及关键安全事件与风险。

×

-

安全配置

常用登录地

配置常用登录地后,服务将对非常用地登录主机的行为进行告警。每个主机可被添加在多个登录地中。

实时检测

常用登录IP

配置常用登录IP,服务将对非常用IP登录主机的行为进行告警。

实时检测

配置SSH登录IP白名单

SSH登录IP白名单功能是防护账户爆破的一个重要方式,主要是限制需要通过SSH登录的服务器。

配置了白名单的服务器,只允许白名单内的IP通过SSH登录到服务器,拒绝白名单以外的IP。

说明:

使用鲲鹏计算EulerOS(EulerOS with ARM)的主机,SSH登录IP白名单功能对其不生效。

实时检测

恶意程序隔离查杀

开启恶意程序隔离查杀后,HSS对识别出的后门、木马、蠕虫等恶意程序,提供自动隔离查杀功能,帮助用户自动识别处理系统存在的安全风险。

×

实时检测

双因子认证

通过密码+短信/邮件认证的方式,彻底防范账号暴力破解行为。

×

-

告警配置

开启告警通知功能后,您能接收到主机安全服务服务发送的告警通知,及时了解主机/容器/网页内的安全风险。

-

分享:

    相关文档

    相关产品

close