服务版本差异

总览

实时展示所有资产的安全评分、安全风险和防护地图，帮助您了解主机和容器的安全状态以及存在的安全风险。

√

√

√

√

√

√

Linux、Windows

实时检测

资产概览

所有主机的资产状态、清点情况统计，包括Agent状态、防护状态、配额状态、资产指纹等。

√

√

√

√

√

√

Linux、Windows

实时检测

主机管理

所有主机资产管理，包含主机的防护状态、配额绑定、策略分配等，提供Linux主机的批量安装agent功能。

√

√

√

√

√

√

Linux、Windows

注：批量安装Agent仅支持Linux

容器管理

容器节点管理，容器镜像（私有镜像仓库、本地镜像）管理。

×

×

×

×

×

√

Linux

账号

检测当前系统的账号信息，帮助用户进行账户安全性管理。

×

×

√

√

√

√

Linux、Windows

每小时自动检测

开放端口

检测当前系统开放的端口，帮助用户识别出其中的危险端口和未知端口。

×

×

√

√

√

√

Linux、Windows

每30秒自动检测

进程

监测运行中的进程并进行收集及呈现，便于用户自主清点合法进程，发现异常进程。

×

×

√

√

√

√

Linux、Windows

每小时自动检测

软件

监测并记录当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。

×

×

√

√

√

√

Linux、Windows

每日自动检测

自启动项

对系统中的自启动项进行检测，及时统计自启动项的变更情况。

×

×

√

√

√

√

Linux、Windows

每小时自动检测

Web应用

Web应用主要统计、展示推送发布web内容的软件详细信息，您可以查看所有软件的版本、路径、配置文件、关键进程等信息。

×

×

√

√

√

√

Linux、Windows（仅支持Tomcat）

1次/周（每周一凌晨04：10）

Web服务

统计、展示对外提供web内容访问的软件详细信息，您可查看所有软件的版本、路径、配置文件、关联进程等信息。

×

×

√

√

√

√

Linux

1次/周（每周一凌晨04：10）

Web框架

统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。

×

×

√

√

√

√

Linux

1次/周（每周一凌晨04：10）

Web站点

统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、关键进程等信息。

×

×

√

√

√

√

Linux

1次/周（每周一凌晨04：10）

中间件

统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。

×

×

√

√

√

√

Linux、Windows

1次/周（每周一凌晨04：10）

数据库

统计、展示提供数据存储的软件详细信息，您可以查看所有软件的版本、路径、配置文件、关键进程等信息；

×

×

√

√

√

√

Linux、Windows（仅支持Mysql）

1次/周（每周一凌晨04：10）

内核模块

统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。

×

×

√

√

√

√

Linux

1次/周（每周一凌晨04：10）

Linux漏洞检测

通过与漏洞库进行比对，检测主机的Linux操作系统官方维护的软件（非绿色版、非自行编译安装版；例如：kernel、openssl、vim、glibc等）存在的漏洞。

√

√

√

√

√

√

Linux

• 自动扫描（随软件资产采集周期上报）
• 定时扫描（默认每周一次，基础版不支持）
• 手动扫描（基础版不支持）

Windows漏洞检测

通过同步微软官方的补丁公告，检测主机的Windows操作系统存在的漏洞。

√

√

√

√

√

×

Windows

• 自动扫描（随软件资产采集周期上报）
• 定时扫描（默认每周一次，基础版不支持）
• 手动扫描（基础版不支持）

Web-CMS漏洞检测

通过对主机中的Web目录和文件进行检测，识别Web-CMS漏洞，提升Web服务安全性。

×

√

√

√

√

√

Linux、Windows

• 自动扫描（随软件资产采集周期上报）
• 定时扫描（默认每周一次）
• 手动扫描

应用漏洞检测

检测主机中开源的jar包、elf文件等的漏洞，比如log4j、spring-core的漏洞。

×

×

√

√

√

√

Linux、Windows

• 自动扫描（随中间件资产采集周期上报）
• 定时扫描（默认每周一次）
• 手动扫描

应急漏洞检测

通过软件版本比对和POC验证的方式，检测主机上运行的软件和依赖包是否存在漏洞，将存在风险的漏洞上报至控制台，并给您提供漏洞告警。

×

√

√

√

√

√

Linux

• 定时扫描（需要手动配置开启）
• 手动扫描

口令复杂度策略检测

检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性。

√

√

√

√

√

√

Linux

• 每日凌晨自动检测
• 手动检测

经典弱口令检测

检测系统账户口令是否属于常用的弱口令，针对弱口令提示用户修改。

√

√

√

√

√

√

Linux、Windows

• 每日凌晨自动检测
• 手动检测

配置检查

对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。

×

×

√

√

√

√

Linux、Windows

• 每日凌晨自动检测
• 手动检测

SWR镜像仓库漏洞

通过与漏洞库进行比对，检测SWR镜像仓库存在的系统漏洞、应用漏洞，对当前镜像中存在的漏洞进行提醒。

×

×

×

×

×

√

Linux

手动检测

镜像恶意文件

检测镜像是否携带恶意文件（Trojan、Worm、Virus病毒和Adware垃圾软件等），帮助用户识别出存在的风险。

×

×

×

×

×

√

Linux

实时检测

SQL注入

检测防御SQL注入（SQL Injection）攻击，检测web应用是否存在对应漏洞。

×

×

×

√

√

√

Linux

实时检测

OS命令注入

检测防御远程OS命令注入（OS Command Injection）攻击，同时检测web应用是否存在对应漏洞。

×

×

×

√

√

√

Linux

实时检测

XSS

检测防御存储型跨站脚本(Cross-Site Scripting，XSS)注入攻击。

×

×

×

√

√

√

Linux

实时检测

Log4jRCE漏洞检测

检测防御远程代码执行的控制攻击，并支持对攻击行为进行阻和拦截。

×

×

×

√

√

√

Linux

实时检测

上传Webshell

检测防御上传危险文件的攻击或将已有文件改名为危险文件扩展名的攻击，同时检测web应用是否存在对应漏洞。

×

×

×

√

√

√

Linux

实时检测

XML External Entity Injection

检测防御XXE注入（XML External Entity Injection）攻击，检测web应用是否存在对应漏洞。

×

×

×

√

√

√

Linux

实时检测

反序列化输入

检测使用了危险类的反序列化攻击。

×

×

×

√

√

√

Linux

实时检测

文件目录遍历

获取访问文件的路径或目录，匹配是否在敏感目录或敏感文件下。

×

×

×

√

√

√

Linux

实时检测

Struts2 OGNL

OGNL代码执行检测。

×

×

×

√

√

√

Linux

实时检测

JSP执行操作系统命令

检测可疑行为——通过JSP请求执行操作系统命令。

×

×

×

√

√

√

Linux

实时检测

JSP删除文件

检测可疑行为——通过JSP请求删除文件失败。

×

×

×

√

√

√

Linux

实时检测

数据库连接异常

检测可疑异常——数据库连接抛出的认证和通讯异常。

×

×

×

√

√

√

Linux

实时检测

0 day漏洞检测

检测执行命令的堆栈哈希是否在Web应用的白名单堆栈哈希表里。

×

×

×

√

√

√

Linux

实时检测

SecurityManager权限检测异常

检测可疑异常——SecurityManager抛出的异常。

×

×

×

√

√

√

Linux

实时检测

静态网页防篡改

防止网站服务器中的静态网页文件被篡改。

×

×

×

×

√

×

Linux、Windows

实时检测

动态网页防篡改

为Tomcat提供动态网页防篡改能力，防止网站数据库中动态网页内容被篡改。

×

×

×

×

√

×

Linux

实时检测

勒索病毒防护

帮助您识别检测已知勒索病毒攻击，支持通过静态、动态诱饵识别部分未知的勒索攻击。

×

×

×

√

√

√

Linux、Windows

实时检测

应用进程控制

支持管控服务器中应用进程的运行，通过学习服务器运行的应用进程特征，将应用进程划分为可信进程、恶意进程和可疑进程，允许可疑、可信进程正常运行，对恶意进程运行进行告警，帮助用户构建安全的应用进程运行环境，避免服务器遭受不受信或恶意应用进程的破坏。

×

×

×

√

√

√

Linux、Windows

实时检测

文件完整性管理

检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。

×

×

×

√

√

√

Linux

实时检测

病毒查杀

病毒查杀功能使用特征病毒检测引擎，支持扫描服务器中的病毒文件，扫描文件类型覆盖可执行文件、压缩文件、脚本文件、文档、图片、音视频文件，用户可根据自身需要，自主对服务器执行“快速查杀”、“全盘查杀”、“自定义查杀”扫描任务，并及时处置检测到的病毒文件，增强业务系统的病毒防御能力。

×

√（仅支持快速查杀）

√

√

√

√

Linux、Windows

动态端口蜜罐

动态端口蜜罐功能是一个攻击诱捕陷阱，利用真实端口作为诱饵端口诱导攻击者访问；在内网横向渗透场景下，可有效地检测到攻击者的扫描行为，识别失陷主机，延缓攻击者攻击真正目标，从而保护用户的真实资源。

×

×

×

√

√

√

Linux、Windows

实时检测

容器防火墙

对容器集群内部和外部的网络流量进行控制和拦截，防止恶意访问和攻击。

×

×

×

×

×

√

Linux

实时检测

容器集群防护

支持在容器镜像启动时检测其中存在的不合规基线、漏洞和恶意文件，并可根据检测结果告警和阻断未授权或含高危安全风险的容器镜像运行。

×

×

×

×

×

√

Linux

实时检测

未分类恶意软件

对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。

×

√

√

√

√

√

Linux、Windows

实时检测

病毒

对服务器进行实时检测，对在服务器资产发现的各种病毒进行告警上报。

×

√

√

√

√

√

Linux、Windows

实时检测

蠕虫

对服务器中入侵的蠕虫或已存在的蠕虫进行检测、查杀，并进行告警上报。

×

√

√

√

√

√

Linux、Windows

实时检测

木马

对隐藏在正常程序中具备破坏和删除文件、发送密码、记录键盘等特殊功能的程序进行检测，发现时立即进行告警上报。

×

√

√

√

√

√

Linux、Windows

实时检测

僵尸网络

检测主机资产中是否存在已被传播的僵尸程序，一旦发现立即进行告警上报。

×

√

√

√

√

√

Linux、Windows

实时检测

后门

实时检测服务器系统是否存在后门漏洞，对发现的后门病毒进行告警上报。

×

√

√

√

√

√

Linux、Windows

实时检测

Rootkits

检测服务器资产，对可疑的内核模块和可疑的文件或文件夹进行告警上报。

×

√

√

√

√

√

Linux

实时检测

勒索软件

检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。

勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。

×

×

×

√

√

√

Linux、Windows

实时检测

黑客工具

检测服务器是否存在用来控制服务器的非标工具，一旦发现立即上报告警。

×

×

√

√

√

√

Linux、Windows

实时检测

Webshell

检测云服务器上Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。

• 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。
• 您可以使用手动检测功能检测主机中的网站后门。

×

√

√

√

√

√

Linux、Windows

实时检测

挖矿软件

实时检测服务器中是否存在挖矿软件，并对发现的软件进行告警上报。

×

√

√

√

√

√

Linux、Windows

实时检测

远程代码执行

实时检测服务器是否存在被远程调用的情况，一旦发现立即进行告警上报。

×

×

√

√

√

√

Linux、Windows

实时检测

Redis漏洞利用

实时检测Redis进程对服务器关键目录的修改行为，并对发现的修改行为进行告警上报。

×

√

√

√

√

√

Linux

实时检测

Hadoop漏洞利用

实时检测Hadoop进程对服务器关键目录的修改行为，并对发现的修改行为进行告警上报。

×

√

√

√

√

√

Linux

实时检测

MySQL漏洞利用

实时检测MySQL进程对服务器关键目录的修改行为，并对发现的修改行为进行告警上报。

×

√

√

√

√

√

Linux

实时检测

反弹Shell

实时监控用户的进程行为，可及时发现并阻断进程的非法Shell连接操作产生的反弹Shell行为。

支持对TCP、UDP、ICMP等协议的检测。

×

√

√

√

√

√

Linux

实时检测

文件提权

检测当前系统对文件的提权。

×

√

√

√

√

√

Linux

实时检测

进程提权

×

√

√

√

√

√

Linux

实时检测

关键文件变更

对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。

×

√

√

√

√

√

Linux

实时检测

文件/目录变更

实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。

×

√

√

√

√

√

Linux、Windows

实时检测

进程异常行为

检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。

对于进程的非法行为、黑客入侵过程进行告警。

进程异常行为可以监控以下异常行为：

• 监控进程CPU使用异常。
• 检测进程对恶意IP的访问。
• 检测进程并发连接数异常等。

×

×

√

√

√

√

Linux、Windows

实时检测

高危命令执行

实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。

×

√

√

√

√

√

Linux、Windows

实时检测

异常Shell

检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。

×

√

√

√

√

√

Linux

实时检测

敏感文件访问

检测未经授权访问或修改敏感文件的行为。

×

√

√

√

√

√

Linux、Windows

实时检测

Crontab可疑任务

检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。

帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。

×

×

×

√

√

√

Linux、Windows

实时检测

系统安全防护被禁用

检测勒索软件加密前准备动作：通过注册表关闭Windows Defender实时保护功能，一旦发现立即上报告警。

×

×

√

√

√

×

Windows

实时检测

备份删除

检测勒索软件加密前准备动作：删除备份格式文件或Backup文件夹下的文件，一旦发现立即上报告警。

×

×

√

√

√

√

Windows

实时检测

异常注册表操作

检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作，一旦发现立即上报告警。

×

×

√

√

√

√

Windows

实时检测

系统日志删除

检测到通过命令或工具清除系统日志的操作时进行告警。

×

×

√

√

√

×

Windows

实时检测

可疑命令执行

• 检测通过命令或工具创建、删除计划任务或自启动任务。
• 检测远程执行命令的可疑行为。

×

×

√

√

√

√

Linux、Windows

实时检测

可疑进程运行

检测未经过认证或授权的应用进程运行，一旦发现进行告警上报。

×

×

√

√

√

×

Linux、Windows

实时检测

可疑进程文件访问

检测未经过认证或授权的进程访问指定的目录，一旦发现进行告警上报。

×

×

√

√

√

×

Linux、Windows

实时检测

暴力破解

检测“尝试暴力破解”和“暴力破解成功”等暴力破解。

• 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。
• 如果账户暴力破解成功，登录到云主机，则触发安全事件告警。

√

√

√

√

√

√

Linux、Windows

实时检测

异常登录

检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。

如果在非常用登录地登录，则触发安全事件告警。

√

√

√

√

√

√

Linux、Windows

实时检测

非法系统账号

检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。

×

√

√

√

√

√

Linux、Windows

实时检测

用户账号添加

检测使用命令创建隐藏账户，一旦创建成功后用户交互界面和命令查询均不可见。

×

×

√

√

√

√

Windows

实时检测

用户密码窃取

检测主机中的系统账号和密码Hash值被异常获取的行为，一旦发现进行告警上报。

×

×

√

√

√

√

Linux、Windows

实时检测

未知网络访问

检测对服务器未监听的端口进行访问的行为。

×

×

×

√

√

√

Linux、Windows

实时检测

异常外联行为

检测到服务器存在异常外联可疑ip的行为，一旦发现进行告警上报。

×

√

√

√

√

√

Linux

实时检测

端口转发检测

检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

×

√

√

√

√

√

Linux

实时检测

可疑的下载请求

检测到利用系统工具下载程序的可疑HTTP请求时进行告警。

×

×

√

√

√

×

Windows

实时检测

可疑的HTTP请求

检测到利用系统工具或进程执行远程托管脚本的可疑HTTP请求时进行告警。

×

×

√

√

√

×

Windows

实时检测

端口扫描

检测用户指定的端口存在被扫描或者嗅探的行为，一旦发现进行告警上报。

×

×

×

√

√

√

Linux

实时检测

主机扫描

检测网络对主机规则覆盖（包含对ICMP、ARP、nbtscan是覆盖）的扫描活动，一旦发现立即上报告警。

×

×

×

√

√

√

Linux

实时检测

未分类恶意软件

对容器中运行的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。

×

×

×

×

×

√

Linux

实时检测

勒索软件

检测容器场景下勒索软件，并进行告警上报。

×

×

×

×

×

√

Linux

实时检测

黑客工具

检测服务器是否存在用来控制服务器的非标工具，一旦发现立即上报告警。

×

×

√

√

√

√

Linux

实时检测

Webshell

检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。

×

×

×

×

×

√

Linux

实时检测

漏洞逃逸攻击

监控到容器内进程行为符合已知漏洞的行为特征时，触发逃逸漏洞攻击告警。

×

×

×

×

×

√

Linux

实时检测

文件逃逸攻击

监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。

×

×

×

×

×

√

Linux

实时检测

反弹Shell

实时监控容器环境用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。支持对TCP、UDP、ICMP等协议的检测。

×

×

×

×

×

√

Linux

实时检测

文件提权

检测当前容器系统对文件的提权。

×

×

×

×

×

√

Linux

实时检测

进程提权

×

×

×

×

×

√

Linux

实时检测

关键文件变更

对于容器场景系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。

×

×

×

×

×

√

Linux

实时检测

进程异常行为

检测容器场景下各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。

对于进程的非法行为、黑客入侵过程进行告警。

进程异常行为可以监控以下异常行为：

• 监控进程CPU使用异常。
• 检测进程对恶意IP的访问。
• 检测进程并发连接数异常等。

×

×

×

×

×

√

Linux

实时检测

容器进程异常

• 容器恶意程序

  监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。

• 容器异常进程

  对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。

×

×

×

×

×

√

Linux

实时检测

容器异常启动

监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。

支持以下容器环境检测：

• 禁止启动特权容器(privileged:true)
• 需要限制容器能力集（capabilities:[xxx]）
• 建议启用seccomp（seccomp=unconfined）
• 限制容器获取新的权限(no-new-privileges:false)
• 危险目录映射(mounts:[...])

×

×

×

×

×

√

Linux

实时检测

高危命令执行

实时检测容器场景系统中执行的高危命令，当发生高危命令执行时触发告警。

×

×

×

×

×

√

Linux

实时检测

高危系统调用

Linux系统调用是用户进程进入内核执行任务的请求通道，容器安全监控容器进程，如果发现进程使用了危险系统调用，触发高危系统调用告警。

×

×

×

×

×

√

Linux

实时检测

敏感文件访问

监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。

×

×

×

×

×

√

Linux

实时检测

容器镜像阻断

在Docker环境中容器启动前，告警并阻断镜像异常行为策略中指定的不安全容器镜像运行。

×

×

×

×

×

√

Linux

实时检测

可疑命令执行

• 检测通过命令或工具创建、删除计划任务或自启动任务。
• 检测远程执行命令的可疑行为。

×

×

×

×

×

√

Linux

实时检测

暴力破解

检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。

支持检测容器场景下SSH、Web和Enumdb暴破行为。

×

×

×

×

×

√

Linux

实时检测

非法系统用户账号

检测容器场景系统中的账号，列出当前系统中的可疑账号信息并告警上报，帮助用户及时发现非法账号。

×

×

×

×

×

√

Linux

实时检测

用户密码窃取

检测容器环境中系统账号和密码Hash值被异常获取的行为，一旦发现进行告警上报。

×

×

×

×

×

√

Linux

实时检测

异常外联行为

检测到容器环境中存在异常外联可疑ip的行为，一旦发现进行告警上报。

×

×

×

×

×

√

Linux

实时检测

端口转发检测

检测到容器环境中利用可疑工具进行端口转发行为，一旦发现进行告警上报。

×

×

×

×

×

√

Linux

实时检测

Kubernetes事件删除

检测集群中删除Kubernetes事件的行为，一旦发现进行警上报。

×

×

×

×

×

√

Linux

实时检测

Pod异常行为

检测集群中存在创建特权pod、静态pod及敏感配置pod的异常行为，以及对现存pod执行的异常操作，一旦发现进行告警上报。

×

×

×

×

×

√

Linux

实时检测

枚举用户信息

检测存在枚举集群用户的权限以及可执行操作列表的行为，一旦发现进行告警上报。

×

×

×

×

×

√

Linux

实时检测

绑定集群用户角色

检测绑定、创建高权限集群角色或Service Account的行为，一旦发现进行告警上报。

×

×

×

×

×

√

Linux

实时检测

告警白名单

处理告警事件时，将告警事件加入到告警白名单。

√

√

√

√

√

√

Linux、Windows

实时检测

登录告警白名单

将目标登录端IP和登录端用户名加入登录告警白名单，HSS将对白名单内的IP和用户的访问行为进行忽略，不再告警。

√

√

√

√

√

√

Linux、Windows

实时检测

系统用户白名单

对于主机中新添加的root用户组权限用户（非root用户）可添加到系统用户白名单，避免HSS进行风险账号告警。

√

√

√

√

√

√

Linux、Windows

实时检测

策略管理

支持自定义检测策略配置与下发，能够为每组或每台主机灵活配置检测规则，便于精细化安全运营。

• 查看策略组列表
• 依据默认策略组和已创建的策略组添加策略组
• 自定义策略
• 修改和删除策略组
• 针对策略组包含的策略，进行修改和关闭策略
• 在“主机管理”页面可以对主机进行批量部署策略

×

√（仅支持默认专业版策略组）

√（仅支持默认企业版策略组）

√

√

√

Linux、Windows

实时检测

历史处置记录

提供漏洞、安全告警事件的历史处置记录，方便您查看相关处理时间和处理人等信息。

×

√

√

√

√

√

Linux、Windows

安全报告

呈现每周或每月的主机安全趋势以及关键安全事件与风险。

×

√

√

√

√

√

Linux、Windows

Agent管理

可查看所有服务器的Agent状态，可进行升级、卸载、安装等操作。

√

√

√

√

√

√

Linux、Windows

实时检测

常用登录地

配置常用登录地后，服务将对非常用地登录主机的行为进行告警。每个主机可被添加在多个登录地中。

√

√

√

√

√

√

Linux、Windows

实时检测

常用登录IP

配置常用登录IP，服务将对非常用IP登录主机的行为进行告警。

√

√

√

√

√

√

Linux、Windows

实时检测

配置SSH登录IP白名单

SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。

配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP。

√

√

√

√

√

√

Linux

实时检测

恶意程序隔离查杀

开启恶意程序隔离查杀后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。

×

√

√

√

√

√

Linux、Windows

实时检测

双因子认证

通过密码+短信/邮件认证的方式，彻底防范账号暴力破解行为。

按需：×

包年/包月：√

√

√

√

√

√

Linux、Windows

-

告警配置

开启告警通知功能后，您能接收到主机安全服务发送的告警通知，及时了解主机/容器/网页内的安全风险。

√

√

√

√

√

√

Linux、Windows

-

插件管理

对插件进行安装、卸载、升级及统一管理。

×

×

×

×

×

√

Linux

-

自保护

保护主机安全服务的文件、进程、软件，防止恶意程序卸载主机安全服务Agent、篡改主机安全服务文件或停止主机安全服务进程。

• 自保护功能依赖AV检测、HIPS检测或者勒索病毒防护功能使能驱动才能生效，只有这三个功能开启一个以上时，开启自保护才会生效。
• 开启自保护策略后的影响如下：
  • 主机安全服务的Agent不支持通过主机的控制面板卸载，支持通过主机安全服务控制台卸载。
  • 主机安全服务的进程无法被终止。
  • Agent安装路径C:\Program Files\HostGuard下除了log目录、data目录（如果Agent升级过，再加上upgrade目录）外的其他目录无法访问。

×

×

×

√

√

×

Windows