更新时间:2024-11-11 GMT+08:00
分享

产品功能

企业主机安全有基础版、专业版、企业版、旗舰版、网页防篡改版和容器版供您选择,主要功能包括:总览资产概览主机管理容器管理主机指纹容器指纹漏洞管理基线检查容器镜像安全应用防护网页防篡改勒索病毒防护文件完整性管理病毒查杀动态端口蜜罐容器防火墙应用进程控制容器集群防护主机安全告警容器安全告警白名单管理策略管理历史处置记录安全报告容器审计安装与配置等。每个版本支持的功能存在差异,您可以根据自身的业务需求选择合适的版本。

  • 如需用于测试或个人用户防护主机账户安全,可使用基础版(无数量限制,只支持部分功能的检测能力,不支持防护能力,不支持等保认证)
  • 如有等保二级认证的需求,需使用企业版
  • 如有等保三级认证的需求,需使用旗舰版
  • 如有网站过等保认证的需求,建议使用网页防篡改版
  • 如有网站或关键系统防篡改需求,推荐使用网页防篡改版
  • 如有镜像安全、容器运行时安全需求,以及需要满足等保合规容器化部署业务,推荐使用容器版
  • 如果主机涉及重要资产或存在高风险情况(例如:对外暴露EIP、保存有关键资产、存在数据库等),以及主机有应用安全防护需求,建议使用旗舰版或者网页防篡改版
  • 为防止未防护主机感染勒索、挖矿等病毒后传染给其他主机,导致企业内网整体沦陷,建议您的云上主机全部署企业主机安全
  • 购买企业主机安全防护配额版本后,支持升级版本和切换版本,详细操作请参见升级防护配额版本切换防护版本
  • 本文表格中使用的标识含义如下:
    • √表示支持
    • ×表示不支持

总览

总览呈现云上资产整体安全评分和防护配置情况等,方便您掌握资产安全动态。

表1 总览功能介绍

服务功能

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

总览

实时展示所有资产的安全评分、安全风险和防护地图,帮助您了解主机和容器的安全状态以及存在的安全风险。

资产概览

资产概览呈现资产状态和清点情况。

表2 资产概览功能介绍

服务功能

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

资产概览

所有主机的资产状态、清点情况统计,包括Agent状态、防护状态、配额状态、资产指纹等。

主机管理

主机管理功能支持按照主机维度查看和管理目标服务器。

表3 主机管理功能介绍

服务功能

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

主机管理

所有主机资产管理,包含主机的防护状态、配额绑定、策略分配等,提供Linux主机的批量安装agent功能。

容器管理

容器管理功能支持按照容器维度查看和管理目标服务器。

表4 容器管理功能介绍

服务功能

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

容器管理

容器节点管理,容器镜像(私有镜像仓库、本地镜像)管理。

×

×

×

×

×

主机指纹

主机指纹功能支持采集主机中的端口、进程、Web应用、Web服务、Web框架和自启动项等资产信息,用户通过主机指纹功能集中清点主机中的各类资产信息,及时发现风险资产。

表5 主机指纹功能介绍

功能名称

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

账号

检测当前系统的账号信息,帮助用户进行账户安全性管理。

支持的操作系统:Linux、Windows。

检测周期:每小时自动检测。

×

×

开放端口

检测当前系统开放的端口,帮助用户识别出其中的危险端口和未知端口。

支持的操作系统:Linux、Windows。

检测周期:每30秒自动检测。

×

×

进程

监测运行中的进程并进行收集及呈现,便于用户自主清点合法进程,发现异常进程。

支持的操作系统:Linux、Windows。

检测周期:每小时自动检测。

×

×

软件

监测并记录当前系统安装的软件信息,帮助用户清点软件资产,识别不安全的软件版本。

支持的操作系统:Linux、Windows。

检测周期:每日自动检测。

×

×

自启动项

对系统中的自启动项进行检测,及时统计自启动项的变更情况。

支持的操作系统:Linux、Windows。

检测周期:每小时自动检测。

×

×

Web应用

Web应用主要统计、展示推送发布web内容的软件详细信息,您可以查看所有软件的版本、路径、配置文件、关键进程等信息。

支持的操作系统:Linux、Windows(仅支持Tomcat)。

检测周期:1次/周(每周一凌晨04:10)。

×

×

Web服务

统计、展示对外提供web内容访问的软件详细信息,您可查看所有软件的版本、路径、配置文件、关联进程等信息。

支持的操作系统:Linux。

检测周期:1次/周(每周一凌晨04:10)。

×

×

Web框架

统计、展示Web内容对外呈现时所使用框架的详细信息,您可查看所有框架的版本、路径、关联进程等信息。

支持的操作系统:Linux。

检测周期:1次/周(每周一凌晨04:10)。

×

×

Web站点

统计、展示存放Web内容的目录及对外提供访问的站点信息,您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、关键进程等信息。

支持的操作系统:Linux。

检测周期:1次/周(每周一凌晨04:10)。

×

×

中间件

统计、展示所使用到的所有软件信息,您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。

支持的操作系统:Linux、Windows。

检测周期:1次/周(每周一凌晨04:10)。

×

×

数据库

统计、展示提供数据存储的软件详细信息,您可以查看所有软件的版本、路径、配置文件、关键进程等信息;

支持的操作系统:Linux、Windows(仅支持MySQL)。

检测周期:1次/周(每周一凌晨04:10)。

×

×

内核模块

统计、展示运行在内核层的全量程序模块文件,您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。

支持的操作系统:Linux。

检测周期:1次/周(每周一凌晨04:10)。

×

×

容器指纹

容器指纹功能支持采集容器中的账号、端口、进程、集群、服务和工作负载等资产信息等,用户通过容器指纹功能集中清点容器中的各类资产信息,及时发现风险资产。

表6 资产指纹功能介绍

功能名称

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

账号

检测的容器系统中的账号信息,帮助用户进行账户安全性管理。

支持的操作系统:Linux。

检测周期:每小时自动检测。

×

×

×

×

×

开放端口

检测容器系统中的开放的端口,帮助用户识别出其中的危险端口和未知端口。

支持的操作系统:Linux。

检测周期:每30秒自动检测。

×

×

×

×

×

进程

监测运行中的进程并进行收集及呈现,便于用户自主清点合法进程,发现异常进程。

支持的操作系统:Linux。

检测周期:每小时自动检测。

×

×

×

×

×

软件

监测并记录当前容器系统安装的软件信息,帮助用户清点软件资产,识别不安全的软件版本。

支持的操作系统:Linux。

检测周期:每日自动检测。

×

×

×

×

×

自启动项

对容器系统中的自启动项进行检测,及时统计自启动项的变更情况。

支持的操作系统:Linux。

检测周期:每小时自动检测。

×

×

×

×

×

Web应用

Web应用主要统计、展示推送发布web内容的软件详细信息,您可以查看所有软件的版本、路径、配置文件、关键进程等信息。

支持的操作系统:Linux。

检测周期:1次/周(每周一凌晨04:10)。

×

×

×

×

×

Web服务

统计、展示对外提供web内容访问的软件详细信息,您可查看所有软件的版本、路径、配置文件、关联进程等信息。

支持的操作系统:Linux。

检测周期:1次/周(每周一凌晨04:10)。

×

×

×

×

×

Web框架

统计、展示Web内容对外呈现时所使用框架的详细信息,您可查看所有框架的版本、路径、关联进程等信息。

支持的操作系统:Linux。

检测周期:1次/周(每周一凌晨04:10)。

×

×

×

×

×

Web站点

统计、展示存放Web内容的目录及对外提供访问的站点信息,您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、关键进程等信息。

支持的操作系统:Linux。

检测周期:1次/周(每周一凌晨04:10)。

×

×

×

×

×

中间件

统计、展示所使用到的所有软件信息,您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。

支持的操作系统:Linux。

检测周期:1次/周(每周一凌晨04:10)。

×

×

×

×

×

数据库

统计、展示提供数据存储的软件详细信息,您可以查看所有软件的版本、路径、配置文件、关键进程等信息;

支持的操作系统:Linux。

检测周期:1次/周(每周一凌晨04:10)。

×

×

×

×

×

集群列表

统计、展示集群的详细信息,您可以查看所有集群的类型、节点、版本、状态等信息。

支持的操作系统:Linux。

检测周期:手动检测。

×

×

×

×

×

服务

统计、展示服务和断点的详细信息,您可以查看所有服务的命名空间、所属集群等信息。

支持的操作系统:Linux。

检测周期:手动检测。

×

×

×

×

×

工作负载

统计、展示工作负载(有状态负载、无状态负载、守护进程集、普通任务、定时任务、容器组)的详细信息,您可以查看所有工作负载的状态、实例个数、命名空间等信息。

支持的操作系统:Linux。

检测周期:手动检测。

×

×

×

×

×

容器实例

统计、展示容器实例的详细信息,您可以查看所有容器实例的状态、所属POD、所属集群等信息。

支持的操作系统:Linux。

检测周期:手动检测。

×

×

×

×

×

漏洞管理

漏洞管理支持检测主机中的Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞和应急漏洞,帮助用户识别潜在风险。

表7 漏洞管理功能介绍

功能名称

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

Linux漏洞检测

通过与漏洞库进行比对,检测主机的Linux操作系统官方维护的软件(非绿色版、非自行编译安装版;例如:kernel、openssl、vim、glibc等)存在的漏洞。

支持的操作系统:Linux。

检测周期:自动扫描(默认每日自动扫描)、定时扫描(默认每周一次,基础版不支持)、手动扫描(基础版不支持)。

Windows漏洞检测

通过同步微软官方的补丁公告,检测主机的Windows操作系统存在的漏洞。

支持的操作系统:Windows。

检测周期:自动扫描(默认每日自动扫描)、定时扫描(默认每周一次,基础版不支持)、手动扫描(基础版不支持)。

×

Web-CMS漏洞检测

通过对主机中的Web目录和文件进行检测,识别Web-CMS漏洞,提升Web服务安全性。

支持的操作系统:Linux、Windows。

检测周期:自动扫描(默认每日自动扫描)、定时扫描(默认每周一次)、手动扫描。

×

应用漏洞检测

检测主机中开源的jar包、elf文件等的漏洞,比如log4j、spring-core的漏洞。

支持的操作系统:Linux、Windows。

检测周期:自动扫描(默认每周一自动扫描)、定时扫描(默认每周一次)、手动扫描。

×

×

应急漏洞检测

通过软件版本比对和POC验证的方式,检测主机上运行的软件和依赖包是否存在漏洞,将存在风险的漏洞上报至控制台,并给您提供漏洞告警。

支持的操作系统:Linux。

检测周期:定时扫描(需要手动配置开启)、手动扫描。

×

基线检查

基线检查支持扫描主机系统和关键软件含有风险的配置、弱口令、口令复杂度策略,支持的检测基线包含安全实践和等保合规基线,且可自定义选择检测的子基线项、修复漏洞风险。

表8 基线检查功能介绍

功能名称

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

口令复杂度策略检测

检测系统中的口令复杂度策略,给出修改建议,帮助用户提升口令安全性。

支持检测的操作系统:Linux。

检测周期:每日凌晨自动检测、手动检测。

经典弱口令检测

检测系统账户口令是否属于常用的弱口令,针对弱口令提示用户修改。

支持检测的操作系统:Linux、Windows。

检测周期:每日凌晨自动检测、手动检测。

配置检查

对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查,帮助用户识别不安全的配置项。

支持检测的操作系统:Linux、Windows。

检测周期:每日凌晨自动检测、手动检测。

×

×

容器镜像安全

容器镜像安全支持扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议,帮助用户得到一个安全的镜像。

表9 容器镜像安全功能介绍

功能名称

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

SWR镜像仓库漏洞

通过与漏洞库进行比对,检测SWR镜像仓库存在的系统漏洞、应用漏洞,对当前镜像中存在的漏洞进行提醒。

支持的操作系统:Linux。

检测周期:手动检测。

×

×

×

×

×

镜像恶意文件

检测镜像是否携带恶意文件(Trojan、Worm、Virus病毒和Adware垃圾软件等),帮助用户识别出存在的风险。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

应用防护

应用防护为运行时的应用提供安全防御。您无需修改应用程序文件,只需将探针注入到应用程序,即可为应用提供强大的安全防护能力。当前只支持操作系统为Linux的服务器,且仅支持Java应用接入。

表10 应用防护功能介绍

功能名称

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

SQL注入

检测防御SQL注入(SQL Injection)攻击,检测web应用是否存在对应漏洞。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

OS命令注入

检测防御远程OS命令注入(OS Command Injection)攻击,同时检测web应用是否存在对应漏洞。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

XSS

检测防御存储型跨站脚本(Cross-Site Scripting,XSS)注入攻击。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

Log4jRCE漏洞检测

检测防御远程代码执行的控制攻击,并支持对攻击行为进行阻和拦截。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

上传Webshell

检测防御上传危险文件的攻击或将已有文件改名为危险文件扩展名的攻击,同时检测web应用是否存在对应漏洞。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

XML External Entity Injection

检测防御XXE注入(XML External Entity Injection)攻击,检测web应用是否存在对应漏洞。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

反序列化输入

检测使用了危险类的反序列化攻击。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

文件目录遍历

获取访问文件的路径或目录,匹配是否在敏感目录或敏感文件下。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

Struts2 OGNL

OGNL代码执行检测。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

JSP执行操作系统命令

检测可疑行为——通过JSP请求执行操作系统命令。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

JSP删除文件

检测可疑行为——通过JSP请求删除文件失败。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

数据库连接异常

检测可疑异常——数据库连接抛出的认证和通讯异常。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

0 day漏洞检测

检测执行命令的堆栈哈希是否在Web应用的白名单堆栈哈希表里。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

SecurityManager权限检测异常

检测可疑异常,即SecurityManager抛出的异常。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

JNDI注入

检测防御JNDI注入攻击,检测web应用是否存在对应漏洞。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

表达式(Expression)注入

检测防御表达式注入攻击,检测web应用是否存在对应漏洞。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

网页防篡改

网页防篡改实时检测并拦截篡改指定目录下文件的行为,并可快速获取备份的合法文件恢复被篡改的文件,从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。

表11 网页防篡改功能介绍

功能名称

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

静态网页防篡改

防止网站服务器中的静态网页文件被篡改。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

×

×

×

×

动态网页防篡改

为Tomcat提供动态网页防篡改能力,防止网站数据库中动态网页内容被篡改。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

勒索病毒防护

勒索病毒防护支持自定义勒索防护策略,帮助您识别检测已知勒索病毒攻击,支持通过静态、动态诱饵识别部分未知的勒索攻击。

表12 勒索病毒防护功能介绍

服务功能

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

勒索病毒防护

帮助您识别检测已知勒索病毒攻击,支持通过静态、动态诱饵识别部分未知的勒索攻击。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

×

×

应用进程控制

应用进程控制功能支持检测并告警恶意进程运行,帮助用户构建安全的应用进程运行环境。

表13 应用进程控制功能介绍

服务功能

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

应用进程控制

支持管控服务器中应用进程的运行,通过学习服务器运行的应用进程特征,将应用进程划分为可信进程、恶意进程和可疑进程,允许可疑、可信进程正常运行,对恶意进程运行进行告警,帮助用户构建安全的应用进程运行环境,避免服务器遭受不受信或恶意应用进程的破坏。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

×

×

文件完整性管理

文件完整性管理支持检查并记录关键文件的更改。

表14 文件完整性管理功能介绍

服务功能

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

文件完整性管理

检查Linux系统的关键文件,帮助用户及时发现发生了可能遭受攻击的更改。

支持的操作系统:Linux。

检测周期:实时检测。

×

病毒查杀

病毒查杀功能支持检测服务器中的病毒文件,可帮助用户清理潜在的恶意威胁。

表15 病毒查杀功能介绍

服务功能

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

病毒查杀

病毒查杀功能使用特征病毒检测引擎,支持扫描服务器中的病毒文件,扫描文件类型覆盖可执行文件、压缩文件、脚本文件、文档、图片、音视频文件,用户可根据自身需要,自主对服务器执行“快速查杀”、“全盘查杀”、“自定义查杀”扫描任务,并及时处置检测到的病毒文件,增强业务系统的病毒防御能力。

支持的操作系统:Linux、Windows。

检测周期:手动检测。

×

√(仅支持快速查杀)

动态端口蜜罐

动态端口蜜罐功能利用真实端口作为诱饵端口诱导攻击者访问,在内网横向渗透场景下,可有效地检测到攻击者的扫描行为,识别失陷主机。

表16 动态端口蜜罐功能介绍

服务功能

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

动态端口蜜罐

动态端口蜜罐功能是一个攻击诱捕陷阱,利用真实端口作为诱饵端口诱导攻击者访问;在内网横向渗透场景下,可有效地检测到攻击者的扫描行为,识别失陷主机,延缓攻击者攻击真正目标,从而保护用户的真实资源。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

×

×

容器防火墙

容器防火墙为容器环境提供的防火墙服务。

表17 容器防火墙功能介绍

服务功能

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

容器防火墙

对容器集群内部和外部的网络流量进行控制和拦截,防止恶意访问和攻击。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

容器集群防护

容器集群防护功能支持检测镜像中存在的不合规基线、漏洞恶意文件,防止不安全的容器镜像部署到集群。

表18 容器集群防护功能介绍

服务功能

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

容器集群防护

支持在容器镜像启动时检测其中存在的不合规基线、漏洞和恶意文件,并可根据检测结果告警和阻断未授权或含高危安全风险的容器镜像运行。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

主机安全告警

主机安全告警支持识别并阻止入侵主机的行为,实时检测主机的风险异变,检测并查杀主机中的恶意程序,识别主机中的网站后门等。

表19 主机安全告警功能介绍

功能名称

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

未分类恶意软件

对运行中的程序进行检测,识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

病毒

对服务器进行实时检测,对在服务器资产发现的各种病毒进行告警上报。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

蠕虫

对服务器中入侵的蠕虫或已存在的蠕虫进行检测、查杀,并进行告警上报。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

木马

对隐藏在正常程序中具备破坏和删除文件、发送密码、记录键盘等特殊功能的程序进行检测,发现时立即进行告警上报。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

僵尸网络

检测主机资产中是否存在已被传播的僵尸程序,一旦发现立即进行告警上报。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

后门

实时检测服务器系统是否存在后门漏洞,对发现的后门病毒进行告警上报。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

Rootkits

检测服务器资产,对可疑的内核模块和可疑的文件或文件夹进行告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

勒索软件

检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。

勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产,并以此作为向您勒索钱财的筹码。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

×

×

黑客工具

检测服务器是否存在用来控制服务器的非标工具,一旦发现立即上报告警。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

×

Webshell

检测云服务器上Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。

  • 网站后门检测信息包括“木马文件路径”“状态”“首次发现时间”“最后发现时间”。您可以根据网站后门信息忽略可信文件。
  • 您可以使用手动检测功能检测主机中的网站后门。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

挖矿软件

实时检测服务器中是否存在挖矿软件,并对发现的软件进行告警上报。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

远程代码执行

实时检测服务器是否存在被远程调用的情况,一旦发现立即进行告警上报。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

×

Redis漏洞利用

实时检测Redis进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

Hadoop漏洞利用

实时检测Hadoop进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

MySQL漏洞利用

实时检测MySQL进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

反弹Shell

实时监控用户的进程行为,可及时发现并阻断进程的非法Shell连接操作产生的反弹Shell行为。

支持对TCP、UDP、ICMP等协议的检测。

支持的操作系统:Linux。

检测周期:实时检测。

说明:

开启反弹Shell自动阻断需满足以下条件:

  1. “恶意文件检测”策略中开启反弹Shell自动阻断;或者在“HIPS检测”策略中开启自动化阻断。相关策略配置的详细说明请参见配置策略
  2. 开启恶意程序隔离查杀,详细操作请参见开启恶意程序隔离查杀

×

文件提权

检测当前系统对文件的提权。

支持的操作系统:Linux。

检测周期:实时检测。

×

进程提权

检测以下进程提权操作:
  • 利用SUID程序漏洞进行root提权。
  • 利用内核漏洞进行root提权。

支持的操作系统:Linux。

检测周期:实时检测。

×

关键文件变更

对于系统关键文件进行监控,文件被修改时告警,提醒用户关键文件存在被篡改的可能。

支持的操作系统:Linux。

检测周期:实时检测。

×

文件/目录变更

实时监控系统文件/目录,对创建、删除、移动、修改属性或修改内容的操作进行告警,提醒用户文件/目录可能被篡改。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

进程异常行为

检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。

对于进程的非法行为、黑客入侵过程进行告警。

进程异常行为可以监控以下异常行为:

  • 监控进程CPU使用异常。
  • 检测进程对恶意IP的访问。
  • 检测进程并发连接数异常等。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

×

高危命令执行

实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

异常Shell

检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。

支持的操作系统:Linux。

检测周期:实时检测。

×

敏感文件访问

检测未经授权访问或修改敏感文件的行为。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

Crontab可疑任务

检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。

帮助用户通过自启动变更情况,及时发现异常自启动项,快速定位木马程序的问题。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

×

×

系统安全防护被禁用

检测勒索软件加密前准备动作:通过注册表关闭Windows Defender实时保护功能,一旦发现立即上报告警。

支持的操作系统:Windows。

检测周期:实时检测。

×

×

×

备份删除

检测勒索软件加密前准备动作:删除备份格式文件或Backup文件夹下的文件,一旦发现立即上报告警。

支持的操作系统:Windows。

检测周期:实时检测。

×

×

异常注册表操作

检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作,一旦发现立即上报告警。

支持的操作系统:Windows。

检测周期:实时检测。

×

×

系统日志删除

检测到通过命令或工具清除系统日志的操作时进行告警。

支持的操作系统:Windows。

检测周期:实时检测。

×

×

×

可疑命令执行

  • 检测通过命令或工具创建、删除计划任务或自启动任务。
  • 检测远程执行命令的可疑行为。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

×

可疑进程运行

检测未经过认证或授权的应用进程运行,一旦发现进行告警上报。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

×

×

可疑进程文件访问

检测未经过认证或授权的进程访问指定的目录,一旦发现进行告警上报。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

×

×

暴力破解

检测“尝试暴力破解”“暴力破解成功”等暴力破解。

  • 检测账户遭受的口令破解攻击,封锁攻击源,防止云主机因账户破解被入侵。
  • 如果账户暴力破解成功,登录到云主机,则触发安全事件告警。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

异常登录

检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施(例如:忽略、修改密码等)。

如果在非常用登录地登录,则触发安全事件告警。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

非法系统账号

检测主机系统中的账号,列出当前系统中的可疑账号信息,帮助用户及时发现非法账号。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

用户账号添加

检测使用命令创建隐藏账户,一旦创建成功后用户交互界面和命令查询均不可见。

支持的操作系统:Windows。

检测周期:实时检测。

×

×

用户密码窃取

检测主机中的系统账号和密码Hash值被异常获取的行为,一旦发现进行告警上报。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

×

未知网络访问

检测对服务器未监听的端口进行访问的行为。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

×

×

云蜜罐

检测到连接主机蜜罐端口的行为,进行告警上报。

×

×

×

×

异常外联行为

检测到服务器存在异常外联可疑ip的行为,一旦发现进行告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

端口转发检测

检测到利用可疑工具进行端口转发行为,一旦发现进行告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

可疑的下载请求

检测到利用系统工具下载程序的可疑HTTP请求时进行告警。

支持的操作系统:Windows。

检测周期:实时检测。

×

×

×

可疑的HTTP请求

检测到利用系统工具或进程执行远程托管脚本的可疑HTTP请求时进行告警。

支持的操作系统:Windows。

检测周期:实时检测。

×

×

×

端口扫描

检测用户指定的端口存在被扫描或者嗅探的行为,一旦发现进行告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

主机扫描

检测网络对主机规则覆盖(包含对ICMP、ARP、nbtscan是覆盖)的扫描活动,一旦发现立即上报告警。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

进程注入

检测将恶意代码注入到正在运行的进程的行为,一旦发现立即告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

动态库注入进程

检测通过劫持动态链接库中的函数,从而实现白加黑注入代码的行为,一旦发现立即告警上报 。

支持的操作系统:Linux。

检测周期:实时检测。

×

内存文件进程

检测通过memfd_create的系统调用,创建一个只存在于RAM中的匿名恶意文件,从而执行恶意文件的行为,一旦发现立即告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

容器安全告警

容器安全告警支持对Docker、Containerd容器引擎进行入侵行为检测,实时监控容器节点运行状态,发现挖矿、勒索等恶意程序,发现违反容器安全策略的进程运行和文件修改,以及容器逃逸等行为并给出解决方案。

表20 容器安全告警功能介绍

功能名称

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

未分类恶意软件

对容器中运行的程序进行检测,识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

勒索软件

检测容器场景下勒索软件,并进行告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

黑客工具

检测服务器是否存在用来控制服务器的非标工具,一旦发现立即上报告警。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

Webshell

检测容器中Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

漏洞逃逸攻击

监控到容器内进程行为符合已知漏洞的行为特征时,触发逃逸漏洞攻击告警。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

文件逃逸攻击

监控发现容器进程访问了宿主机系统的关键文件目录(例如:“/etc/shadow”、“/etc/crontab”),则认为容器内发生了逃逸文件访问,触发告警。即使该目录符合容器配置的目录映射规则,仍然会触发告警。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

反弹Shell

实时监控容器环境用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。支持对TCP、UDP、ICMP等协议的检测。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

文件提权

检测当前容器系统对文件的提权。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

进程提权

检测容器环境以下进程提权操作:
  • 利用SUID程序漏洞进行root提权。
  • 利用内核漏洞进行root提权。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

关键文件变更

对于容器场景系统关键文件进行监控,文件被修改时告警,提醒用户关键文件存在被篡改的可能。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

进程异常行为

检测容器场景下各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。

对于进程的非法行为、黑客入侵过程进行告警。

进程异常行为可以监控以下异常行为:

  • 监控进程CPU使用异常。
  • 检测进程对恶意IP的访问。
  • 检测进程并发连接数异常等。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

容器进程异常

  • 容器恶意程序

    监控容器内启动的容器进程的行为特征和进程文件指纹,如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。

  • 容器异常进程

    对于已关联的容器镜像启动的容器,只允许白名单进程启动,如果容器内存在非白名单进程,触发容器异常程序告警。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

容器异常启动

监控新启动的容器,对容器启动配置选项进行检测,当发现容器权限过高存在风险时触发告警。

支持以下容器环境检测:

  • 禁止启动特权容器(privileged:true)
  • 需要限制容器能力集(capabilities:[xxx])
  • 建议启用seccomp(seccomp=unconfined)
  • 限制容器获取新的权限(no-new-privileges:false)
  • 危险目录映射(mounts:[...])

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

高危命令执行

实时检测容器场景系统中执行的高危命令,当发生高危命令执行时触发告警。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

高危系统调用

Linux系统调用是用户进程进入内核执行任务的请求通道,容器安全监控容器进程,如果发现进程使用了危险系统调用,触发高危系统调用告警。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

敏感文件访问

监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

容器镜像阻断

在Docker环境中容器启动前,告警并阻断镜像异常行为策略中指定的不安全容器镜像运行。

支持的操作系统:Linux。

检测周期:实时检测。

说明:

×

×

×

×

×

可疑命令执行

  • 检测通过命令或工具创建、删除计划任务或自启动任务。
  • 检测远程执行命令的可疑行为。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

暴力破解

检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为,发现暴破行为时触发告警。

支持检测容器场景下SSH、Web和Enumdb暴破行为。

支持的操作系统:Linux。

检测周期:实时检测。

说明:

目前暂仅支持Docker容器运行时的暴力破解检测告警。

×

×

×

×

×

非法系统账号

检测容器场景系统中的账号,列出当前系统中的可疑账号信息并告警上报,帮助用户及时发现非法账号。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

用户密码窃取

检测容器环境中系统账号和密码Hash值被异常获取的行为,一旦发现进行告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

异常外联行为

检测到容器环境中存在异常外联可疑ip的行为,一旦发现进行告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

端口转发检测

检测到容器环境中利用可疑工具进行端口转发行为,一旦发现进行告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

Kubernetes事件删除

检测集群中删除Kubernetes事件的行为,一旦发现进行警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

Pod异常行为

检测集群中存在创建特权pod、静态pod及敏感配置pod的异常行为,以及对现存pod执行的异常操作,一旦发现进行告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

枚举用户信息

检测存在枚举集群用户的权限以及可执行操作列表的行为,一旦发现进行告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

绑定集群用户角色

检测绑定、创建高权限集群角色或Service Account的行为,一旦发现进行告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

进程注入

检测将恶意代码注入到正在运行的进程的行为,一旦发现立即告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

动态库注入进程

检测通过劫持动态链接库中的函数,从而实现白加黑注入代码的行为,一旦发现立即告警上报 。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

内存文件进程

检测通过memfd_create的系统调用,创建一个只存在于RAM中的匿名恶意文件,从而执行恶意文件的行为,一旦发现立即告警上报。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

白名单管理

白名单功能包含告警白名单登录告警白名单系统用户白名单,如需避免某些告警误报发生,可以将告警事件加入对应的白名单。

表21 白名单管理功能介绍

功能名称

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

告警白名单

处理告警事件时,将告警事件加入到告警白名单。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

登录告警白名单

将目标登录端IP和登录端用户名加入登录告警白名单,HSS将对白名单内的IP和用户的访问行为进行忽略,不再告警。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

系统用户白名单

对于主机中新添加的root用户组权限用户(非root用户)可添加到系统用户白名单,避免HSS进行风险账号告警。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

策略管理

用户可以根据需要进行策略管理配置,自定义安全检测规则,并可为不同的主机组或主机/容器应用不同的策略,以满足不同应用场景的主机/容器安全需求。

表22 策略管理功能介绍

服务功能

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

策略管理

支持自定义检测策略配置与下发,能够为每组或每台主机灵活配置检测规则,便于精细化安全运营。

  • 查看策略组列表
  • 依据默认策略组和已创建的策略组添加策略组
  • 自定义策略
  • 修改和删除策略组
  • 针对策略组包含的策略,进行修改和关闭策略
  • “主机管理”页面可以对主机进行批量部署策略

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

√(仅支持默认专业版策略组)

√(仅支持默认企业版策略组)

历史处置记录

历史处置记录呈现漏洞、安全告警事件、病毒查杀等的处置历史。

表23 历史处置记录功能介绍

服务功能

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

历史处置记录

提供漏洞、安全告警事件、病毒查杀等的历史处置记录,方便您查看相关处理时间和处理人等信息。

×

安全报告

HSS支持以天、周、月的形式输出用户资产的安全报告

表24 安全报告功能介绍

服务功能

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

安全报告

呈现每周或每月的主机安全趋势以及关键安全事件与风险。

×

容器审计

容器审计支持监控和记录集群容器、非集群容器以及SWR镜像仓的各类操作和活动,以日志记录呈现在HSS控制台供用户查看和分析。

表25 容器审计功能介绍

服务功能

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

容器审计

容器审计功能支持对容器集群中的各种操作和活动进行监控和记录,可帮助用户洞察容器生命周期的各个阶段,包括创建、启动、停止和销毁等,以及容器之间的网络通信和数据传输情况。用户通过审计和分析,可以及时发现并处理安全问题,从而确保容器集群的安全性、稳定性。

支持的操作系统:Linux。

检测周期:实时检测。

×

×

×

×

×

安装与配置

安装与配置提供Agent管理、常用登录地、常用登录IP、SSH登录IP白名单、恶意程序自动隔离查杀、双因子认证、告警配置、容器安装与配置等功能,可满足不同应用场景的主机/容器安全需求。

表26 安装与配置功能介绍

服务功能

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

Agent管理

可查看所有服务器的Agent状态,可进行升级、卸载、安装等操作。

支持的操作系统:Linux、Windows。

常用登录地

配置常用登录地后,服务将对非常用地登录主机的行为进行告警。每个主机可被添加在多个登录地中。

支持的操作系统:Linux、Windows。

常用登录IP

配置常用登录IP,服务将对非常用IP登录主机的行为进行告警。

支持的操作系统:Linux、Windows。

配置SSH登录IP白名单

SSH登录IP白名单功能是防护账户爆破的一个重要方式,主要是限制需要通过SSH登录的服务器。

配置了白名单的服务器,只允许白名单内的IP通过SSH登录到服务器,拒绝白名单以外的IP。

支持的操作系统:Linux。

恶意程序隔离查杀

开启恶意程序隔离查杀后,HSS对识别出的后门、木马、蠕虫等恶意程序,提供自动隔离查杀功能,帮助用户自动识别处理系统存在的安全风险。

支持的操作系统:Linux、Windows。

检测周期:实时检测。

×

双因子认证

通过密码+短信/邮件认证的方式,彻底防范账号暴力破解行为。

支持的操作系统:Linux、Windows。

按需:×

包年/包月:√

插件管理

对插件进行安装、卸载、升级及统一管理。

支持的操作系统:Linux。

×

×

×

×

×

容器安装与配置

提供集群接入HSS入口,同时支持集群、非集群容器的Agent升级、卸载操作。

支持的操作系统:Linux。

主机安全自保护

主机安全自保护企业主机安全的自我保护功能。

表27 主机安全自保护功能介绍

服务功能

功能概述

基础版

专业版

企业版

旗舰版

网页防篡改版

容器版

Windows自保护

防止恶意程序卸载Agent、篡改企业主机安全文件或停止企业主机安全进程。

支持的操作系统:Windows。

说明:
  • 自保护功能依赖AV检测、HIPS检测或者勒索病毒防护功能使能驱动才能生效,只有这三个功能开启一个以上时,开启自保护才会生效。
  • 开启自保护策略后的影响如下:
    • Agent不支持通过主机的控制面板卸载,支持通过企业主机安全控制台卸载。
    • 企业主机安全的进程无法被终止。
    • Agent安装路径C:\Program Files\HostGuard下除了log目录、data目录(如果Agent升级过,再加上upgrade目录)外的其他目录无法访问。

×

×

×

×

Linux自保护

防止恶意程序停止企业主机安全进程、卸载Agent。

支持的操作系统:Linux。

说明:
  • 开启自保护策略后的影响如下:
    • Agent不支持通过命令卸载,支持通过企业主机安全控制台卸载。
    • 企业主机安全的进程无法被终止。

×

×

×

×

相关文档