文档首页 > > 产品介绍> 功能特性

功能特性

分享
更新时间: 2020/07/13 GMT+08:00

态势感知提供基础版和专业版两个版本,不同版本有不同功能使用范围。

  • 基础版免费使用,用户注册华为云账号后,仅需登录SA管理控制台,即可免费体验基础版功能。

    基础版提供检测部分威胁风险,呈现一定云上资产安全态势。

  • 专业版可选择包周期和按需计费模式。购买专业版后,呈现全局安全态势,通过动态安全检测和威胁分析,并提供安全加固建议。

不同版本支持功能差别,标识符号说明如下:

  • ×:代表不支持该功能。
  • √:代表支持该功能。
  • √+:代表支持该功能,但需额外购买功能或服务。

安全看板

安全看板实时呈现云上整体安全评估状况,并联动其他云安全服务,集中展示云上安全。

表1 安全看板功能介绍

功能模块

功能详情

基础版

专业版

安全风险

根据当前版本进行威胁检测,评估整体资产安全风险状态。

风险评估得分越高,即风险值越大,则整体资产安全隐患越大。

资产安全状况

集中呈现主机资产安全状况,以及按不同风险级别呈现资产分布情况,支持快速查看资产安全详情。

安全检测及防御能力

集中呈现当前版本支持的安全检测项和风险防御能力示例。

威胁告警实时监控

实时呈现当日的威胁告警事件,支持快速查看威胁告警详情。

威胁告警统计

集中呈现最近7天的威胁告警状况,以及按照不同告警事件类型呈现威胁分布情况。

攻击者排名

列表呈现攻击次数最多的攻击源,从高到低依次排名,支持快速查看攻击源信息。

风险预防

  • 实时滚动通报高危漏洞。
  • 实时呈现主机漏洞、网站漏洞和基线检查的风险数目,支持快速查看漏洞和基线风险详情。

×

网络安全

关联Anti-DDoS和AAD网络安全防护服务,集中呈现网络安全防护状态。

√+

√+

主机安全

关联HSS云主机资产防护服务,集中呈现主机安全防护状态,需先购买HSS服务

√+

√+

应用安全

关联WAF网络应用防火墙服务,集中呈现网络应用安全防护状态,需先购买WAF服务

√+

√+

数据安全

关联DBSS数据库安全服务,集中呈现数据库安全防护和数据审计状态,需先购买DBSS防护购买DBSS审计服务。

√+

√+

综合大屏

利用AI技术将海量云安全数据的分析并分类,通过综合大屏将数据可视化展示,集中呈现云上实时动态,云上关键风险一目了然,掌握云上安全态势更简单,更直观,更高效。

综合大屏功能为额外购买的功能,在购买专业版时为选购付费项目。

表2 综合大屏功能说明

功能模块

功能详情

基础版

专业版

综合态势感知

大屏集中展示云上综合安全态势,支持查看以下组件内容:

  • 全网安全地图

    将攻击源和受威胁资产具象化,投射到全球区域地图,动态呈现全网受威胁资产区域和攻击来源地。

  • 全网威胁度

    统计全网资产受威胁数目。

  • 今日威胁雷达图

    呈现当日检测出的威胁事件数目。

  • 威胁事件趋势

    呈现近7天的威胁事件数目的变化趋势。

  • 受威胁资产数量趋势

    呈现近7天的受威胁资产数量的变化趋势。

  • 威胁类型分布

    呈现不同威胁类型的分布状况。

  • 受攻击资产区域分布

    呈现受威胁主机的区域分布状况。

  • 威胁源主机TOP5

    呈现攻击次数前五的攻击源主机信息。

×

√+

主机安全态势

大屏集中呈现华为云主机安全态势,支持查看以下组件内容:

  • 风险主机地图

    将风险主机具象化,投射到国内各区域,动态呈现当日总主机风险数量、Windows系统主机风险数量、Linux系统主机风险数量。

  • 主机安全事件统计

    呈现5类威胁事件发生次数,以及受威胁资产数量,主要包括暴力破解、异地登录、恶意程序、网站后门和文件变更。

  • 资产统计

    呈现当前华为云Windows系统主机和Linux系统主机数量。

  • 近7天暴力破解趋势

    呈现近7天暴力破解攻击次数的变化趋势。

  • 近7天风险主机趋势

    呈现近7天风险主机被攻击次数的变化趋势。

  • TOP5风险云主机

    呈现被攻击次数前五的风险主机信息。

  • 暴力破解类型

    呈现5类暴力破解攻击主机的次数,以及不同类型暴力破解分布情况。

  • 漏洞检测

    呈现当日检测出的Windows漏洞和Linux漏洞个数,以及所占比例。

  • 基线检测

    呈现主机基线和云服务基线检测出的风险数。

×

√+

资产安全

态势感知24小时全方位防护云上主机和网站安全,呈现云上资产实时安全状态。

表3 资产安全功能说明

功能模块

功能详情

基础版

专业版

主机资产

同步主机资产信息,列表统计主机总体安全状况的信息。

支持查看主机资产的防护状态、当前安全状况、风险值和被攻击次数等。

×

网站资产

通过添加目标网站,并一键扫描任务,检查网站安全状态和所有漏洞项目,列表呈现各网站资产的总体安全状况统计信息。

支持查看网站扫描结果详情,包括“扫描项总览”“漏洞列表”“站点结构”,并支持下载网站漏洞安全报告。

  • 扫描项总览

    呈现当前网站漏洞扫描检查的所有项目和检测结果。呈现的检查项包括“恶意内容”“潜在风险”“网站安全漏洞”

    • 恶意内容包括检测恶意外链、挖矿后门和网页木马。
    • 潜在风险包括检测网站请求头、https协议。
    • 网站安全漏洞包括检测跨站请求伪造、应急漏洞、信息泄露、注入攻击、跨站脚本攻击等。
  • 漏洞列表

    扫描出的漏洞详细列表信息。

  • 站点结构

    显示网站扫描监测出的漏洞,以及漏洞的具体站点位置。

×

威胁告警

通过对威胁攻击事件的“实时监控”,提供告警通知和监控,记录近180天告警事件详情,分析威胁攻击情况,并针对典型威胁攻击预置策略实施防御手段。

支持检测和呈现8大类威胁告警事件,包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制,详细说明请参见威胁告警事件

表4 威胁告警功能说明

功能模块

功能详情

基础版

专业版

告警列表

列表呈现威胁告警事件统计信息,支持查看告警事件和受威胁资产详情,并支持导出全部告警事件。

说明:

基础版支持检测部分威胁攻击事件。为全面快速地了解并处理资产遭受的威胁,确保云上资产安全,建议您购买专业版

威胁分析

支持从“攻击源”“被攻击资产”查询威胁攻击,统计威胁攻击次数或资产被攻击次数。

×

安全编排

着重呈现暴力破解、Web攻击、后门木马和僵尸主机四大类威胁事件,支持对各个威胁事件实施预置的安全编排策略。

×

告警监控

自定义监控的威胁名单、告警类型、告警级别等,针对性地检测关注的威胁告警。

×

通知告警

自定义威胁告警通知,支持设置每日定时告警通知和实时告警通知,通过接收消息通知及时了解威胁风险。

×

威胁告警事件

默认“实时监控”并上报威胁告警事件,支持检测和呈现8大类威胁告警事件,包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。

表5 威胁告警事件说明

告警名称

威胁告警说明

基础版

专业版

DDoS

“实时检测”华为云、非华为云及IDC的互联网主机的DDoS攻击,检测项包括100多种子类型DDoS威胁。

  • 网络层攻击

    NTP Flood攻击等

  • 传输层攻击

    SYN Flood攻击、ACK Flood攻击等。

  • 会话层攻击

    SSL连接攻击等。

  • 应用层攻击

    HTTP Get Flood攻击、HTTP Post Flood攻击等。

暴力破解

“实时检测”入侵资产的行为和主机资产内部的风险,支持检测8种子类型的暴力破解威胁。

  • 账户被暴力破解事件

    检测SSH、RDP、FTP、SQL Server、MySQL等账户遭受的口令破解攻击,包括检测SSH暴力破解、RDP暴力破解、Web暴力破解、MySQL暴力破解、SQLServer暴力破解、Telnet暴力破解、SMB暴力破解等。

  • 系统爆破检测事件

    通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识别病毒、木马、后门、蠕虫和挖矿软件等恶意程序,也可检测出主机中未知的恶意程序和病毒变种。

  • 非法系统账户

    检测主机系统中的账号,列出当前系统中的可疑账号信息,及时发现非法账号。

  • 系统被成功爆破事件

    检测账户是否被暴力破解,云主机资产是否被异常登录。

说明:

基础版支持检测账户暴力破解事件的8种子类型威胁,专业版支持检测全部子类型威胁。

√(8种)

Web攻击

“实时检测”Web恶意扫描器、IP、网马等威胁,支持检测33种子类型的Web攻击威胁。

  • 支持检测WebShell攻击、CC攻击、SQL注入、XSS跨站脚本、本地/远程文件包含、目录遍历、远程代码执行、网站信息泄露、不良信誉IP访问、精准防护命中、禁止访问地访问、扫描器爬虫、网页防篡改、网站反爬虫、敏感文件访问、命令/代码注入、恶意爬虫、白/黑名单访问、网页木马上传、后门隔离保护、非法HTTP协议请求、第三方漏洞攻击等威胁。
说明:

基础版支持检测“WebShell攻击”1种子类型威胁,专业版支持检测全部子类型威胁。

√(1种)

后门木马

“实时检测”资产系统是否存在后门木马风险,以及被后门木马程序入侵后的恶意请求行为。支持检测5种子类型的后门木马威胁。

  • 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。
  • 检测资产被植入木马特性

    检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序,被入侵后访问HFS下载服务器等。

说明:

基础版支持检测“资产上木马文件”1种子类型威胁,专业版支持检测全部子类型威胁。

√(1种)

僵尸主机

“实时检测”资产被入侵后对外发起攻击的威胁,支持检测7种子类型的僵尸主机威胁。

  • 对外发起SSH暴力破解
  • 对外发起RDP暴力破解
  • 对外发起Web暴力破解
  • 对外发起Mysql暴力破解
  • 对外发起SQLServer暴力破解
  • 对外发起DDoS攻击
  • 被入侵后安装挖矿程序
说明:

基础版支持检测前5种子类型威胁,专业版支持检测全部子类型威胁。

√(5种)

异常行为

“实时检测”资产系统异常变更和操作行为,支持检测14种子类型的异常行为威胁。
  • 文件系统被扫描
  • CMS V1.0漏洞
  • 敏感文件被访问
  • 系统成功登录审计事件
  • 文件目录变更监测事件
  • 混杂模式网卡
  • 异常权限用户
  • 反弹Shell
  • 异常Shell
  • 高危命令执行
  • 异常自启动
  • 文件提权
  • 进程提权
  • Rootkit程序

×

漏洞攻击

“实时检测”资产被尝试使用漏洞进行攻击。支持检测2种子类型的漏洞攻击威胁。

  • SMBv1漏洞攻击
  • WebCMS漏洞攻击

×

命令控制

“实时检测”资产可能被命令与控制服务器(C&C,Command and Control Server)远程控制,访问与恶意软件或建立与恶意软件之间的链接。支持检测3种子类型的命令控制威胁。

  • 监控主机存在访问DGA域名行为
  • 监控主机存在访问恶意C&C域名行为
  • 监控主机存在存在恶意C&C通道行为

×

漏洞管理

通过执行主机漏洞扫描、网站扫描、预置应急漏洞一键检测,获取全面的云上资产漏洞风险情况,并提供相应漏洞修复建议。

表6 漏洞管理功能说明

功能模块

功能详情

基础版

专业版

主机漏洞

通过授权主机,并一键扫描主机漏洞,呈现主机漏洞扫描检测信息,支持查看漏洞详情,并提供相应漏洞修复建议。

  • Linux软件漏洞扫描

    通过比对国际通用漏洞库,检测系统和官方软件(非绿色版、非自行编译安装版,例如:SSH、OpenSSL、Apache、Mysql等)存在的漏洞,识别Linux系统存在的漏洞风险。

  • Windows软件漏洞扫描

    通过同步国际通用补丁源,识别并告警提醒Windows系统潜在漏洞风险。

  • Web-CMS漏洞扫描

    通过对Web目录和文件进行检测,识别出Web-CMS漏洞,提升Web服务安全性。

×

网站漏洞

通过自动同步VSS漏洞扫描结果,分类呈现网站漏洞扫描详情,支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布,并提供相应漏洞修复建议。

  • Web常规漏洞扫描

    提供OWASP TOP10和WASC的漏洞检测能力,支持扫描30多种常见漏洞。包括XSS、SQL注入等。

  • 网站弱密码扫描

    全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测;比对丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测。

  • 网站端口扫描

    扫描服务器端口的开放状态,检测出容易被黑客发现的端口。

  • CVE网站漏洞扫描

    同步国际通用漏洞库,扫描网站安全状况。

  • 网页内容合规检测

    对网站文字和图片规范性性进行检测。

  • 网站挂马检测

    检测网站是否被上传木马,避免网站运行时自动执行木马程序,而被黑客控制。

  • 网站链接健康检测

    检测网站的链接地址健康性状态,避免网站出现死链、暗链、恶意链接。

×

应急漏洞

针对网络突发的高危漏洞,支持紧急“一键检测”,获取应急漏洞检测详情,并提供相应漏洞修复建议。

基线检查

通过执行主机基线扫描、云服务基线扫描,检查基线配置风险状态,告警提示存在安全隐患的配置,并提供基线加固建议。

表7 基线检查功能说明

功能模块

功能详情

基础版

专业版

主机基线

通过授权主机,并一键扫描主机基线,呈现主机风险配置检测结果,并提供相应修复建议。

支持检测主机系统和关键软件含有风险的配置信息。

  • 口令复杂度策略检测

    检测主机系统中的口令复杂度策略,并提供修改建议提升口令安全性。

  • 配置检测

    检测常见的Tomcat配置、Nginx配置、SSH登录配置,识别不安全的配置项。

×

云服务基线

通过一键扫描或设置定期扫描,分类呈现云服务配置检测结果,提示不合格检测项,并提供相应配置加固建议和帮助指导。

支持检测6类云服务基线配置,共涉及14个云服务,共包括26项子检查项目。

  • 身份认证

    检测是否启用IAM用户、检测IAM用户是否启用AK/SK认证和多因素认证,以及检测是否启用秘钥对登录ECS。

  • 访问控制

    检测安全组和网络ACL访问策略的风险配置,着重检测ECS、RDS、DDS、DCS、ELB等核心资源的风险访问控制配置,以及检测是否添加WAF回源IP白名单的安全防护配置。

  • 日志审计

    检测CTS和OBS桶是否启用日志审计管理、日志存储安全配置。

  • 数据安全

    检测OBS、RDS、DDS、DCS、EVS等核心资源的数据是否启用加密、备份和访问配置,以及检测SSL证书的有效性。

  • 基础防护

    检测云资源是否启用Anti-DDoS防护配置,以及检测云主机是否启用HSS防护配置。

  • 监控告警

    检测ELB监听证书的有效性,以及检测ELB是否启用健康检查配置。

×

日志管理

通过授权LTS管理态势感知日志,并转储日志到OBS桶,帮助用户轻松应对日志存储、导出、查询、分析等场景,满足日志存储180天集中审计的要求。

表8 日志管理功能说明

功能模块

功能详情

基础版

专业版

日志管理

授权LTS管理日志,并转储日志到OBS桶,满足SA日志存储和容灾需求。

×

为应对SA日志的容灾恢复,可将转储到OBS桶的日志,通过数据接入服务(Data Ingestion Service)传输到线下SIEM系统,恢复和离线管理SA日志数据。同时,可将线下SIEM系统日志数据,通过DIS重新传输上云进行分析和存储。

DIS支持通过以下几种方式上传和下载数据:Kafka Adapter、DIS Agent、DIS Flume Plugin、DIS Flink Connector、DIS Spark Streaming、DIS Logstash Plugin等,详细说明请参见使用DIS

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问