采集主机资产指纹

操作场景

HSS提供主机指纹采集功能，支持采集主机中的端口、进程、Web应用、Web服务、Web框架和自启动项等资产信息。通过主机指纹功能，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。本章节为您介绍主机资产指纹采集项以及如何采集主机资产指纹。

约束与限制

主机指纹功能仅企业主机安全企业版、旗舰版、网页防篡改版、容器版支持，购买和升级企业主机安全的操作，请参见购买主机安全防护配额和升级防护配额。

主机指纹采集内容

主机指纹包括账号、开放端口、进程、软件、自启动项、Web应用、Web服务、Web框架、Web站点、中间件、内核模块和数据库，详细采集说明请参见主机指纹采集内容。

表1 主机指纹采集内容
功能项	功能描述	支持的操作系统
账号	检测主机系统中的账号，列出当前系统的账号信息，帮助用户进行账户安全性管理。根据账号的实时信息和历史变动，您可以快速排查主机中的可疑账号。账号的实时信息包括账号的“账号名称”、“服务器数”以及具体账号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”、“最近扫描时间”和“首次扫描时间”。账号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。	Linux、Windows
开放端口	检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。手动关闭风险端口如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。	Linux、Windows
进程	检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。	Linux、Windows
软件	检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”、“最近扫描时间”和“首次扫描时间”。软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。	Linux、Windows
自启动项	检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。	Linux、Windows
Web站点	采集并展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。已支持采集的Web站点包括：基于Linux系统的Apache、Nginx、Tomcat。	Linux
Web框架	采集并展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。已支持采集的Web框架类型包括以下几种，均基于Linux系统： Java语言框架：Struts、struts2、spring、hibernate、webwork、quartz、velocity、turbine、freemarker、flexive、stripes、vaadin、vertx、wicket、zkoss、jackson、fastjson、shiro、MyBatis、Jersey、JFinal。 Python语言框架：Django、Flask、Tornado、web.py、web2py。 PHP语言框架：Webasyst、KYPHP、CodeIgniter、InitPHP、SpeedPHP、ThinkPHP、OneThink Go语言框架：Gin、Beego、Fasthttp、Iris、Echo。	Linux
中间件	采集并展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。	Linux、Windows
内核模块	采集并展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。	Linux
Web服务	采集并展示对外提供web内容访问的软件详细信息，您可查看所有软件的版本、路径、配置文件、关联进程等信息。已支持采集的Web服务类型包括： Linux：Apache、Nginx、Tomcat、Weblogic、WebSphere、JBoss、Wildfly、Jetty。 Windows：Tomcat	Linux、Windows
Web应用	采集并展示推送发布web内容的软件详细信息，您可以查看所有软件的版本、路径、配置文件、关键进程等信息。已支持采集的Web应用类型包括： Linux：PHPMailer、PHPMyadmin、DedeCMS、Wordpress、ThinkPHP、BigTree、JPress、Jenkins、ZABBIX、Discuz!、ThinkCMF。 Windows：畅捷通	Linux、Windows
数据库	采集并展示提供数据存储的软件详细信息，您可以查看所有软件的版本、路径、配置文件、关键进程等信息。已支持采集的数据库类型包括： Linux：MySQL、Redis、Oracle、MongoDB、Memcache、PostgreSQL、HBase、DB2、Sybase、达梦数据库管理系统、金仓数据库管理系统kingbaseES。 Windows：MySQL	Linux、Windows

主机指纹采集方式

主机指纹采集方式包括自动采集和手动采集，每类指纹的采集方式说明请参见表2。

由于主机安装Agent成功后，会立即进行首次主机指纹采集，自动采集周期默认是以Agent安装成功后的时间节点开始计算。

如果您使用的HSS为旗舰版及以上版本，可自定义中间件、Web框架、内核模块、Web应用、Web站点、Web服务以及数据库的自动采集周期，详细操作请参见资产发现。

表2 主机指纹采集方式说明
功能项	自动检测周期	手动采集方式
账号	每小时自动检测	手动采集所有主机指纹最新数据
开放端口	每30秒自动检测	手动采集所有主机指纹最新数据
进程	每小时自动检测	手动采集所有主机指纹最新数据
软件	每日自动检测	手动采集所有主机指纹最新数据
自启动项	每小时自动检测	手动采集所有主机指纹最新数据
Web站点	1次/周（每周一凌晨04：10）	手动采集所有主机指纹最新数据手动采集单个主机指纹最新数据
Web框架	1次/周（每周一凌晨04：10）	手动采集所有主机指纹最新数据手动采集单个主机指纹最新数据
中间件	1次/周（每周一凌晨04：10）	手动采集所有主机指纹最新数据手动采集单个主机指纹最新数据
内核模块	1次/周（每周一凌晨04：10）	手动采集所有主机指纹最新数据手动采集单个主机指纹最新数据
Web服务	1次/周（每周一凌晨04：10）	手动采集所有主机指纹最新数据手动采集单个主机指纹最新数据
Web应用	1次/周（每周一凌晨04：10）	手动采集所有主机指纹最新数据手动采集单个主机指纹最新数据
数据库	1次/周（每周一凌晨04：10）	手动采集所有主机指纹最新数据手动采集单个主机指纹最新数据

手动采集单个主机指纹最新数据

针对Web应用、Web服务、Web框架、Web站点、中间件、数据库和内核模块这些资产，如果您想实时查看最新的数据，可手动采集指纹信息。

登录企业主机安全控制台。
在控制台左上角，单击图标，选择区域或项目。
在左侧导航栏，选择“资产管理 > 主机管理”，进入“主机管理”界面，选择“云服务器”页签，进入云服务器页面。
（可选）如果您已开通企业项目，可在页面上方“企业项目”下拉框中选择企业项目，查看目标企业项目下的相关信息和数据。
单击目标服务器名称，进入目标服务器的详情页面，选择“资产指纹 > 主机资产”页签。
单击指纹列表的目标类型，单击右侧列表上方“立即采集”任务自动创建完成。

目前仅支持Web应用、Web服务、Web框架、Web站点、中间件、数据库和内核模块支持实时手动采集更新，其他类型每天会自动执行采集更新。

图1 立即采集
自动执行完成之后，“最后采集时间”将会更新，可查看最新的主机资产信息。