服务版本差异
更新时间 2024-01-11 17:27:45
最近更新时间: 2024-01-11 17:27:45
此小节介绍企业主机安全服务版本差异。
企业主机安全有基础版、专业版、企业版、旗舰版、网页防篡改版和容器版供您选择,主要功能包括:总览、资产概览、主机管理、容器管理、资产指纹、漏洞管理、基线检查、容器镜像安全、应用防护、网页防篡改、勒索病毒防护、文件完整性管理、容器防火墙、主机入侵检测、容器入侵检测、白名单管理、策略管理、历史处置记录、安全报告和安全配置等。每个版本支持的功能存在差异,您可以根据自身的业务需求选择合适的版本。
- 如有等保二级认证的需求,需使用 企业版 。
- 如有等保三级认证的需求,需使用 旗舰版 。
- 如有网站过等保认证的需求,需使用 网页防篡改版 。
- 如果主机涉及重要资产或存在高风险情况(例如:对外暴露EIP、保存有关键资产、存在数据库等),建议使用 旗舰版或者网页防篡改版 。
- 如有网站或关键系统防篡改需求,以及有应用安全防护需求的主机,推荐使用 网页防篡改版 。
- 如有镜像安全、容器运行时安全需求,以及需要满足等保合规容器化部署业务,推荐使用 容器版 。
总览
呈现云上资产整体安全评分和防护配置情况等,方便您掌握资产安全动态。
表1-1 总览功能介绍
| 服务功能 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 | 检测周期 |
|---|---|---|---|---|---|---|---|---|---|
| 总览 | 实时展示所有资产的安全评分、安全风险和防护地图,帮助您了解主机和容器的安全状态以及存在的安全风险。 | √ | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
资产概览
呈现资产状态和清点情况。
表1-2 资产概览功能介绍
| 服务功能 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 | 检测周期 |
|---|---|---|---|---|---|---|---|---|---|
| 资产概览 | 所有主机的资产状态、清点情况统计,包括Agent状态、防护状态、配额状态、资产指纹等。 | √ | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
主机管理
功能支持按照主机维度查看和管理目标服务器。
表1-3 主机管理功能
| 服务功能 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 |
|---|---|---|---|---|---|---|---|---|
| 主机管理 | 所有主机资产管理,包含主机的防护状态、配额绑定、策略分配等,提供Linux主机的批量安装agent功能。 | √ | √ | √ | √ | √ | √ | Linux、Windows注:批量安装Agent仅支持Linux |
容器管理
功能支持按照容器维度查看和管理目标服务器。
表1-4 容器管理功能介绍
| 服务功能 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 |
|---|---|---|---|---|---|---|---|---|
| 容器管理 | 容器节点管理,容器镜像(私有镜像仓库、本地镜像)管理。 | × | × | × | × | × | √ | Linux |
资产指纹
资产指纹功能统计并展示主机指纹和容器指纹数据。
表1-5 资产指纹功能介绍
| 功能名称 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 | 检测周期 |
|---|---|---|---|---|---|---|---|---|---|
| 账号 | 检测当前系统的账号信息,帮助用户进行帐户安全性管理。 | × | × | √ | √ | √ | √ | Linux、Windows | 每小时自动检测 |
| 开放端口 | 检测当前系统开放的端口,帮助用户识别出其中的危险端口和未知端口。 | × | × | √ | √ | √ | √ | Linux、Windows | 每30秒自动检测 |
| 进程 | 监测运行中的进程并进行收集及呈现,便于用户自主清点合法进程,发现异常进程。 | × | × | √ | √ | √ | √ | Linux、Windows | 每小时自动检测 |
| 软件 | 监测并记录当前系统安装的软件信息,帮助用户清点软件资产,识别不安全的软件版本。 | × | × | √ | √ | √ | √ | Linux、Windows | 每日自动检测 |
| 自启动项 | 对系统中的自启动项进行检测,及时统计自启动项的变更情况。 | × | × | √ | √ | √ | √ | Linux、Windows | 每小时自动检测 |
| Web应用 | Web应用主要统计、展示推送发布web内容的软件详细信息,您可以查看所有软件的版本、路径、配置文件、关键进程等信息。 | × | × | √ | √ | √ | √ | Linux、Windows(仅支持Tomcat) | 1次/周(每周一凌晨04:10) |
| Web服务 | 统计、展示对外提供web内容访问的软件详细信息,您可查看所有软件的版本、路径、配置文件、关联进程等信息。 | × | × | √ | √ | √ | √ | Linux | 1次/周(每周一凌晨04:10) |
| Web框架 | 统计、展示Web内容对外呈现时所使用框架的详细信息,您可查看所有框架的版本、路径、关联进程等信息。 | × | × | √ | √ | √ | √ | Linux | 1次/周(每周一凌晨04:10) |
| Web站点 | 统计、展示存放Web内容的目录及对外提供访问的站点信息,您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、关键进程等信息。 | × | × | √ | √ | √ | √ | Linux | 1次/周(每周一凌晨04:10) |
| 中间件 | 统计、展示所使用到的所有软件信息,您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 | × | × | √ | √ | √ | √ | Linux、Windows | 1次/周(每周一凌晨04:10) |
| 数据库 | 统计、展示提供数据存储的软件详细信息,您可以查看所有软件的版本、路径、配置文件、关键进程等信息; | × | × | √ | √ | √ | √ | Linux、Windows(仅支持Mysql) | 1次/周(每周一凌晨04:10) |
| 内核模块 | 统计、展示运行在内核层的全量程序模块文件,您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 | × | × | √ | √ | √ | √ | Linux | 1次/周(每周一凌晨04:10) |
漏洞管理
支持检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞、应用漏洞,帮助用户识别潜在风险。
表1-6 漏洞管理功能介绍
| 功能名称 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 | 检测周期 |
|---|---|---|---|---|---|---|---|---|---|
| Linux漏洞检测 | 通过与漏洞库进行比对,检测Linux操作系统官方维护的软件(非绿色版、非自行编译安装版;例如:kernel、openssl、vim、glibc等)存在的漏洞。 | √ | √ | √ | √ | √ | √ | Linux | 默认每周执行一次自动检测l 手动检测 |
| Windows漏洞检测 | 通过同步微软官方的补丁公告,检测Windows操作系统存在的漏洞。 | √ | √ | √ | √ | √ | √ | Windows | 默认每周执行一次自动检测 手动检测 |
| Web-CMS漏洞检测 | 通过对Web目录和文件进行检测,识别Web-CMS漏洞,提升Web服务安全性。 | √ | √ | √ | √ | √ | √ | Linux、Windows | 默认每周执行一次自动检测 手动检测 |
| 应用漏洞检测 | 检测开源的jar包、elf文件等的漏洞,比如log4j、spring-core的漏洞。 | × | × | √ | √ | √ | √ | Linux、Windows | 支持配置开启自动检测 手动检测 |
基线检查
支持扫描主机系统和关键软件含有风险的配置、弱口令、口令复杂度策略,支持的检测基线包含安全实践和等保合规基线,且可自定义选择检测的子基线项、修复漏洞风险。
表1-7 基线检查功能介绍
| 功能名称 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 | 检测周期 |
|---|---|---|---|---|---|---|---|---|---|
| 口令复杂度策略检测 | 检测系统中的口令复杂度策略,给出修改建议,帮助用户提升口令安全性。 | √ | √ | √ | √ | √ | √ | Linux | 每日凌晨自动检测 手动检测 |
| 经典弱口令检测 | 检测系统账户口令是否属于常用的弱口令,针对弱口令提示用户修改。 | √ | √ | √ | √ | √ | √ | Linux、Windows | 每日凌晨自动检测 手动检测 |
| 配置检查 | 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查,帮助用户识别不安全的配置项。 | × | × | √ | √ | √ | √ | Linux、Windows | 每日凌晨自动检测 手动检测 |
容器镜像安全
支持扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议,帮助用户得到一个安全的镜像。
表1-8 容器镜像安全功能介绍
| 功能名称 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 | 检测周期 |
|---|---|---|---|---|---|---|---|---|---|
| 私有镜像仓库漏洞 | 通过与漏洞库进行比对,检测SWR镜像仓库存在的系统漏洞、应用漏洞,对当前镜像中存在的漏洞进行提醒。 | × | × | × | × | × | √ | Linux | 每日凌晨自动检测 手动检测 |
| 镜像恶意文件 | 检测镜像是否携带恶意文件(Trojan、Worm、Virus病毒和Adware垃圾软件等),帮助用户识别出存在的风险。 | × | × | × | × | × | √ | Linux | 实时检测 |
| 镜像基线检查 | 提供18类容器基线配置检查,帮助用户识别不安全的配置。 | × | × | × | × | × | √ | Linux | 实时检测 |
应用防护
为运行时的应用提供安全防御。您无需修改应用程序文件,只需将探针注入到应用程序,即可为应用提供强大的安全防护能力。当前只支持操作系统为Linux的服务器,且仅支持Java应用接入。
表1-9 应用防护功能介绍
| 功能名称 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 | 检测周期 |
|---|---|---|---|---|---|---|---|---|---|
| SQL注入 | 检测防御SQL注入(SQL Injection)攻击,检测web应用是否存在对应漏洞。 | × | × | × | √ | √ | √ | Linux | 实时检测 |
| OS命令注入 | 检测防御远程OS命令注入(OS Command Injection)攻击,同时检测web应用是否存在对应漏洞。 | × | × | × | √ | √ | √ | Linux | 实时检测 |
| XSS | 检测防御存储型跨站脚本(Cross-Site Scripting,XSS)注入攻击。 | × | × | × | √ | √ | √ | Linux | 实时检测 |
| Log4jRCE漏洞检测 | 检测防御远程代码执行的控制攻击。 | × | × | × | √ | √ | √ | Linux | 实时检测 |
| 上传Webshell | 检测防御上传危险文件的攻击或将已有文件改名为危险文件扩展名的攻击,同时检测web应用是否存在对应漏洞。 | × | × | × | √ | √ | √ | Linux | 实时检测 |
| XML External Entity Injection | 检测防御XXE注入(XML External Entity Injection)攻击,检测web应用是否存在对应漏洞。 | × | × | × | √ | √ | √ | Linux | 实时检测 |
| 反序列化输入 | 检测使用了危险类的反序列化攻击。 | × | × | × | √ | √ | √ | Linux | 实时检测 |
| 文件目录遍历 | 获取访问文件的路径或目录,匹配是否在敏感目录或敏感文件下。 | × | × | × | √ | √ | √ | Linux | 实时检测 |
| Struts2 OGNL | OGNL代码执行检测。 | × | × | × | √ | √ | √ | Linux | 实时检测 |
| JSP执行操作系统命令 | 检测可疑行为——通过JSP请求执行操作系统命令。 | × | × | × | √ | √ | √ | Linux | 实时检测 |
| JSP删除文件 | 检测可疑行为——通过JSP请求删除文件失败。 | × | × | × | √ | √ | √ | Linux | 实时检测 |
| 数据库连接异常 | 检测可疑异常——数据库连接抛出的认证和通讯异常。 | × | × | × | √ | √ | √ | Linux | 实时检测 |
| 0 day漏洞检测 | 检测执行命令的堆栈哈希是否在Web应用的白名单堆栈哈希表里。 | × | × | × | √ | √ | √ | Linux | 实时检测 |
| SecurityManager权限检测异常 | 检测可疑异常——SecurityManager抛出的异常。 | × | × | × | √ | √ | √ | Linux | 实时检测 |
网页防篡改
实时检测并拦截篡改指定目录下文件的行为,并可快速获取备份的合法文件恢复被篡改的文件,从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。
表1-10 网页防篡改功能介绍
| 功能名称 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 | 检测周期 |
|---|---|---|---|---|---|---|---|---|---|
| 静态网页防篡改 | 防止网站服务器中的静态网页文件被篡改。 | × | × | × | × | √ | × | Linux、Windows | 实时检测 |
| 动态网页防篡改 | 为Tomcat提供动态网页防篡改能力,防止网站数据库中动态网页内容被篡改。 | × | × | × | × | √ | × | Linux | 实时检测 |
勒索病毒防护
支持自定义勒索备份恢复策略。帮助您识别检测已知勒索病毒攻击,支持通过静态、动态诱饵识别部分未知的勒索攻击。
表1-11 勒索病毒防护功能介绍
| 服务功能 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 | 检测周期 |
|---|---|---|---|---|---|---|---|---|---|
| 勒索病毒防护 | 帮助您识别检测已知勒索病毒攻击,支持通过静态、动态诱饵识别部分未知的勒索攻击。 | × | × | × | √ | √ | √ | Linux、Windows | 实时检测 |
文件完整性管理
支持检查并记录关键文件的更改。
表1-12 文件完整性管理功能介绍
| 服务功能 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 | 检测周期 |
|---|---|---|---|---|---|---|---|---|---|
| 文件完整性管理 | 检查Linux系统、应用程序软件和其他组件的文件,帮助用户及时发现发生了可能遭受攻击的更改。 | × | × | × | √ | √ | √ | Linux | 实时检测 |
容器防火墙
为容器环境提供的防火墙服务。
表1-13 容器防火墙功能介绍
| 服务功能 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 | 检测周期 |
|---|---|---|---|---|---|---|---|---|---|
| 容器防火墙 | 对容器集群内部和外部的网络流量进行控制和拦截,防止恶意访问和攻击。 | × | × | × | × | × | √ | Linux | 实时检测 |
主机入侵检测
支持识别并阻止入侵主机的行为,实时检测主机的风险异变,检测并查杀主机中的恶意程序,识别主机中的网站后门等。
表1-14 主机入侵检测功能介绍
| 功能名称 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 | 检测周期 |
|---|---|---|---|---|---|---|---|---|---|
| 未分类恶意软件 | 对运行中的程序进行检测,识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 | × | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 病毒 | 对服务器进行实时检测,对在服务器资产发现的各种病毒进行告警上报。 | × | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 蠕虫 | 对服务器中入侵的蠕虫或已存在的蠕虫进行检测、查杀,并进行告警上报。 | × | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 木马 | 对隐藏在正常程序中具备破坏和删除文件、发送密码、记录键盘等特殊功能的程序进行检测,发现时立即进行告警上报。 | × | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 僵尸网络 | 检测主机资产中是否存在已被传播的僵尸程序,一旦发现立即进行告警上报。 | × | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 后门 | 实时检测服务器系统是否存在后门漏洞,对发现的后门病毒进行告警上报。 | × | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| Rootkits | 检测服务器资产,对可疑的内核模块和可疑的文件或文件夹进行告警上报。 | × | √ | √ | √ | √ | √ | Linux | 实时检测 |
| 勒索软件 | 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产,并以此作为向您勒索钱财的筹码。 | × | × | × | √ | √ | √ | Linux、Windows | 实时检测 |
| 黑客工具 | 检测服务器是否存在用来控制服务器的非标工具,一旦发现立即上报告警。 | × | × | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| Webshell | 检测云服务器上Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 |
× | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 挖矿软件 | 实时检测服务器中是否存在挖矿软件,并对发现的软件进行告警上报。 | × | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 远程代码执行 | 实时检测服务器是否存在被远程调用的情况,一旦发现立即进行告警上报。 | × | × | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 反弹Shell | 实时监控用户的进程行为,可及时发现并阻断进程的非法Shell连接操作产生的反弹Shell行为。支持对TCP、UDP、ICMP等协议的检测。 | × | √ | √ | √ | √ | √ | Linux | 实时检测 |
| 文件提权 | 检测当前系统对文件的提权。 | × | √ | √ | √ | √ | √ | Linux | 实时检测 |
| 进程提权 | 检测以下进程提权操作:利用SUID程序漏洞进行root提权。利用内核漏洞进行root提权。 | × | √ | √ | √ | √ | √ | Linux | 实时检测 |
| 关键文件变更 | 对于系统关键文件进行监控,文件被修改时告警,提醒用户关键文件存在被篡改的可能。 | × | √ | √ | √ | √ | √ | Linux | 实时检测 |
| 文件/目录变更 | 实时监控系统文件/目录,对创建、删除、移动、修改属性或修改内容的操作进行告警,提醒用户文件/目录可能被篡改。 | × | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 进程异常行为 | 检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。对于进程的非法行为、黑客入侵过程进行告警。进程异常行为可以监控以下异常行为: 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 |
× | × | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 高危命令执行 | 实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。 | × | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 异常Shell | 检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 | × | √ | √ | √ | √ | √ | Linux | 实时检测 |
| Crontab可疑任务 | 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。帮助用户通过自启动变更情况,及时发现异常自启动项,快速定位木马程序的问题。 | × | × | × | √ | √ | √ | Linux、Windows | 实时检测 |
| 系统安全防护被禁用 | 检测勒索软件加密前准备动作:通过注册表关闭Windows Defender 实时保护功能,一旦发现立即上报告警。 | × | × | √ | √ | √ | × | Windows | 实时检测 |
| 备份删除 | 检测勒索软件加密前准备动作:删除备份格式文件或Backup文件夹下的文件,一旦发现立即上报告警。 | × | × | √ | √ | √ | √ | Windows | 实时检测 |
| 异常注册表操作 | 检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作,一旦发现立即上报告警。 | × | × | √ | √ | √ | √ | Windows | 实时检测 |
| 暴力破解 | 检测“尝试暴力破解”和“暴力破解成功”等暴力破解。 检测账户遭受的口令破解攻击,封锁攻击源,防止云主机因账户破解被入侵。 若账户暴力破解成功,登录到云主机,则触发安全事件告警。 |
√ | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 异常登录 | 检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施(例如:忽略、修改密码等)。若在非常用登录地登录,则触发安全事件告警。 | √ | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 非法系统账号 | 检测主机系统中的账号,列出当前系统中的可疑账号信息,帮助用户及时发现非法账号。 | × | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 用户账号添加 | 检测使用命令创建隐藏账户,一旦创建成功后用户交互界面和命令查询均不可见。 | × | × | √ | √ | √ | √ | Windows | 实时检测 |
| 用户密码窃取 | 检测主机中的系统账号和密码Hash值被异常获取的行为,一旦发现进行告警上报。 | × | × | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 端口扫描 | 检测用户指定的端口存在被扫描或者嗅探的行为,一旦发现进行告警上报。 | × | × | × | √ | √ | √ | Linux | 实时检测 |
| 主机扫描 | 检测网络对主机规则覆盖(包含对ICMP、ARP、nbtscan是覆盖)的扫描活动,一旦发现立即上报告警。 | × | × | × | √ | √ | √ | Linux | 实时检测 |
容器入侵检测
支持对Docker、Containerd容器引擎进行入侵行为检测,实时监控容器节点运行状态,发现挖矿、勒索等恶意程序,发现违反容器安全策略的进程运行和文件修改,以及容器逃逸等行为并给出解决方案。
表1-15 容器入侵检测功能介绍
| 功能名称 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 | 检测周期 |
|---|---|---|---|---|---|---|---|---|---|
| 未分类恶意软件 | 对容器中运行的程序进行检测,识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 | × | × | × | × | × | √ | Linux | 实时检测 |
| 勒索软件 | 检测容器场景下勒索软件,并进行告警上报。 | × | × | × | × | × | √ | Linux | 实时检测 |
| Webshell | 检测容器中Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。 | × | × | × | × | × | √ | Linux | 实时检测 |
| 漏洞逃逸攻击 | 监控到容器内进程行为符合已知漏洞的行为特征时,触发逃逸漏洞攻击告警。 | × | × | × | × | × | √ | Linux | 实时检测 |
| 文件逃逸攻击 | 监控发现容器进程访问了宿主机系统的关键文件目录(例如:“/etc/shadow”、“/etc/crontab”),则认为容器内发生了逃逸文件访问,触发告警。即使该目录符合容器配置的目录映射规则,仍然会触发告警。 | × | × | × | × | × | √ | Linux | 实时检测 |
| 反弹Shell | 实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。支持对TCP、UDP、ICMP等协议的检测。 | × | × | × | × | × | √ | Linux | 实时检测 |
| 进程提权 | 检测以下进程提权操作:利用SUID程序漏洞进行root提权。利用内核漏洞进行root提权。 | × | × | × | × | × | √ | Linux | 实时检测 |
| 高危命令执行 | 实时检测容器场景系统中执行的高危命令,当发生高危命令执行时触发告警。 | × | × | × | × | × | √ | Linux | 实时检测 |
| 容器进程异常 | 容器恶意程序监控容器内启动的容器进程的行为特征和进程文件指纹,如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程对于已关联的容器镜像启动的容器,只允许白名单进程启动,如果容器内存在非白名单进程,触发容器异常程序告警。 |
× | × | × | × | × | √ | Linux | 实时检测 |
| 容器异常启动 | 监控新启动的容器,对容器启动配置选项进行检测,当发现容器权限过高存在风险时触发告警。支持以下容器环境检测: 禁止启动特权容器(privileged:true)l 需要限制容器能力集(capabilities:[xxx]) 建议启用seccomp(seccomp=unconfined) 限制容器获取新的权限(no-new-privileges:false)l 危险目录映射(mounts:[...]) |
× | × | × | × | × | √ | Linux | 实时检测 |
| 高危系统调用 | Linux系统调用是用户进程进入内核执行任务的请求通道,容器安全监控容器进程,如果发现进程使用了危险系统调用,触发高危系统调用告警。 | × | × | × | × | × | √ | Linux | 实时检测 |
| 容器镜像阻断 | 在Docker环境中容器启动前,告警并阻断镜像异常行为策略中指定的不安全容器镜像运行。 | × | × | × | × | × | √ | Linux | 实时检测 |
| 敏感文件访问 | 监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 | × | × | × | × | × | √ | Linux | 实时检测 |
| 暴力破解 | 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为,发现暴破行为时触发告警。支持检测容器场景下SSH、Web和Enumdb暴破行为。说明目前暂仅支持Docker容器运行时的暴力破解检测告警。 | × | × | × | × | × | √ | Linux | 实时检测 |
| 非法系统用户账号 | 检测容器场景系统中的账号,列出当前系统中的可疑账号信息并告警上报,帮助用户及时发现非法账号。 | × | × | × | × | × | √ | Linux | 实时检测 |
白名单管理
白名单功能包含告警白名单、登录白名单和系统用户白名单,如需避免某些告警误报发生,可以将告警事件加入对应的白名单。
表1-16 白名单管理功能介绍
| 功能名称 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 | 检测周期 |
|---|---|---|---|---|---|---|---|---|---|
| 告警白名单 | 处理告警事件时,将告警事件加入到告警白名单。 | × | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 登录白名单 | 将目标登录端IP和登录端用户名加入登录白名单,HSS将对白名单内的IP和用户的访问行为进行忽略,不再告警。 | × | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 系统用户白名单 | 对于主机中新添加的root用户组权限用户(非root用户)可添加到系统用户白名单,避免HSS进行风险账号告警。 | × | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
策略管理
用户可以根据需要进行策略管理配置,自定义安全检测规则,并可为不同的主机组或主机/容器应用不同的策略,以满足不同应用场景的主机/容器安全需求。
表1-17 策略管理功能介绍
| 服务功能 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 | 检测周期 |
|---|---|---|---|---|---|---|---|---|---|
| 策略管理 | 支持自定义检测策略配置与下发,能够为每组或每台主机灵活配置检测规则,便于精细化安全运营。 1.查看策略组列表 2.依据默认策略组和已创建的策略组添加策略组 3.自定义策略 4.修改和删除策略组 5.针对策略组包含的策略,进行修改和关闭策略 6.在“主机管理”页面可以对主机进行批量部署策略 |
× | √(仅支持默认专业版策略组) | √(仅支持默认企业版策略组) | √ | √ | √ | Linux、Windows | 实时检测 |
历史处置记录
呈现漏洞的处置历史。
表1-18 历史处置记录功能介绍
| 服务功能 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 |
|---|---|---|---|---|---|---|---|---|
| 历史处置记录 | 提供漏洞的历史处置记录,方便您查看相关处理时间和处理人等信息。 | × | √ | √ | √ | √ | √ | Linux、Windows |
安全报告
HSS支持以天、周、月的形式输出用户资产的安全报告。
表1-19 安全报告功能介绍
| 服务功能 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 |
|---|---|---|---|---|---|---|---|---|
| 安全报告 | 呈现每周或每月的主机安全趋势以及关键安全事件与风险。 | × | √ | √ | √ | √ | √ | Linux、Windows |
安全配置
支持配置常用登录地、常用登录IP、SSH登录IP白名单、恶意程序自动隔离查杀等,可满足不同应用场景的主机/容器安全需求。
表1-20 安全配置功能介绍
| 服务功能 | 功能概述 | 基础版 | 专业版 | 企业版 | 旗舰版 | 网页防篡改版 | 容器版 | 支持的操作系统 | 检测周期 |
|---|---|---|---|---|---|---|---|---|---|
| Agent管理 | 可查看所有服务器的Agent状态,可进行升级、卸载、安装等操作。 | √ | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 常用登录地 | 配置常用登录地后,服务将对非常用地登录主机的行为进行告警。每个主机可被添加在多个登录地中。 | √ | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 常用登录IP | 配置常用登录IP,服务将对非常用IP登录主机的行为进行告警。 | √ | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 配置SSH登录IP白名单 | SSH登录IP白名单功能是防护账户爆破的一个重要方式,主要是限制需要通过SSH登录的服务器。配置了白名单的服务器,只允许白名单内的IP通过SSH登录到服务器,拒绝白名单以外的IP。 | √ | √ | √ | √ | √ | √ | Linux | 实时检测 |
| 恶意程序隔离查杀 | 开启恶意程序隔离查杀后,HSS对识别出的后门、木马、蠕虫等恶意程序,提供自动隔离查杀功能,帮助用户自动识别处理系统存在的安全风险。 | × | √ | √ | √ | √ | √ | Linux、Windows | 实时检测 |
| 双因子认证 | 通过密码+短信/邮件认证的方式,彻底防范账号暴力破解行为。 | 按需:×包年/包月:√ | √ | √ | √ | √ | √ | Linux、Windows | - |
| 告警配置 | 开启告警通知功能后,您能接收到企业主机安全发送的告警通知,及时了解主机/容器/网页内的安全风险。 | √ | √ | √ | √ | √ | √ | Linux、Windows | - |
