服务器安全卫士(原生版)是一款全方位保障云上服务器安全的产品,能全面识别并管理服务器中的信息资产、实时监测服务器风险并阻止非法入侵行为,当发现服务器出现安全问题时,第一时间向您发出告警通知。主要包括资产清点、漏洞扫描、入侵检测、基线检查、弱口令检测、病毒查杀等功能,帮助您构建服务器安全防护体系。
使用指引
服务器安全卫士(原生版)提供基础版、企业版、旗舰版供用户选择,不同版本差异请参见产品规格。
基础版防护
若您使用基础版进行防护,使用流程如下:
| 流程 | 相关文档 | 说明 |
|---|---|---|
| 步骤一:开通服务 | 开通服务器安全卫士(原生版) | 用户需开通服务,才能使用基础版(免费)对云主机进行防护。 |
| 步骤二:接入防护 | 查看防护状态 | 开通服务后,需要在服务器列表页面确认云主机资产的防护状态,确保所有待防护的云主机已开启防护,且Agent状态为“在线”,防护状态为“防护中”。 |
| 步骤三:防护配置 | 当云主机接入防护后,用户可以根据业务需求进行防护配置。 其中入侵检测已默认开启防护,无特殊需求,无需再手动配置。避免异常登录误报,建议将常用登录IP、登录用户名、登录地区、登录时间等添加到白名单。 说明 基础版只支持部分功能的检测能力和防护能力,若需对服务器进行全面防护,您需购买并使用企业版或旗舰版进行防护。 | |
| 步骤四:通知设置 | 开启告警通知 | 开启告警通知后,当检测到资产存在风险时,会根据您配置的告警策略,向您发送告警通知,帮助您及时了解资产的安全情况。 |
| 步骤五:报表配置 | 订阅报表 | 服务器安全卫士(原生版)基础版仅支持订阅周报,订阅后系统会在周报生成后将周报发送至您的邮箱。 说明 基础版只支持订阅周报,若需要订阅日报、月报,您需购买并使用企业版、旗舰版。 |
企业版防护
若基础版不满足业务需求,可以购买企业版配额,然后将防护版本切换为企业版防护,使用流程如下:
| 流程 | 相关文档 | 说明 |
|---|---|---|
| 步骤一:开通服务 | 开通服务器安全卫士(原生版) | 用户需开通服务,才能使用服务器安全卫士(原生版)对云主机进行防护。 |
| 步骤二:接入防护 |
| |
| 步骤三:防护配置 | 当云主机接入防护后,用户还需要根据业务需求进行防护配置。 其中入侵检测已默认开启防护,无特殊需求,无需再手动配置。避免异常登录误报,建议将常用登录IP、登录用户名、登录地区、登录时间等添加到白名单。 | |
| 步骤四:通知设置 | 开启告警通知 | 开启告警通知后,当检测到资产存在风险时,会根据您配置的告警策略,向您发送告警通知,帮助您及时了解资产的安全情况。 |
| 步骤五:报表配置 | 订阅报表 | 服务器安全卫士(原生版)支持生成日报、周报、月报,并支持订阅报表,订阅后系统会在报表生成后将报表发送至您的邮箱。 |
旗舰版防护
若基础版、企业版不满足业务需求,可以购买旗舰版配额,然后将防护版本切换为旗舰版防护,使用流程如下:
| 流程 | 相关文档 | 说明 |
|---|---|---|
| 步骤一:开通服务 | 开通服务器安全卫士(原生版) | 用户需开通服务,才能使用服务器安全卫士(原生版)对云主机进行防护。 |
| 步骤二:接入防护 |
| |
| 步骤三:防护配置 | 当云主机接入防护后,用户还需要根据业务需求进行防护配置。 其中入侵检测已默认开启防护,无特殊需求,无需再手动配置。避免异常登录误报,建议将常用登录IP、登录用户名、登录地区、登录时间等添加到白名单。 | |
| 步骤四:通知设置 | 开启告警通知 | 开启告警通知后,当检测到资产存在风险时,会根据您配置的告警策略,向您发送告警通知,帮助您及时了解资产的安全情况。 |
| 步骤五:报表配置 | 订阅报表 | 服务器安全卫士(原生版)支持生成日报、周报、月报,并支持订阅报表,订阅后系统会在报表生成后将报表发送至您的邮箱。 |
开通服务器安全卫士(原生版)
首次使用服务器安全卫士(原生版)时,需要先开通服务。
登录天翼云官网。
选择“产品 > 安全及管理 > 工作负载安全 > 服务器安全卫士(原生版)”,进入服务器安全卫士(原生版)产品详情页,选择“管理控制台”。
进入服务器安全卫士(原生版)管理控制台后,弹出下方“服务开通申请”对话框。
阅读《天翼云服务器安全卫士(原生版)服务协议》后,勾选“我已阅读并同意相关协议《天翼云服务器安全卫士(原生版)服务协议》”,单击“同意”,即可开通服务器安全卫士(原生版)服务。
查看防护状态
开通服务后,需要在服务器列表页面确认云主机资产的防护状态,确保所有待防护的云主机已开启防护。
说明
“一类节点”区域的云主机,默认已安装Agent,无需再手动安装。
“二类节点”区域的云主机,接入防护具体操作请参见二类节点资产纳管最佳实践。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“资产管理 > 服务器列表”,进入服务器列表页面。
查看列表中的云主机资产,以及云主机的防护状态。
所有待防护的云主机均已在服务器列表页面呈现,且Agent状态为“在线”,防护状态为“高级防护”或“免费防护”,表示已正常开启防护。
系统会定期自动同步服务器资产到服务器列表页面,若有云主机资产未同步,可以手动同步资产,具体操作请参见同步资产。
若Agent状态和防护状态异常,请参考Agent状态异常如何处理进行处理,若仍有问题,可提工单联系技术支持。
若Agent状态为“未激活”,请参考以下步骤安装Agent:
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“资产管理 > 服务器列表”,进入服务器列表页面。
点击“安装Agent”,弹出安装Agent窗口,按需选择安装命令。
支持Linux和Windows系统。
支持天翼云主机和天翼云外主机。
根据界面提示,完成安装命令执行。具体操作,请参见安装Agent。
购买防护配额
登录服务器安全卫士(原生版)控制台。
单击页面右上方的“购买服务器安全卫士(原生版)”按钮,进入服务器安全卫士(原生版)产品购买页面。
选择购买版本、防护服务器台数、购买时长、自动续订,勾选“我已阅读,理解并同意《天翼云服务器安全卫士(原生版)服务协议》”,单击“立即购买”按钮。
购买成功后即可在“设置中心 > 配额管理”页面查看已购买的企业版、旗舰版配额。
切换版本
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“资产管理 > 服务器列表”,进入服务器列表页面。
您可对需要防护的服务器进行“切换版本”。选择您需要切换版本的服务器,可进行单台服务器的配额版本切换,也可以选择多台服务器进行批量切换。
单台服务器切换版本
在服务器列表中找到您需要切换版本的服务器,单击操作列的“切换版本”,弹出切换版本窗口。选择企业版或旗舰版配额,单击“确定”,完成版本切换。
批量切换版本
在服务器列表中勾选需要切换版本的服务器,单击列表上方的“批量切换版本”,弹出切换版本窗口,点击“确定”后,切换为企业版或旗舰版防护,配额和服务器按照顺序一一匹配。
防护配置
配置入侵检测
接入防护后,系统默认开启入侵检测防护,部分检测项需用户根据业务实际需求配置自定义检测规则。
配置异常登录白名单
通过配置异常登录白名单,将常用登录地、常用登录IP等添加至白名单中,非白名单中的登录操作,将被视为异常登录。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“设置中心 > 安全配置”,选择“常用登陆管理”页签,进入常用登录登录页面。
根据您自身业务需求配置常用登录IP、账号、地区或时间。
说明
常用登陆账号、常用登陆地区、常用登录时间仅企业版、旗舰版支持配置。
其他入侵检测项
其他入侵检测项已默认开启防护,无需手动配置检测规则。关于更多入侵检测功能的介绍及风险处理,请参见:
| 防护模块 | 配置防护规则 |
|---|---|
| 暴力破解 | 配置暴力破解规则 |
| WebShell | 配置Webshell检测规则 |
| 端口蜜罐 | 配置蜜罐防护规则 |
| 勒索诱饵防护 | 配置勒索诱饵防护 |
| 文件完整性保护 | 配置文件完整性保护检测规则 |
开启定时漏洞扫描
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“风险管理 > 漏洞扫描”,进入漏洞扫描页面。
单击定时扫描右侧的“设置”,页面右侧弹出定时扫描设置窗口,可进行定时扫描设置。
设置选项包括漏洞类别、漏洞等级、定期检测周期、设置生效范围,详细参数说明如下。
参数 说明 定时扫描 开启或关闭定时扫描。 漏洞类别 支持扫描“Linux软件漏洞”、“Windows系统漏洞”、“Web-CMS漏洞”和“应用漏洞”。 定期检测周期 设置后会在周期选定的时间点开始定期检测。
- 扫描周期:选择每天、3天或7天。
- 扫描时间:默认为02:00,可以手动选择一天中的任一整点时间。
设置生效范围 选择扫描哪些服务器。可以选择“全部服务器”或“自选服务器”。
选择“自选服务器”时,您可以通过区域、服务器名称、服务器IP搜索需要扫描的服务器。
说明
以下服务器不能被选中执行漏洞扫描:
非“运行中”状态的服务器。
Agent状态为“离线”的服务器。
单击“确定”,设置完成。
配置基线检测策略
基线检测设置分为一键检测和定时检测。当您需要进行基线检测时,先设置您需要的基线策略。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“风险管理 > 基线检测”,进入基线检测页面。
单击“策略管理”,进入策略管理页面。
该页面展示了已经设置好的基线策略,包括策略名称、检测周期、检测服务器数、创建日期、策略开关和操作。可以新建、编辑和删除基线策略。
单击“新建策略”,页面右侧弹出新建基线策略窗口。
设置策略名称、检查时间、选择基线名称和服务器。
设置完成后,单击“确认”即可完成新建基线策略。
开启弱口令定时检测
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“风险管理 > 弱口令检测”,进入弱口令检测页面。
单击定时扫描右侧的“设置”,页面右侧弹出定时检测设置窗口,可进行定时检测设置。
设置选项包括检测周期、弱口令分类、设置生效范围,详细参数说明如下。
参数 说明 定时扫描 开启或关闭定时扫描。 检测周期 设置后会在周期选定的时间点开始定期检测。
- 扫描周期:选择每天、3天或7天。
- 扫描时间:默认为02:00,可以手动选择一天中的任一整点时间。
弱口令分类 支持“应用弱口令”和“系统弱口令”。 设置生效范围 选择检测哪些服务器。可以选择“全部服务器”或“自选服务器”。
选择“自选服务器”时,您可以通过区域、服务器名称、服务器IP搜索需要检测的服务器。
说明
以下服务器不能被选中执行弱口令检测:
使用“免费版”的服务器。
非“运行中”状态的服务器。
Agent状态为“离线”的服务器。
开启定时扫描病毒
定时查杀是用来配置服务器定时启动病毒查杀的功能,按照用户设置的检测周期执行扫描任务。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“文件安全 > 病毒查杀”,进入病毒查杀页面。
单击定时扫描右侧的“设置”,页面右侧弹出病毒查杀设置窗口。
打开定时扫描设置开关,配置相关参数。
参数说明如下:
参数 说明 检测模式 可选择快速检测、全盘检测、自定义检测。 检查周期 可选择每天、每3天或每7天检查周期。 生效范围 自定义选择需要执行病毒扫描任务的服务器。 单击“确认”,设置完成。
设置文件完整性保护检测规则
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“文件安全 > 文件完整性保护”,进入文件完整性保护页面。
单击列表右上方的“检测设置”,进入检测设置页面。
配置相关参数。
参数 说明 启用文件变更检测 开启或关闭文件变更检测功能。 关键文件监控 - 系统内置:对系统关键文件、文件路径、文件目录进行实时监控,发现文件变更篡改行为进行告警。
- 自定义:根据用户特定的防护场景,自定义添加监控路径,发现文件变更篡改行为进行告警。
监控排除设置 对用户添加的信任文件路径不再进行监控,方便用户更加灵活创建检测策略。 设置生效范围 自定义选择需要执行文件变更篡改行为监控的服务器。 配置完成后,单击“确认提交”。
配置勒索诱饵防护
防护设置
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“设置中心 > 安全设置”,进入安全设置页面。
在文件安全防护模块,单击“勒索幼儿防护”模块的“配置规则”按钮。
在页面右侧弹出的防护设置页面,配置防护参数。
参数说明如下:
参数 说明 启用诱饵防护 自动在系统关键位置投放诱饵文件,实时捕捉勒索行为并进行阻断。 病毒处置方式 支持手动处理和自动隔离。
- 手动处理:检测出勒索病毒文件后,仅产生告警。需手动在控制中心对勒索告警进行处理,支持隔离、删除、信任。
自动隔离:检测出勒索病毒文件后产生告警,并自动隔离病毒文件。
说明
自动隔离后,若出现误报,可在告警列表中对文件进行恢复。
指定防护目录 根据用户的特定防护场景,可自定义创建勒索诱饵文件。 设置生效范围 自定义选择需要开启诱饵防护的服务器。 配置完成后,单击“确认”。
开启告警通知
登录服务器安全卫士(原生版)控制台。
在左侧导航栏选择“设置中心 > 告警通知”,进入告警通知页面。
根据您的使用场景进行告警通知配置。
配置项 说明 告警开关 自定义开启需要通知的事件类型。 告警时间 事件发生时实时发送告警通知。 通知方式 通过邮件方式发送告警通知。 告警项 根据威胁等级自定义发送通知。 配置完成后单击“保存配置”,界面弹出“保存告警设置成功”提示信息,则说明告警通知配置成功。
订阅报表
登录服务器安全卫士(原生版)控制台。
在左侧导航栏选择“设置中心 > 报表管理”,进入报表管理页面。
在“报表管理”页面右上角,单击“报表配置”,进入报表配置页面。
报表配置参数说明如下:
参数名称 说明 报表生成 支持生成日报、周报、月报。根据需要进行开启,可多选。 报表订阅 该页面自动列出当前账号及其全部子账号。
勾选需要订阅报表的账号,报表生成后,系统会自动发送报表至订阅账号的邮箱。
单击“确认”,完成报表配置。
