操作指南

API 文档

有奖征文|投稿上云技术实践,赢取价值5000元大奖> HOT

概述

主机安全(Cloud Workload Protection,CWP)是一款针对多云主机的安全防护产品,基于腾讯安全积累的海量威胁数据,利用机器学习为您提供黑客入侵检测、漏洞风险告警等安全防护服务,主要包括密码破解阻断、异常登录提醒、木马文件检测、高危漏洞检测等安全功能,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系。

本文将为您介绍主机安全的功能和操作。

说明事项

  • 在轻量应用服务器中,仅展示主机安全常用功能(异常登录、密码破解、文件查杀、应急漏洞),更多安全防护功能请前往 主机安全控制台
  • 所有腾讯云用户均可使用主机安全。主机安全有基础版(免费)、普惠版、专业版、旗舰版4个防护版本。基础版防护的服务器仅支持异常登录及密码破解检测,如需解锁文件查杀、应急漏洞功能,请开通普惠版或更高版本。各版本防护功能差异,详见 功能介绍与版本比较

前提条件

服务器须为开机状态且已安装主机安全客户端,才可进行主机安全防护。

操作步骤

  1. 登录 轻量应用服务器控制台
  2. 在“服务器”页面选择实例,进入实例详情页,单击主机安全页签。
    您可参考下文,使用主机安全的相关功能。

防护状态

可查看主机安全的防护版本、防护有效期、客户端情况及风险事件数。

  • 若服务器未开机,请先进行开机操作。如下图所示:
  • 若服务器未安装主机安全客户端,请单击立即安装(安装后需要10分钟左右同步在线状态)。如下图所示:
  • 主机安全客户端安装后即为基础版防护,支持异常登录、密码破解检测。如需解锁文件查杀、应急漏洞功能请单击开通普惠版(10元/台/月)。如下图所示:
  • 开通普惠版防护后,您的服务器将在防护有效期内进行异常登录、密码破解、文件查杀、应急漏洞的监控和检测。如下图所示:

    您可进行以下操作:
    • 主机安全客户端:选择管理 > 重装客户端,可重新安装客户端。
    • 开启自动续费:勾选后,防护到期将进行按月自动续费。
    • 续费:单击可打开续费弹窗,支持手动选择续费时长。
    • 告警设置:单击可前往主机安全客户端 > 设置中心 > 告警设置,进行全局告警设置。

异常登录

在异常登录事件列表中,采集了未命中白名单的登录记录,并根据智能算法将登录记录标记为“可疑”或“高危”(基于自学习逻辑,以历史登录行为、白名单配置以及威胁情报安全防护引擎作为判断依据,对异常登录事件进行标记)。如下图所示:

各字段含义如下:

  • 来源IP:登录来源 IP,一般是公司网络出口 IP 或网络代理 IP。
  • 来源地:登录来源 IP 所在的地域。
  • 登录用户名:成功登录服务器时使用的登录用户名。
  • 登录时间:成功登录服务器的时间(服务器上的时区时间)。
  • 状态
    • 异常登录:当前登录为非白名单(登录源 IP、登录用户名、登录时间、常用登录地)登录行为,可能存在密码泄露,须检查服务器安全,并修改密码,增强密码复杂性。
    • 已加入白名单:登录来源已添加为白名单(登录源 IP、登录用户名、登录时间及常用登录地)。
    • 已处理:已手动处理,并将该事件标记为已处理。
    • 已忽略:已忽略本次告警事件。
  • 操作
    • 标记已处理:若您已人工对该风险事件进行处理,可将事件标记为已处理。
    • 加入白名单:若确认是管理员本人进行的登录,可加入白名单。加入后,再次发生相同事件时将不再进行告警,请谨慎操作。
    • 忽略:仅将本次告警事件进行忽略,若再有相同事件发生依然会进行告警。
    • 删除记录:删除该事件记录,控制台将不再显示,无法恢复记录,请慎重操作。

密码破解

基于腾讯云网络安全防御和主机入侵检测能力,为主机提供密码暴力破解行为实时监控,实现自动阻断防御功能。如下图所示:

各字段含义如下:

  • 来源 IP:攻击来源 IP 地址。
  • 来源地:攻击来源 IP 所在地域。
  • 协议:攻击者通过的协议,含 ssh/rdp、ftp、mssql、mysql、smb、mongodb、kafka、rabbitmq。
  • 登录用户名:攻击者使用的登录用户名(部分协议无法解析用户名)。
  • 端口:攻击者登录使用的端口。
  • 首次攻击时间:主机安全首次监控到密码破解行为的时间。
  • 最近攻击时间:该密码破解行为最近再次被发现的时间。
  • 尝试次数:攻击来源IP尝试密码破解的次数统计。
  • 破解状态:当前服务器被暴力破解成功或失败及相应说明。
  • 阻断状态:本次密码破解是否自动阻断或未阻断的说明。
  • 事件状态
    • 待处理:待处理事件。
    • 已加入白名单:已确认该进程运行属于正常行为,直接放行不再拦截告警。
    • 已处理:已手动处理,并将该事件标记为已处理。
    • 已忽略:已忽略本次告警事件。
  • 操作
    • 标记已处理:若您已人工对该风险事件进行处理,可将事件标记为已处理。
    • 加入白名单:加入后,当再次发生相同事件时将不再进行告警,请谨慎操作。
    • 忽略:仅将本次告警事件进行忽略,若再有相同事件发生依然会进行告警。
    • 删除记录:删除该事件记录,控制台将不再显示,无法恢复记录,请慎重操作。

文件查杀

基于腾讯云全网百亿级样本资源,依托云查杀、webshell、TAV 等多款查杀引擎,支持检测挖矿木马、勒索病毒等恶意文件。如下图所示:

各字段含义如下:

  • 路径:风险文件的路径,支持复制路径信息、支持下载风险文件。
  • 病毒名/检出引擎:入侵风险文件的病毒名,及检出病毒的引擎。
  • 威胁等级:严重、高危、中危、低危、提示。
  • 首次发现时间:首次检测到风险文件的时间。
  • 最近检测时间:最近检测到风险文件的时间。
  • 处理状态
    • 待处理:该恶意文件待处理,状态旁有 提示,最近一次检测时,文件及进程的状态。
    • 已隔离:文件已被自动隔离或已被用户手动隔离。
    • 已信任:文件确认非恶意文件,已被用户信任。
    • 已清理:在最近一次检测中发现文件和进程已都不存在。
    • 隔离中:文件正在执行隔离操作。
    • 恢复中:文件原为已隔离状态,要将其恢复为未隔离状态。
  • 操作
    • 隔离 :隔离此病毒文件,让黑客无法再次启动它,便于您定位病毒文件位置,对其进行查杀。可选择隔离并杀掉该文件相关进程,建议勾选。
      注意

      Windows 系统下,若该文件正在运行中,会导致隔离失败。

    • 信任:若确认文件是非恶意的,可选择信任操作。信任后,将不再对该文件进行检测,可以通过筛选信任文件,对信任文件进行管理。
    • 删除记录:该操作仅删除日志记录,不会删除文件,操作后无法再查看相关日志信息,建议您先对文件进行“隔离”、“信任”操作,或根据路径找到相应文件进行手动删除。
    • 详情:若想查看目标风险文件的检测结果详情,可以单击详情

应急漏洞

对目前主流主机(Windows,Linux 等)发生频率较高、威胁等级较高,波及面较广的漏洞组成应急漏洞集合。为您提供漏洞的风险、特征、严重等级及修复建议等信息,也可对检出的应急漏洞进行重新检测、忽略操作。如下图所示:

各字段含义如下:

  • 漏洞名称/标签:应急漏洞公开的命名及漏洞标签。
  • 威胁等级:根据漏洞的危险程度,将其划分为严重、高危、中危和低危四个等级。
  • CVSS:通用漏洞评分系统对该漏洞的评分。
  • CVE编号:识别该漏洞的唯一标识符。
  • 披露时间:该漏洞对外披露的事件。
  • 最后检测时间:最近一次检测该漏洞的时间。
  • 风险情况:未检测、存在风险、无风险、检测中
  • 操作
    • 立即检测:可手动对该应急漏洞进行检测。
    • 查看详情:查看漏洞详情,修复方案,及该漏洞影响服务器信息。

相关文档

目录