- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
H3C SecPath SSMS 服务器安全监测系统
Web配置指导
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
H3C SecPath SSMS服务器安全监测系统(下文简称服务器安全监测系统)专注于服务端主机的安全防护,提供持续的安全监控、分析和快速响应能力,能够在公有云、私有云、混合云、物理机、虚拟机等各种业务环境下实现安全的统一策略管理和快速的入侵响应能力。
服务器安全监测系统的产品可以很方便地和各种云平台及传统服务器结合,能够在全球范围内轻易部署。使用产品不需要购买硬件,不需要复杂的配置,学习成本低,但精确度极高。服务器安全监测系统的产品向企业的运维和安全人员提供了安全管理海量服务器的能力,使得用户在降低成本、缺乏安全专业知识的前提下,也能极大地提高企业的安全防护能力。
服务器安全监测系统采用的Adaptive Security架构是Gartner提出的面向未来十年的企业安全架构,能够在复杂和变化的环境下有效抵御高级攻击,是整个安全行业的发展方向。其创新之处在于:一方面将安全视角转移到防火墙之后的业务系统内部,强调基于业务、自内而外地构建安全体系,另一方面将安全从传统的安全事件防护变成一项持续安全响应和处理过程,从多个维度持续地保护了企业安全。
安全是一个持续化的过程,服务器安全监测系统有快速、灵活、可扩展的特点,可以将现有的安全技术与持续运营的安全模型相结合,给用户提供一个持续化的动态安全解决方案。服务器安全监测系统产品提供统一安全管理平台,统一的安全框架和灵活的社区交互能力,将安全的价值最大化。
服务器安全监测系统的安全产品体系有三大部分组成:
· 风险分析—— “清点+分析”
清点业务资产情况,分析系统内潜在的风险与合规性问题,生成清晰的分析报告,帮助修复问题。
· 管理加固——“可视化+加固”
可视化梳理业务角色,根据业务灵活配置安全模块并制定安全策略,快速构建防御体系。
· 入侵监控——“监测+响应”
采用基于行为模式的异常行为监测,第一时间发现入侵行为,并迅速做出响应。
H3C服务器安全监测系统分为3部分:共分为三部分:Server服务器、Agent主机、代理服务器。Server服务器上承载有主机监控管理系统的绝大部分运行程序,负责对搜集来的数据进行统一的挖掘、分析、控制与呈现。Agent主机为被管理主机,其上安装有H3C主机安全探针,负责对所属主机进行安全巡检以及实时地入侵监控。代理服务器为承载有socket代理软件的CentOS主机,用以连接不同网域内Agent主机。
登录http://管理平台IP:80(ServerIP指目标服务器的IP地址,例如:http://172.16.6.58)。
默认账户:admin@h3c.ssms
默认密码:admin
登录http://ServerIP:81/(ServerIP指目标服务器的IP地址,例如:http://172.16.6.58:81)。
默认账户:admin@h3c.ssms
默认密码:admin
用户管理后台使用说明详见《H3C SecPath SSMS 服务器安全监测系统 用户管理Web配置指导》
登录:https://ServerIP:82/ (ServerIP指目标服务器的IP地址,例如:https://172.16.6.58:82)
默认账户:admin
默认密码:admin
系统配置管理使用说明详见《H3C SecPath SSMS 服务器安全监测系统 系统管理Web配置指导》
图2-1 Linux首页
图2-2 windows首页
资产清点(Asset Inventory),致力于帮助用户从安全角度自动化构建细粒度资产信息,支持对业务 层资产精准识别和动态感知,让保护对象清晰可见。使用 Agent-Server 架构,提供10余类主机关键资产清点,200余类业务应用自动识别,并拥有良好的扩展能力。
资产清点功能,有两种查询视图:概览视图、分级视图。
概览视图作为“资产清点”功能的首页,主要实现对资产信息的可视化,帮助用户更直观地了解资产总体情况,更有效得出对资产的理解或判断。
图3-1 概览视图-资产总览
图3-2 概览视图-资产详情
图3-3 概览视图-主机资源监控
概览视图内容,包含如下几部分:
· 主机统计:展示被托管主机的相关情况,包括:Agent运行状态、安装进展变化、及相关管理属性;
· 资产总览:总览主机中的几大重要资产(账号、端口、进程、软件应用、Web站点、数据库),体现为资产的总量统计、及特殊关注数量;
· 资产分布情况:展示上述具体资产的分布及统计情况,包括:基础资产、业务相关应用、Web资产等:
· 资源消耗情况:展示主机资源消耗情况,包括:系统负载、内存使用、磁盘使用;
分级视图
图3-4 分级视图-收起
共有12个功能模块,分别为:
· 主机资产:模块包含所有主机相关信息,包括基本信息、运维信息、代理信息、Bash插件安装信息等;
· 进程端口:模块包含主机中所有进程,及运行进程的端口相关信息;
· 系统账号:模块包含主机中所有账号,及用户组相关信息;
· 硬件配置:模块包含所有主机的硬件配置信息,及硬件消耗情况;
· 软件应用:模块包含主机中所有软件应用相关信息;
· Web服务:模块包含主机中所有Web服务相关信息;
· 数据库:模块包含主机中所有数据库相关信息;
· Web站点:模块包含主机中所有Web站点相关信息;
· Web应用:模块包含主机中所有Web应用相关信息;
· Web应用框架:模块包含主机中所有Web框架相关信息;
· 安装包和类库:模块包含主机中安装包和Jar包相关信息;
· 其它:模块包含了一些非核心的资产信息,包括:启动项、计划任务、环境变量、内核模块等;
通过点击模块及折叠按钮
,可展开查看具体资产统计信息;
图3-5 分级视图-模块展开
点击展开
按钮,可以将全部模块的内容展开。
图3-6 分级视图-全展开
点击模块统计数值,即可跳转到对应的”资产详情页面”,查看所有主机中该资产的详细信息。
图3-7 资产详细信息
如想仅查看某个主机的资产情况,可以点击”查找主机”
按钮,筛选出该主机后”查看”。
图3-8 查找主机
所有主机中的资产信息,每天自动更新一次,如果想获取最新信息,可以点击”更新数据”按钮,手动触发更新;对于功能中的统计数据,也可以手动触发”更新统计”。
图3-9 更新统计
在资产详细信息查询中,提供了两种视角(资产视角、主机视角),用户基于不同的统计查询需要,可相互切换。
图3-10 视图切换
同时在资产详情页面,用户可以对列表进行操作,得到想要的查询结果。
图3-11 列表操作
· 筛选/搜索区:根据不同需要,对列表内容进行筛选;
更新数据按钮:点击
,手动触发更新当前资产数据;
全部导出按钮:点击
,可导出列表中的全部资产数据;
设置显示列按钮:点击
,通过勾选列名,控制列表中信息的显示/隐藏;
复选框按钮
:点击复选框,可选中该行数据,进行“导出”等操作;
分级视图中“托管主机”为主机资产的查询入口,点击可查看所有主机相关信息;
图3-12 主机资产
图3-13 主机详细信息
同时,提供了9种维度的统计,可分别看到不同类别的主机数量;
包括:主机状态、操作系统、业务组、agent代理、bash插件安装、主机标签、资产等级、负责人、机房位置。
查询主机中Agent的不同状态;
图3-14 托管主机
查询所有安装Agent主机的操作系统;
图3-15 操作系统
查询所有安装agent主机的业务组;
图3-16 业务组
查询所有代理主机的IP;
图3-17 Agent代理
查询所有安装agent主机的bash插件安装状态;
图3-18 bash插件安装
筛选显示所有安装agent主机的主机标签;
图3-19 主机标签
查询所有安装agent主机的资产等级;
图3-20 资产等级
查询所有安装agent主机的负责人;
图3-21 负责人
查询所有安装agent主机的机房位置;
图3-22 机房位置
分级视图中“进程端口”模块提供了进程、端口相关信息的查询;
图3-23 进程端口
通过资产视图/主机视图两种方式,查看所有安装Agent主机的进程运行情况,进程详细信息,如下:
图3-24 运行进程-资产视角
图3-25 运行进程-资产视角详情
图3-26 运行进程-主机视角
图3-27 运行进程-主机视角详情
可以查看所有安装agent主机所开启端口的情况,点击进入详情后可以查看到端口号、端口访问性、绑定IP,协议和监听进程(PID)。端口详细信息,如下:
图3-28 端口服务-资产视角
图3-29 端口服务-资产视角详情
图3-30 端口服务-主机视角
图3-31 端口服务-主机视角详情
筛选显示所有以root权限运行的进程
图3-32 运行进程
筛选显示所有安装agent的主机存在的僵尸进程。
图3-33 僵尸进程
筛选显示所有安装agent的主机存在的IO Waiting进程。
图3-34 IO Waiting进程
非包安装进程指的是不是通过包管理器来安装的应用对应进程。
图3-35 非包安装进程
在分类导航中,“系统账号”模块包含了所有账号、用户组的相关信息,提供9种维度的统计,可分别看到对应类别的账号数量,包括:全部系统账号、全部用户组、root权限账号、sudo账号、有可登录shell账号、启用账号、密码过期账号、密码锁定账号、账号公钥Key。
图3-36 系统账号
通过资产视图/主机视图两种方式,查看所有主机中的账号信息,如下:
图3-37 系统账号-资产视角
图3-38 系统账号-资产视角详情
图3-39 系统账号-主机视角
图3-40 系统账号-主机视角详情
图3-41 用户组-资产视角
图3-42 用户组-资产视角详情
图3-43 root账号
图3-44 sudo账号
图3-45 有可登录shell账号
图3-46 启用账号
图3-47 密码过期账号
图3-48 密码锁定账号
图3-49 账号公钥Key
在分类导航中,“主机硬件配置”为硬件信息的查询入口,点击可查看所有主机CPU、磁盘、内存等相关信息;
图3-50 硬件配置
图3-51 硬件详细信息
分类导航中提供7种维度的统计,可分别看到对应配置的主机数量;
包括:CPU、CPU核心、硬盘大小、硬盘使用率、内存大小、内存使用率、系统负载。
查询主机中Agent的不同状态;
图3-52 CPU
图3-53 CPU核心
图3-54 硬盘大小
图3-55 硬盘使用率
图3-56 内存大小
图3-57 内存使用率
图3-58 系统负载
说明:15分钟内系统负载/CPU核数,如果< 0.7则为“低”;如果0.7 < 值 < 1则为“正常”;如果 >1则为“高”
分级视图中,软件应用模块清点了所有安装Agent的主机上运行着的应用。
图3-59 软件应用
目前支持的应用类型,如下图:
图3-60 支持应用类型
全部软件应用
可从两种视角,查看有哪些应用分布在主机中,以及某主机中有哪些应用。
图3-61 软件应用-资产视角
图3-62 软件应用-资产视角详情
图3-63 软件应用-主机视角
图3-64 软件应用-主机视角详情
在分类导航中,“Web服务”模块用于清点安装Agent主机中存在的Web服务器,及各类型服务器的版本分布情况。
图3-65 Web服务
支持清点的Web服务器类型,包括:
Apache、Nginx、Tomcat、Weblogic、JBoss、Wildfly、Jetty、WebSphere。
各资产展现的信息形式和内容相同。
显示所有安装agent的主机上的web服务。
图3-66 web服务-资产视角
图3-67 web服务-主机视角
图3-68 web服务-关联进程
图3-69 Apache
图3-70 Apache-资产视角
图3-71 Nginx
图3-72 Nginx-资产视角
图3-73 Tomcat
图3-74 Tomcat-资产视角
图3-75 JBoss
图3-76 JBoss-资产视角
在分类导航中,“数据库”模块用于清点安装Agent主机中存在的数据库,及各类型数据库的版本分布情况。
图3-77 数据库
支持清点的数据库类型,包括:
MySQL、Redis、Oracle、MongoDB、Memcache、Postgres、HBase。
其中Oracle 、HBase和Postgres资产的展现信息形式和内容一致。
查询所有安装agent主机中的数据库,及具体数据库详情。
图3-78 数据库-资产视角
图3-79 数据库-主机视角
图3-80 数据库-主机视角详情
图3-81 MySQL
图3-82 MySQL-资产视角
图3-83 Redis
图3-84 Redis-资产视角
图3-85 MongoDB
图3-86 MongoDB
图3-87 MemCache
图3-88 MemCache-资产视角
图3-89 Postgres
图3-90 Postgres-资产视角
在分类导航中,“Web站点”模块用于清点安装Agent主机中存在的站点详细信息。
图3-91 Web站点
支持清点的Web站点的,服务器类型包括:
Apache、Nginx、Tomcat、Weblogic、JBoss、Wildfly、Jetty、WebSphere。
图3-92 Web站点-资产视角
图3-93 Web站点-资产视角详情
已有的Web服务类型分类显示,可以筛选显示对应的Web服务。
图3-94 Web服务类型
筛选显示以root权限运行的站点
图3-95 root权限运行站点
筛选显示目录为777权限的站点
图3-96 目录为777权限站点
在分类导航中,“Web应用”模块用于清点安装Agent主机中存在的Web应用信息。
图3-97 Web应用
支持清点的Web应用,包括:
PHPMailer、wordpress、ThinkPHP、pan、BigTree、JPress、openwbs、jenkins、ZABBIX、Discuz!、ThinkCMF等。
全部Web应用
对所有安装agent主机上的Web应用进行统计并显示
图3-98 Web应用-资产视角
图3-99 Web应用-资产视角详情
图3-100 Web应用-主机视角
图3-101 Web应用-主机视角详情
在分类导航中,“Web应用框架”模块用于清点安装Agent主机中存在的Web框架信息。
图3-102 Web应用框架
支持清点的Web框架类型,包括:
Struts、struts2、spring、hibernate、webwork、quartz、velocity、tapestry、turbine、freemarker、flexive、stripes、vaadin、vertx、wicket、zkoss、jackson、fastjson等。
对所有安装agent的主机上的Web应用框架进行统计并显示。
图3-103 Web应用框架-资产视角
图3-104 Web应用框架-资产视角详情
图3-105 Web应用框架-主机视角
图3-106 Web应用框架-主机视角详情
统计Java语言编写的Web框架有哪些,及存在的数量情况,点击可查看详情。
图3-107 Java语言框架
分级视图中“安装包和类库”模块,提供了系统安装包、Jar包相关信息的查询;
图3-108 安装包和类库
通过资产视图/主机视图两种方式,查看所有安装Agent主机中安装包的情况,安装包详细信息,如下:
图3-109 安装包-资产视角
图3-110 安装包-资产视角详情
图3-111 安装包-主机视角
图3-112 安装包-主机视角详情
通过资产视图/主机视图两种方式,查看所有安装Agent主机中Jar包的情况,包详细信息,如下:
图3-113 Jar包-资产视角
图3-114 Jar包-资产视角详情
图3-115 Jar包-主机视角
图3-116 Jar包-主机视角详情
分级视图中“其它”模块,提供了启动项、计划任务、环境变量和内核模块相关信息的查询;
图3-117 其它资产
包括系统启动项、Xinetd网络托管服务二类。
图3-118 系统启动项-资产视角
图3-119 系统启动项-资产视角详情
包括Crontab计划任务、At计划任务、Batch计划任务三类
Crontab计划任务:查询所有安装agent主机的crontab中具有周期性的计划任务列表。
图3-120 Crontab计划任务
图3-121 Crontab计划任务-详情
环境变量分为用户变量和系统变量两类。
图3-122 用户变量-资产视角
图3-123 用户变量-资产视角详情
图3-124 系统变量-资产视角
图3-125 系统变量-资产视角详情
图3-126 内核模块-资产视角
图3-127 内核模块-资产视角详情
图3-128 内核模块-主机视角
图3-129 内核模块-主机视角详情
通用功能描述:
图3-130 以安全补丁界面为例
视图转按钮:包括资产视图、主机视图。点击
按钮,可切换至“主机视图”;
条件筛选框
状态统计图按钮:点击
按钮,收起/展开统计图区域;
检查/导出按钮
立即检查:对单独项目进行扫描;导出:导出单项检查结果
更多设置按钮:点击
按钮,显示全部;
排序按钮:鼠标移入列名,点击按钮对数据进行排序,点击
按升序排列,
按降序排列;
设置显示列按钮:点击
,可设置显示列,控制列表中的数据显示/隐藏。
以图表形式从总体上预览系统风险项,直观感受到系统现存问题。每项都可以点击进入查看详情。风险总览展示的始终是所有的主机风险结果,主要由以下7个模块组成;
· 风险概况:按照系统总体风险情况进行评估打分。
· 风险趋势:反映过去一段时间风险评分的变化趋势。
· 风险分布:反映不同类别的风险项的统计情况。
· 应用的风险项统计:反映不同“应用”的风险项的统计情况,这里的“应用”为泛指,可能是软件应用,如Redis,MySQL等等;软件包或依赖库的名称,如glibc,OpenSSL;补丁名称与系统相关的对象,如kernel,Linux,bash等等。
· 易受攻击主机列表:查看最易遭受攻击的主机
· 危急风险项:展示风险最大,最应该被修复的风险项。最应该被修复的衡量标准为危险程度最高(危急),且影响的主机的资产等级高。
· 业务组的风险项统计:反映不同业务组的主机的风险项统计情况。
图3-131 风险概览
“安全补丁”指对于软件系统在使用过程中暴露的问题(一般由黑客或病毒设计者发现)而发布的解决问题的小程序。安全补丁是由软件的原来作者制作的,可以访问网站下载补丁。
各种应用的漏洞已经成为大规模网络与信息安全事件和重大信息泄露事件的主要原因之一,针对计算机漏洞带来的危害,安装相应的补丁是最有效、也是最经济的防范措施。但打补丁是比较被动的方式,对于企业来说,收集、测试、备份、分发等相关的打补丁流程仍然是一个颇为繁琐的过程,甚至补丁本身就有可能成为新的漏洞。
基于以上问题,安全补丁模块主要是为了解决补丁管理的混乱,而建立一个的一个自动化补丁管理库,拟实现帮助运维人员检测需要打的补丁、自动化打补丁、进行补丁管理。有补丁视图/主机视图两种查看模式。
表3-1 补丁分类说明
|
项目 |
描述 |
|
影响对象 |
应用:安全补丁所影响应用 内核:指补丁对应的漏洞影响的对象为kernel的 其它:除应用与系统类别外,其它的均归为其它类别。如影响对象为lib的补丁属于其它类别。 |
|
危险程度 |
危急:由运营人员定义,是指那些已经验证存在的,明确有危害必须修复的风险项 高危:CVSS评分为7.0-10分的风险项 中危:CVSS评分为4.0-6.9分的风险项 低危:CVSS评分为0-3.9分的风险项 |
|
CVSS 评分维度 |
攻击途径:远程/本地 攻击复杂度:高/中/低 认证:需要/不需要 机密性影响:不受影响/部分/完全 完整性影响:不受影响/部分/完全 可用性:不受影响/部分/完全 |
图3-132 补丁检测逻辑
图3-133 补丁视图
· 筛选框:可以根据修复影响、业务影响、应用、危险程度来筛选显示;其中“存在EXP、远程利用、内核风险、本地提权、业务组、CVE编号、补丁名称、”需要点击“更多”来进行筛选。
· 立即检查:开始对全部在线主机进行安全补丁扫描。
· 检查业务影响:该操作占用资源较大,建议在业务不繁忙时进行。在补丁视图下,点击“影响主机”业务影响列如果为深色,则表明该漏洞对此业务有影响;如果为灰色则表明没有影响。
图3-134 业务影响
· 全部导出:导出csv格式的补丁视图补丁扫描报表。包括“危险程度、补丁名、远程利用、存在EXP、内核风险、本地提权、修复建议、修复命令、修复应用、修复影响、补丁描述、漏洞利用参考、CVSS评分、CVSS详情、参考信息、影响应用、主机IP、主机名、资产等级、业务组、操作系统、内网IP、外网IP、负责人、验证信息、发现时间、主机状态、主机名、主机标签、负责人、负责人邮箱、备注、是否有业务影响”
图3-135 主机视图
· 筛选框:可以根据业务组、主机状态、业务影响、主机IP、主机名来筛选显示
· 立即扫描:开始对全部在线主机进行安全补丁扫描。
· 检查业务影响:该操作占用资源较大,建议在业务不繁忙时进行。在主机视图下,单击对应主机,可以查看到影响当前主机的业务影响
图3-136 业务影响
· 全部导出:导出csv格式的主机视图补丁报表。包括“主机IP、主机名、资产等级、业务组、操作系统、内网IP、外网IP、负责人、危险程度、补丁名、远程利用、存在Exp、内核风险、本地提权、修复建议、修复命令、影响应用、是否有业务影响、补丁描述、验证信息、漏洞利用参考、CVSS评分、CVSS详情、参考信息、主机状态、发现时间、主机标签、负责人邮箱、备注”
补丁视图和主机视图下均有
符号,点进该符号
即可进入修复历史页面。
图3-137 修复历史
· 选定统计时间:点击右上角的时间按钮,可查看过去1天、过去7天、过去30天内的修复历史统计情况
· 修复情况分析:点击统计面板TAB“修复情况分析”可查看选定时间内的修复情况分析
图3-138 修复情况分析
· 筛选框:可以根据业务组、修复时间、发现时间、危险程度、补丁名称、主机IP、资产等级、应用、修复耗时、远程利用、存在EXP、内核风险、本地提权、主机名、CVE编号来筛选显示。其中修复时间默认筛选近三个月,危险程度、应用、修复耗时、远程利用默认显示;资产等级、存在EXP、内核风险、本地提权、主机名、CVE编号默认隐藏
· 全部导出:导出csv格式的修复历史报表。包括“危险程度、补丁名称、远程利用、存在EXP、内核风险、本地提权、主机IP、内网IP、外网IP、主机名、资产等级、业务组、操作系统、标签、备注、负责人、发现时间、修复时间、修复耗时、主机状态、负责人邮箱”
补丁视图和主机视图下均有
符号,点进该符号
即可进入白名单规则设置页面。
图3-139 白名单规则
新建规则:
· 条件列表包括:补丁名称中包含,补丁修复的应用,修复影响(未知影响、无需重启、服务重启、系统重启),补丁危害程度(危急、高危、中危、低危),补丁特征(本地漏洞、远程利用);各个复选框之间为且的关系;
· 规则范围:全部主机、自定义范围(选择业务组、指定主机IP);
· 描述:新建时自动生成,也可手动更改;
图3-140 新建白名单规则
编辑规则:编辑已有规则。
删除规则:删除已有规则。
查看受影响对象:点击查看详情跳转到“规则受影响对象”界面。
该功能通过创建作业,使用执行作业的方式通过版本比对或poc去验证存在的漏洞,如果该漏洞已经有成熟、无危害可验证poc或者应用版本在有漏洞的版本范围内,就会在漏洞检测页面显示出来。
图3-141 漏洞检测
· 漏洞通知:显示漏洞检测能力,可以查看系统中拥有漏洞检测能力
· 筛选框:可以根据业务组、危险程度、应用、漏洞名称、漏洞类型、存在EXP、远程利用、内核风险、本地提权、修复影响、检测方式进行筛选。
· 作业管理:点击“作业管理”,跳转到作业管理界面
· 全部导出:导出csv格式的漏洞检测报表,可选择导出统计报表或详情报表。
· 统计报表包括:危险程度、漏洞名称、漏洞类型、远程利用、存在EXP、内核风险、本地提权、漏洞描述、修复建议、修复影响、影响应用、利用条件、受影响应用版本、漏洞利用链接、参考链接、CVSS评分、CVSS详情、影响主机数
图3-142 导出统计报表
· 详情报表包括:主机状态、主机IP、主机名、业务组、资产等级、内网IP、外网IP、操作系统、主机标签、负责人、负责人邮箱、备注、危险程度、漏洞名称、漏洞类型、远程利用、存在EXP、内核风险、本地提权、漏洞描述、修复建议、修复影响、验证信息、影响应用、利用条件、受影响应用版本、漏洞利用链接、参考链接、CVSS评分、CVSS详情
图3-143 导出详情报表
图3-144 主机视图
筛选框:业务组、资产等级、主机IP,主机名、主机状态。
漏洞视图和主机视图下均有“作业管理”按钮,点进该符号即可进入作业管理页面。
图3-145 作业管理
· 自定义作业筛选项:可根据创建时间、作业名称、执行范围进行筛选。
图3-146 全局作业
· 全局作业筛选项:可根据创建时间、作业名称进行筛选。
· 新建作业:点击新建作业,跳转到新建作业页面。
· 执行:点击执行,可执行该作业。
· 查看结果:点击查看结果,跳转到该作业的作业执行结果界面。
· 作业详情:点击作业详情,跳转到编辑作业页面,所有项均可查看但不可编辑。
· 自定义作业-编辑:点击“…-编辑”,可编辑自定义作业,跳转到编辑作业页面。
图3-147 编辑作业
· 自定义作业-删除:点击“…-删除”,可删除自定义作业。
在自定义作业或全局作业中,点击操作列的“查看结果”,跳转到作业执行结果界面。
图3-148 漏洞视图
· 筛选项:业务组、危险程度、应用、存在EXP、远程利用、内核风险、本地提权、修复影响、漏洞类型。其中内核风险、本地提权、修复影响、漏洞类型、检测方式是默认隐藏的。
· 导出:导出该作业检测出的漏洞,可导出统计视图和详情视图,字段与漏洞视图导出相同。
图3-149 主机视图
· 筛选项:资产等级、业务组、主机状态、主机IP、主机名称。
· 导出:导出该作业检测主机的漏洞,可导出统计视图和详情视图,字段与主机视图导出相同。
在自定义作业或全局作业中,点击操作列的“新建作业”,跳转到新建作业界面。
作业基本信息
· 输入信息包括:作业名、定时执行表达式、备注
· 规则范围:全部主机、自定义范围(选择业务组、指定主机IP)
· 是否启用:启用禁用作业
图3-150 新建作业
检测项信息
· 添加检测项:点击“添加检测项”,弹出检测项弹窗,选择检测项。不同检测项可选择不同的检测方式(版本比对、POC验证)
· 创建并执行:创建并执行该作业,回到作业管理页面
· 创建:创建该作业,回到作业管理页面
· 取消:取消创建作业,回到作业管理页面
图3-151 检测项信息
漏洞视图和主机视图下均有“更多”按钮,点进“白名单规则”即可进入白名单规则页面。
图3-152 白名单规则
新建白名单规则
· 条件列表包括:漏洞名称中包含,漏洞特征(本地漏洞、远程利用)
· 各个复选框之间为且的关系
· 规则范围:全部主机、自定义范围(选择业务组、指定主机IP)
· 描述:新建时自动生成,也可手动更改
图3-153 新建白名单规则
编辑规则:编辑已有规则。
删除规则:删除已有规则。
查看受影响对象:点击查看详情跳转到“规则受影响对象”界面
图3-154 查看受影响对象
弱密码检查用于检查系统中所有弱密码问题,其包括操作系统,应用,Web站点等,该功能以一个统一的方式配置,检查,展示用户所有的弱密码问题。检查应用存在的弱密码,目前支持的应用类型有:MySQL,PPTP,VNC,SSH,OpenVPN,rsync,Redis,vsftpd,Tomcat,ProFTPD,influDB、Jenkins、OpenLDAP、SVN
· 被动检查:用户的密码可以通过一定的方式获得,直接验证账户密码是否为弱密码;验证方式存在以下几种:
· 明文密码检查:密码为明文或可解密为明文,匹配弱密码字典是否为弱密码;
· 哈希密码匹配:密码为哈希计算后保存,在获得哈希类型后,对弱密码字典进行哈希计算,匹配是否为弱密码;
· 主动检查:无法直接获取密码,使用用户的登录接口主动尝试密码,通常为在线爆破,进行弱密码检查;
图3-155 弱密码列表
单击右侧
按钮可以看到修复历史、白名单规则、简单密码词典、组合密码词典4个选项。
图3-156 修复历史
· 选定统计时间:点击右上角的时间按钮,可查看过去7天、过去30天、过去3个月内的修复历史统计情况
· 修复情况分析:点击统计面板TAB“修复情况分析”可查看选定时间内的修复情况分析
图3-157 修复情况分析
单击首页右侧
按钮进入白名单规则页面。
图3-158 白名单规则
图3-159 新建白名单规则
表3-2 白名单规则说明
|
规则 |
说明 |
|
条件列表 |
· 应用包含:用户自定义,输入弱密码的应用名称 · 应用账号中包含:用户自定义,输入弱密码应用的账号。 · 账号状态:禁用和启用2个可选项。 · 弱密码类型:空口令、系统默认弱密码、密码与用户名相同、常见弱密码4个可选项。 |
|
规则范围 |
让用户设置一些IP范围,将针对在设置的IP范围内的主机进行白名单规则过滤,设置范围有以下几种方式: · 全部主机 · 自定义范围(业务组主机,单独IP主机) |
图3-160 编辑白名单规则
图3-161 删除白名单规则
单击右侧
按钮选择简单密码词典选项。简单密码字典用户检查用户的密码设置为该密码字典中的任意密码,则判定为弱密码。
· 编辑字典: 用户手动一一录入弱密码,每行一个弱密码,编辑框中提供了行号提示弱密码数量;
· 导入字典: 用户可导入弱密码字典,仅支持txt格式,需以换行分隔,每行均将识别为一个弱密码;仅识别前3000行,其后将完全忽略;每次导入将完全覆盖原密码设置;
· 导出字典 :用户可将当前存储的所有简单弱密码直接导出为txt格式,在自行编辑后,再导入系统;
图3-162 简单密码字典
组合密码指组合密码特征进行弱密码检测的字典。本功能当前仅支持:
· 前缀+连接符+后缀的组合密码;
· 密码三部分将自动增加任意部分为空的检测;
· 前缀将自动增加用户名的检测;
· 前缀最多可添加8个,连接符9个,后缀19个,均使用换行符隔开;
例如,检测某账号: admin;
动态密码字典: 前缀为abc;连接符为@;后缀为123
则将检查如下弱密码: admin@123;admin@;admin123;admin;abc@123;abc123;abc@;@123;abc;@;123;
图3-163 组合密码字典
检查应用的安全配置,目前支持的应用有:influxDB、Jenkins、Struts2、ProFTPD、Crontab、Jboss、Tomcat、CVS、ElasticSearch、VNC、SVN、redis、apache、apache2、mysql、ssh、rsync、nginx、mongoDB、Squid、openVPN、Bind、vsftp、NFS、NTP、Memcache
图3-164 应用风险
检查系统安全配置,有风险项视图/主机视图两种查看方式。可以导出所有/部分检查结果。
图3-165 系统风险
检查系统账号所存在的风险项,通常通过修改配置文件完成修改。有风险项视图/主机视图两种查看方式,可以导出所有/部分检查结果。
图3-166 账号风险
应用风险/系统风险/账号风险白名单规则
· 新建白名单规则
图3-167 新建白名单规则
表3-3 白名单规则说明
|
规则 |
说明 |
|
条件列表 |
· 风险名中包含:用户自定义输入要加入白名单的风险名称 · 风险的危害程度:有危急、高危、中危、低危4个可选项,用户可根据实际情况选择 |
|
规则范围 |
让用户设置一些IP范围,将针对在设置的IP范围内的主机进行白名单规则过滤,设置范围有以下几种方式: · 全部主机 · 自定义范围(业务组主机,单独IP主机) |
· 编辑白名单规则
图3-168 编辑白名单规则
· 删除白名单规则
图3-169 删除白名单规则
通用功能描述,以暴力破解页面为例:
图3-170 通用功能
· 条件筛选框
设置显示列按钮:点击
,可设置显示列,控制列表中的数据显示/隐藏;
展示入侵检测功能总体的数据概览信息,支持各项操作来展示不同的统计视图信息。
图3-171 入侵总览
具体操作:
· 筛选:右上角提供两个维度的数据筛选,业务组和时间区间;
· 业务组:可勾选Linux下的业务组,根据选择的业务组信息筛选统计信息重新生成各视图;
· 时间区间:提供三个时间区间进行选择:24小时、7天和30天,选择后根据选择的时间区间筛选统计信息重新生成各视图;
· 入侵事件分布模块:可点选图例开启/关闭功能在环形图中是否显示;
· 实时监控模块:点击“查看更多”按钮,跳转至消息中心,默认选择入侵检测tab,可查看所有入侵的通知消息事件;
· 查找主机:点击右上角“查找主机”按钮,弹出窗口展示当前全部主机的信息,点击各主机的“查看”按钮将新开Web选项卡并进入该主机的单台主机详情页中。
暴力破解用于阻止各类关键应用被暴力破解,尝试登录的行为,防止登录账户被爆破。目前支持vsftpd或者sshd两个服务的检查。
图3-172 暴力破解
手动解封按钮
手动封停按钮
加入白名单按钮
用户可以选择手动将一条暴力破解记录加入白名单。加入以后这条记录将成为一条规则,这条规则由该暴力破解的登录时间、登录IP、登录区域三个条件以与关系结合成规则。该规则的适用范围为这条记录的主机IP。
图3-173 暴力破解封停条件说明
单击
按钮,可以看到自动封停设置、主机配置检测、全部导出三个选项。
进入服务设置列表,可以根据需要选择vsftpd或者sshd两个服务的开启关闭状态。
图3-174 服务设置
选择“查看白名单”进入白名单规则列表。暴力破解白名单是为了将某些登录认定为正常登录行为而非上报为暴力破解,防止一些不必要的上报和封停。
· 新建白名单规则
图3-175 新建白名单规则
表3-4 白名单规则设置说明
|
规则 |
说明 |
|
条件列表 |
条件列表是具体的条件详细内容,条件之间为“与”关系。 · 攻击来源:设置某个IP、IP段或系统已有的IP组为正常登录IP,添加方式包括手动添加、常用IP组导入; · 攻击时间:设置一个或多个时间点为正常登录时间,登录时间设置方式星期加上起止时间; · 攻击使用账号(被攻击资产的账号):用户手动填写一个或者多个账号。 |
|
规则范围 |
· 全部主机:指的是所以装有Agent的主机; · 自定义范围:可以选择业务组与自己输入单台主机IP的复合结果。 |
· 编辑白名单
对于已经保存的单条规则,用户可以选择对其进行修改。
白名单规则修改后,对后续上报的事件进行生效。
遍历数据的限制条件同新建白名单。
图3-176 编辑白名单
· 删除白名单
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图3-177 删除白名单
开启该功能后,非内网的攻击主机会被自动封停,需要手动解封。
图3-178 自动封停设置
暴力破解的数据导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。例如:用户会导出暴力破解数据用于特定的统计处理,对近期的检测数据进行存档等。
选择的方式有以下两种:
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
全部导出:单击
按钮选择“全部导出”。
图3-179 导出
异常登录用于发现系统成功登录的信息中,包含非正常IP,非正常区域,非正常时间的登录信息。
图3-180 异常登录
单击“新建正常登录规则”按钮,进入到新建正常登录规则页面。
图3-181 正常登录规则
· 新建正常登录规则
图3-182 新建正常登录规则
表3-5 正常登录规则说明
|
规则类型 |
说明 |
|
规则的条件列表 |
条件列表是具体的条件详细内容,条件之间为“与”关系。 · 登录IP:设置某个IP、IP段或系统已有的IP组为正常登录IP,添加方式包括手动添加、常用IP组导入; · 登录时间:设置一个或多个时间点为正常登录时间,登录时间设置方式星期加上起止时间; · 登录区域:设置一些登录区域为正常登录区域,对于非中国地区只到国家层面,对于中国地区可以设置国家级、省级和市级。例子:中国、中国湖北、中国湖北武汉、美国、俄罗斯。 · 登录账号:Agent主机的账号,用户手动填写一个或者多个账号 |
|
规则的适用范围 |
规则范围是指以上条件的适用范围。 规则范围有是以下两种方式里选择其中一种,且仅可以选择一种: · 全部主机:指的是所以装有Agent的主机; · 自定义范围:可以选择业务组与自己输入单台主机IP的复合结果 |
· 编辑正常登录规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图3-183 编辑规则
· 删除正常登录规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。删除操作要有确认提示,用户确认后方可删除。
图3-184 删除规则
提供内网异常登录的开关,可控制是否上报内网异常登录记录。
图3-185 告警设置
异常登录的数据导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。例如:用户会导出异常登录数据用于特定的统计处理,对近期的检测数据进行存档等。导出方式有以下两种:
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
图3-186 手动导出
全部导出:单击
按钮选择“全部导出”。
图3-187 全部导出
反弹Shell用于监控主机中所有利用Shell进行反向连接的行为,例如黑客入侵了一台服务器后通过设置一个反向shell轻松地访问这台远程计算机等攻击行为,方便用户对主机中发生的反弹Shell行为进行查看、分析和处理。反弹Shell的目标如下:
· 通过实时监控发现反弹Shell行为,对用户进行事件告警,并能让其查看结果;
· 提供反弹Shell事件的详细信息,方便用户进行分析判断是否为反弹Shell事件;
· 提供对反弹Shell监控和上报的规则操作,方便用户对判断后的反弹Shell事件进行处理。
图3-188 反弹Shell
单击
按钮,有查看白名单,全部导出2个选项,选择“查看白名单”选项,进入到白名单规则页面。
· 新建白名单规则
单击“新建白名单规则”按钮进入到新建白名单规则页面。
图3-189 新建白名单规则
表3-6 白名单规则设置说明
|
内容 |
说明 |
|
条件列表 |
条件列表是具体的条件详细内容,条件之间为“与”关系。。 · 连接进程:下拉框选择单个连接进程,连接进程的选项和上报的反弹Shell进程联动,即仅上报后才能选择该进程作为白名单条件。 · 进程树:填写进程树信息,多个进程树节点以英文逗号隔开 ,满足该进程树进行反弹的行为不会上报。 · 目标主机&端口:连向的目标主机IP和端口号,IP可添加IP、CIDR和IP段,端口号可添加多个端口。 |
|
规则范围 |
规则范围是指以上条件的适用范围。规则范围有是以下两种方式里选择其中一种,且仅可以选择一种: · 全部主机。指的是所有装有Agent的主机. · 自定义范围。可以选择业务组与自己输入单台主机IP的复合结果。 |
白名单规则创建后将被立即执行,需要重新遍历检测结果列表内的历史数据,根据更新后的规则库判断,对列表内的记录进行更新,符合更新后规则的记录将不再显示上报。
遍历数据的限制条件如下:
遍历记录数量的上限为10000条;
若检测结果列表内记录超过上限,则只遍历近三个月的记录,上限同样为10000条。
· 编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图3-190 编辑规则
· 删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图3-191 删除规则
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
全部导出:单击
按钮选择“全部导出”,全部导出一次最多导出5千条日志。
当用户以低权限进入主机系统,通过某种行为获得高权限时,该进程很有可能是黑客的网络攻击行为,威胁主机安全。本地提权功能用于对此类行为事件进行记录和统计。包含如下功能点:
· 提权事件记录:实时记录主机中存在的提权行为事件,在列表中查看并筛选/搜索相关信息;
· 白名单管理:对待定的主机和进程的提权行为,设置规则屏蔽;
· 进程阻断:对正在运行的提权进程进行阻断;
· 导出功能。
图3-192 本地提权
单击白名单规则按钮,即可进入到“白名单规则”页面。
图3-193 白名单规则
· 新建白名单规则
单击右侧“新建规则”按钮,进入到白名单规则设置页面。
图3-194 新建白名单规则
表3-7 白名单规则设置说明
|
内容 |
说明 |
|
条件列表 |
条件列表是具体的条件详细内容,条件之间为“与”关系。 · 提权进程:以逗号隔开输入一个或者多个进程名字。 · 带s权限的进程:是否是带s权限的进程。 |
|
规则范围 |
规则范围是指以上条件的适用范围。规则范围有是以下两种方式里选择其中一种,且仅可以选择一种: · 全部主机。指的是所以装有Agent的主机. · 自定义范围。可以选择业务组与自己输入单台主机IP的复合结果。 |
白名单规则创建后将被立即执行,需要重新遍历检测结果列表内的历史数据,根据更新后的规则库判断,对列表内的记录进行更新,符合更新后规则的记录将不再显示上报。
遍历数据的限制条件如下:
遍历记录数量的上限为10000条;
若检测结果列表内记录超过上限,则只遍历近三个月的记录,上限同样为10000条。
· 编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
白名单规则修改后,同样需要重新遍历检测结果列表内的历史数据,根据更新后的规则库判断,对列表内的记录进行更新,符合更新后规则的记录将不再显示上报;被修改规则的受影响记录中不符合更新后规则的将被还原至列表,恢复显示并正常上报。
遍历数据的限制条件同新建本地提权白名单规则。
图3-195 编辑规则
· 删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
白名单规则被删除后,同样需要重新遍历检测结果列表内的历史数据,根据更新后的规则库判断,对列表内的记录进行更新,符合更新后规则的记录将不再显示上报;被删除规则的受影响记录中不符合更新后规则的将被还原至列表,恢复显示并正常上报。
遍历数据的限制条件同新建本地提权白名单规则。
图3-196 删除规则
点击
,点击“进程阻断”,可阻断正在运行的进程;
图3-197 进程阻断
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
图3-198 手动导出
全部导出:单击
按钮选择“全部导出”。
图3-199 全部导出
后门检测功能用于检查硬件,操作系统,应用软件是否被黑客替换或篡改,如发现该类问题,均为极为严重的问题。支持对进程的实时监控。支持后门程序的隔离与还原、删除。支持自定义检测规则,包括域名、IP、进程参数、脚本内容、文件特性及系统配置。
图3-200 后门检测
· 隔离/删除列表:可以隔离/还原、删除后门程序;
· 自定义检测规则:支持域名、IP、进程参数、脚本内容、文件特性及系统配置的自定义配置;
· 筛选框:可以通过业务组,可信度,检测结果,受感染主机和发现时间进行筛选;
· 详情按钮可以查看到对应后门的检测说明(包含问题原因和修复方法)和静态信息(即文件基本详情,包含被篡改文件的文件名、文件校验码、创建时间、修改时间和文件权限等信息);
· 点击加入白名单按钮,手动将该条报警加入白名单,不再提示。
单独对系统后门进行扫描。
系统内置后门检测规则,同时支持用户配置自定义检测规则,方便用户灵活配置需要检测的后门。自定义检测规则包括域名、IP、进程参数、脚本内容、文件特性及系统配置。
图3-201 自定义检测规则
新建自定义检测规则,点击“自定义检测规则”,进入到自定义检测规则页面,选择不同的检测规则进行创建,新建规则后需要点击同步规则,支持自定义检测规则的编辑和删除。
当后门程序访问指定域名时,可配置域名检测规则,支持匹配正则和域名列表,手动配置告警信息。
图3-202 新建域名检测规则
当后门程序访问指定的IP和端口时,可配置IP检测规则。
图3-203 新建IP检测规则
当后门程序执行带有参数的命令时,可配置进程参数检测规则。
图3-204 新建进程参数检测规则
服务器存在恶意脚本并执行时,可配置脚本内容检测规则。
图3-205 新建脚本内容检测规则
文件特性检测规则支持文件路径、文件名、文件Hash的匹配。
图3-206 新建文件特性检测规则
当服务器的配置被恶意修改时,可配置系统配置检测规则。
图3-207 新建系统配置检测规则
后门检测支持对后门程序的隔离与还原、删除。
单击
,单击选择“隔离”。
图3-208 隔离操作
在“隔离/与删除列表”中,可对隔离的后门程序进行还原与删除。
图3-209 还原与删除操作
导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
图3-210 手动导出
· 全部导出:单击选择“全部导出”。
图3-211 全部导出
点击右上角“白名单规则”,可以查看到所有手动添加到白名单的记录。
图3-212 白名单记录
点击删除按钮可删除白名单记录。
选择“修复历史”选项,可以查看到所有曾经存在过,但是现在已经不存在的系统后门的记录。
图3-213 修复记录
动态蜜罐在诱导主机中,安放多个蜜罐端口,供黑客攻击,以提供各类黑客行为的线索。
图3-214 动态蜜罐
· 新建规则
单击“查看规则”—“新建监听规则”进入到新建规则页面,按照如下操作完成规则创建
(1) 选择需要执行操作的端口,可添加多个端口;
(2) 选择应用规则的主机范围,在这些主机上对选择的端口执行操作;
(3) 可选择不应用主机的范围,如果想让规则不在某些主机上应用,则可在不包含范围中添加这些主机,这些主机只能在规则应用主机的范围子集中选择。
图3-215 新建监听规则
· 启用/关闭规则
单击启用/关闭按钮,即可开启/关闭蜜罐主机端口开关。
图3-216 启用关闭规则
· 编辑蜜罐规则
对于已经建立的蜜罐监听规则,用户可以选择对其进行编辑,规则状态仅当为开启时才可编辑规则。
图3-217 编辑规则
编辑规则可编辑蜜罐主机的IP和编辑已添加的端口。可输入端口号后点击添加按钮添加新的端口至编辑框中,也可选择编辑框中的端口,点击右上角的删除按钮将该端口进行删除。点击确定后主机将重新同步编辑后的端口。
图3-218 编辑端口
· 删除蜜罐规则
对于已经建立的蜜罐监听规则,用户可以选择对其进行删除,规则状态仅当为关闭时才可删除规则。
图3-219 删除规则
单击
按钮,有白名单规则和全部导出两项,选择“白名单规则”,进入到白名单规则页面。
图3-220 白名单规则
· 新建白名单规则
单击“新建白名单规则”按钮,进入到白名单规则设置页面
图3-221 新建白名单规则
表3-8 白名单规则介绍
|
内容 |
说明 |
|
条件列表 |
条件列表是具体的条件详细内容,条件之间为“与”关系。 · 源IP:设置某个IP、IP段或系统已有的IP组为正常登录IP,添加方式包括手动添加、常用IP组导入; · 扫描端口:以逗号隔开输入一个或者多个端口; · 扫描时间:添加一个或者多个扫描时间段。 |
|
规则范围 |
规则范围是指以上条件的适用范围。规则范围有是以下两种方式里选择其中一种,且仅可以选择一种: · 全部主机。指的是所以装有Agent的主机。 · 自定义范围。可以选择业务组与自己输入单台主机IP的复合结果。 |
· 编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图3-222 编辑规则
· 删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。
图3-223 删除规则
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
全部导出:单击
按钮选择“全部导出”,全部导出一次最多导出5千条日志。
Web后门用于检查Web网站中存在的后门文件,Web后门文件为安全威胁检查中即为重要的一环。扫描分2种,触发式扫描,即点击界面,用户主动触发的扫描; 每日定时扫描,每日定时进行的扫描。 支持深度扫描,扫描文件范围更大,支持所有文件类型的扫描。
图3-224 Web后门
· 开始扫描按钮:即用户主动对单独该项进行扫描。
· 点击更多按钮,有功能设置,隔离删除列表和深度扫描3个选项。
点击更多,进入功能设置列表,可以根据需要选择Web后门动态监控功能的开启关闭状态。点击
可查看对功能的具体说明。
图3-225 功能设置
单击更多,选择“修复历史”,进入到修复记录页面。可以查看到所有曾经存在过,但是现在已经验证为修复的Web后门的记录。点击详情图标按钮可查看记录详情。
图3-226 修复记录
单击更多,选择“白名单列表”,进入到白名单规则页面。
图3-227 白名单规则
· 新建白名单规则
单击“新建白名单规则”按钮进入到新建白名单规则页面。
图3-228 新建白名单规则
表3-9 白名单规则说明
|
规则 |
说明 |
|
规则内容 |
Web后门白名单的规则内容可以由以下两个条件中的任意一条组成,两个条件为关系互斥。 · 文件MD5。设置某些符合条件的文件MD5为正常文件MD5,MD5与之匹配的文件即视为正常文件,条件内容为文件的MD5,由用户手动输入或手动添加白名单操作填入。 · 自定义文件。条件内容可以由以下两个条件中的任一条组成或多个条件以与关系组成。 ¡ 文件目录。设置某些符合条件的文件目录为正常文件目录,该条件目录下的文件或者目录指向的文件即视为正常文件,条件内容为文件目录的正则表达式,由用户手动输入。 ¡ 文件后缀。设置某些符合条件的文件后缀为正常文件后缀,带有该后缀的文件即视为正常文件,条件内容为文件后缀的正则表达式,由用户手动输入。 |
|
规则范围 |
规则范围是用户自定义规则适用的范围,用户可以按照下面三种方式选择。 · 全部主机。所有安装Agent的主机。 · 自定义范围。可以选择业务组,也可以选择多台主机。 |
· 编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图3-229 编辑规则
· 删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图3-230 删除规则
单击更多按钮,选择“自定义目录”,进入到自定义目录页面。用户可以根据实际情况设置需要额外扫描的目录。
图3-231 自定义目录
· 新建自定义目录
单击“新建自定义目录”按钮进入到新建自定义目录页面。
监控目录可输入多个监控路径,以英文逗号隔开;应用范围从主机列表中选择,也可选择多台主机。
图3-232 新建自定义目录
如果应用范围内存在主机已设置自定义目录,将提示新设置的目录将覆盖主机之前的目录。
图3-233 覆盖目录提示
· 编辑自定义目录
点击编辑按钮可编辑该条自定义目录的监控目录,应用范围不可编辑。
图3-234 编辑目录
点击确定提示编辑后的目录将覆盖主机之前的目录,点击确定完成编辑。
图3-235 覆盖目录提示
· 删除自定义目录
点击删除按钮可删除该条自定义目录记录。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图3-236 删除目录
单击更多,选择“任务列表”,进入到任务列表页面。任务列表中会显示隔离、删除、还原后的修复记录
图3-237 任务列表
单击更多,选择“隔离删除列表”,进入到隔离删除列表页面。任务列表中会显示隔离、删除的修复记录
图3-238 隔离删除列表
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
· 全部导出:单击全部导出选择“全部导出”。
可疑操作记录执行的shell命令,您可以对操作进行筛选,也可以自定义规则发现可疑操作。该功能需要替换服务器安全监测系统的bash。
图3-239 可疑操作
单击
按钮,可以查看该条命令执行的日志详情
图3-240 查看详情
单击
按钮,会出现“审核通过”和“审核不通过”两个选项,方便审计人员标记操作。选择后标记将会显示在事件列表中。
审计规则包含用户自定义规则和系统规则两部分,系统规则为系统内置的审计规则,可选择是否开启使用,自定义规则由用户自行创建,并可进行编辑和删除等操作,具体如下:
· 开启/关闭规则
用户可以通过“是否启用”字段下的滑块按钮控制规则是否启用。
图3-241 是否启用
· 新建审计规则
用户可以自行配置审计规则,判定可疑操作。
图3-242 新建审计规则
表3-10 审计规则说明
|
规则 |
说明 |
|
规则条件 |
审计规则条件内容由以下三个条件组成。 · 规则名。规则的名称。 · 正则表达式。用来匹配命令使用的正则表达式,仅支持填写一个。 · 危险程度。用于标识规则的危险程度,有高危、中危、低危三个选项。 |
|
规则范围 |
规则范围是用户自定义规则适用的范围,用户可以按照下面三种方式选择。 · 全部主机。所有安装Agent的主机。 · 自定义范围。可以选择业务组,也可以选择多台主机。 |
· 编辑审计规则
点击编辑按钮可编辑已建立的审计规则。
图3-243 编辑规则
· 删除审计规则
点击删除按钮可删除已建立的审计规则。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图3-244 删除规则
当用户使用堡垒机登录时,配置环境变量名称,即可看到真实登录IP而非堡垒机IP。
图3-245 环境变量配置
环境配置条件说明如下:
· 登录IP:堡垒机的IP;
· 登录主机名:堡垒机的主机名;
· 登录用户:堡垒机用于登录的用户名称。
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
全部导出:单击
按钮选择“全部导出”,全部导出一次最多导出10万条日志
Web RCE是黑客写入Web后门后,通过启动Web进程来执行恶意操作的一种手段。Web命令执行通过分析常见的远程命令漏洞利用实例,利用模式识别的方式,实时监控用户进程行为的各项特征,对主机中进程异常的执行行为和执行命令内容进行精确匹配,能有效发现黑客利用漏洞执行命令的行为痕迹,并及时进行告警。告警信息提供整个漏洞利用过程的进程树信息,帮助用户准确分析黑客的入侵路径和目的,功能同时也支持用户自定义规则进行检测,可帮助适应客户多样化的业务流程,精准覆盖各类RCE攻击的监控场景。
图3-246 Web命令执行
具体操作:
查看详情:点击列表内事件记录的“详情”按钮可查看事件的详情;
图3-247 查看详情
加入白名单:点击列表内事件记录的 “加入白名单”按钮,将根据该事件的各项条件自动填入白名单规则中进行加白,生效范围为当前主机。
选择“监控规则”,进入到监控规则页面。监控规则分为两类,一类为自定义规则,由用户自己创建和管理,一类为系统规则,为系统内置的规则,用户可选择对系统规则是否启用。
图3-248 监控规则-自定义规则
图3-249 监控规则-系统规则
同步规则:对规则的修改完成后,需要将更新后的规则内容重新下发同步后才能成功检测(脚本内容类型规则无需下发同步),若存在修改未同步,则界面会显示对应的提示告知用户,点击提示中的“同步规则”同样可以完成同步的下发。
图3-250 同步规则提示
新建监控规则
单击“新建监控规则”按钮进入到新建监控规则页面。
图3-251 新建监控规则
图3-252 白名单规则说明
|
规则 |
说明 |
|
规则名称 |
规则的名称,必填项,由用户自定义输入 |
|
规则内容 |
监控规则按照各层级进程的信息进行条件设置,每级进程可设置条件有以下两个: · 进程名包含:输入匹配进程名的字符串,多个以英文逗号隔开。为了避免过多的误报,要求一级进程中该条件为必填项,后续层级的进程下为非必填; · 进程命令行:输入匹配进程执行命令行的正则表达式,非必填项; 监控规则有两种设置方式:逐级匹配和跨级匹配。 · 逐级匹配:点击“添加进程信息后”选择添加下一级进程操作。按照进程树逐级匹配进程,进程必须都符合连续的规则中的条件,才算命中规则;逐级匹配规则最多设置5级进程。 · 跨级匹配:点击“添加进程信息后”选择添加终点进程操作。按照进程树匹配起点父进程和终点子进程,进程只要存在片段满足首尾进程的条件,即可命中规则。 |
|
规则说明 |
对规则进行说明,由用户自定义输入,说明将展示在告警的详情中 |
编辑规则
对于已经保存的自定义规则,用户可以选择对其进行修改。
图3-253 编辑规则
删除规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图3-254 删除规则
监控管理是用来设置账号管理主机是否开启该功能,支持批量开启和批量关闭的功能。新安装的主机会默认开启监控。
图3-255 监控管理
图3-256 监控管理-批量设置
选择“白名单规则”,进入到白名单规则页面。
图3-257 白名单规则
查看白名单受影响记录
对于已经保存的单条规则,用户可以查看受白名单影响的记录列表。
图3-258 查看受影响记录
新建白名单规则
单击“新建白名单规则”按钮进入到新建白名单规则页面。
图3-259 新建白名单规则
图3-260 白名单规则说明
|
规则 |
说明 |
|
规则内容 |
规则按照各层级进程的信息进行条件设置,每级进程可设置条件有以下两个: · 进程名包含:输入匹配进程名的字符串,多个以英文逗号隔开。为了避免过多的误报,要求一级进程中该条件为必填项,后续层级的进程下为非必填; · 进程命令行:输入匹配进程执行命令行的正则表达式,非必填项; 白名单规则仅有逐级匹配方式: · 逐级匹配:点击“添加进程信息后”选择添加下一级进程操作。按照进程树逐级匹配进程,进程必须都符合连续的规则中的条件,才算命中规则;逐级匹配规则最多设置5级进程。 |
|
规则范围 |
规则范围是指以上条件的适用范围。规则范围有是以下三种方式里选择其中一种,且仅可以选择一种: · 全部主机。指的是所有装有Agent的主机; · 选择业务组。可以选择业务组; · 选择主机:可从列表中选择主机。 |
查看白名单受影响记录
对于已经保存的单条规则,用户可以查看受白名单影响的记录列表。
图3-261 查看受影响记录
编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图3-262 编辑规则
删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图3-263 删除规则
导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。导出方式有以下两种:
手动选择:手动勾选需要导出的行,选择“导出”按钮导出选中的数据;
图3-264 勾选导出
全部导出:单击“全部导出”按钮导出当前范围的全部数据。
图3-265 全部导出
入侵处理记录用于保存并展示入侵中所有处理操作的记录,方便用户进行审核和排查错误。
图3-266 入侵处理记录
记录分为6种类型的记录,其对应情况如下:
网络封停:记录暴力破解和异常登录功能中的封停操作;
网络解封:记录暴力破解和异常登录功能中的解封操作;
文件隔离:记录后门检测和Web后门功能中的隔离操作;
文件删除:记录后门检测和Web后门功能中的删除操作;
文件还原:记录后门检测和Web后门功能中的对隔离后文件的还原操作;
进程阻断:记录反弹Shell和本地提权功能中的进程阻断操作;
导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。导出方式有以下两种:
手动选择:手动勾选需要导出的行,选择“导出”按钮导出选中的数据;
图3-267 勾选导出
全部导出:单击“全部导出”按钮导出当前范围的全部数据。
图3-268 全部导出
病毒查杀为产品中新增的独立杀毒模块,满足等保要求,提供对病毒的检测和处理能力,并能够提供一定的主动防御能力。
图3-269 病毒查杀-主界面
提供对上报告警的病毒事件的查看、分析和处理能力。
图3-270 病毒查杀-告警列表
具体操作:
查看病毒详情:提供对病毒详细信息的查看,包含病毒引擎分析后的检测说明、病毒文件的静态信息以及病毒进程的进程相关信息;
图3-271 告警列表-病毒详情
下载病毒文件:提供对病毒的下载,用户可对想进一步分析的病毒进行下载,病毒文件已上传服务端,故主机上无论是否仍存在该病毒,都可以进行下载,下载的文件为病毒的真实文件,请注意在安全的环境下进行下载;
处理病毒:对病毒提供各项处理能力,包含:
支持对病毒进行进程阻断、文件隔离和文件删除(隔离后文件才允许删除),其中隔离和删除成功后的病毒认为已修复,已修复事件将移出告警列表,可在告警列表的修复历史功能中进行查看;
确认为非病毒时可将该事件加入受信任区,加入受信任区后,相同的病毒在该主机上将不再进行告警,可在受信区中查看该事件记录;
修复后可将病毒事件标记为已修复,标记为已修复的事件同样将移出告警列表,可在告警列表的修复历史功能中进行查看,其操作人为当时手动操作的账号名。
图3-272 告警列表-处理病毒
重新检测病毒:点击重新检测,将对主机上运行的病毒进程进行全部扫描,并同时验证主机上已被修复的病毒事件。重新检测可选择主机的范围,可选择三种范围:全部主机、业务组和自定义主机;注意:重新检测,并不是让Agent去扫描文件或进程,而是给Agent下发一个消息,让Agent把当前主机上的进程上报一次,所以Agent个数不多时,重新检测是很快的,只是下发一个消息,下发完成,就提示检测完成。
图3-273 告警列表-重新检测自定义范围
导出病毒信息:支持对病毒信息进行导出,点击界面的“全部导出”按钮和勾选记录后点击“导出”操作都可导出当前已选范围的数据;
查看所有已被记录为修复的病毒事件,修复历史同样支持导出和查看详情。
图3-274 告警列表-修复历史
查看所有已被受信任的病毒事件,受信任的事件支持删除。
图3-275 告警列表-受信区
可管理自动处理的设置和病毒引擎的设置。
可设置全局的自动处理配置,也可针对某些主机进行特殊的设置,特殊设置后的主机配置结果将展示在列表中。
图3-276 设置管理-自动处理设置
具体操作:
全局设置:用于控制全部主机的自动处理,该配置为长期生效的状态,对全部主机持续生效,包含新安装的主机。如果单独设置了某主机上的自动处理操作,则以单独设置的处理为准。
图3-277 设置管理-全局设置
批量设置:用于批量下发主机上的特殊设置,该配置下发为一次生效的机制,设置的对象为下发时刻的主机范围,不持续生效。设置后的结果会展示在列表中,支持对全部主机、业务组和主机三种类型的范围进行下发。
图3-278 设置管理-批量设置
设置:用于修改主机上的特殊设置。
图3-279 设置管理-设置
可设置各病毒引擎的开关状态,方便用户管理杀毒引擎。目前支持小红伞病毒引擎、ClamAV病毒引擎、T-Sec-反病毒引擎和自研病毒引擎。
图3-280 设置管理-杀毒引擎设置
可查看和管理已经处理成功的病毒文件,并支持查看每一次对病毒文件的处理操作记录。
已隔离:查看已隔离成功的病毒文件,可对隔离的文件进行还原和彻底删除;
图3-281 处理中心-已隔离
已删除:查看已删除成功的病毒文件,被删除的文件不可还原;
图3-282 处理中心-已删除
已阻断:查看已阻断成功的病毒文件,阻断后的文件还可以进一步隔离或删除;
图3-283 处理中心-已阻断
可查看所有的处理操作记录,方便用户追溯和确认处理的操作是否正常或者合规。
图3-284 处理中心-处理记录
合规基线首页主要展示用户创建的所有基线检查作业检查结果,并提供新建检查、重新检查、白名单的入口。
图3-285 合规基线
单击“新建检查”按钮,进入新建检查页面
图3-286 新建检查
图3-287 添加基线规则
表3-11 新建检查功能说明
|
功能 |
说明 |
|
检查名称 |
输入基线的检查名称 |
|
检查范围 |
全部主机:主账号可选全部主机,子账号不可选全部主机。(子账号不显示“全部主机”选项)选择业务组:可选择该账号管辖范围内的业务组。选择主机:选择该账号管辖范围内的主机IP,也可手动输入主机IP 【说明】需要先选择检查范围后,才能选择基线规则。选择了检查范围后,将根据所选主机匹配出适用的应用基线,有多少主机缺少账号授权,并提供设置入口。提示例如:您选择的主机中包含20台主机缺少账号授权,点击设置。 |
|
基线规则 |
系统将根据所选主机匹配出适用的基线规则。分为系统基线和应用基线两大类,每类下又细分为CIS和等保基线,基线可多选 【说明】基线选择后,若为数据库类型应用基线,则提示该规则中是否有需要添加账号授权的基线,若有,则提示,例如:该规则中的60个检查项需要账号授权 目前支持的系统基线有:centos6/7 rhel6/7 ubuntu12/14/16 支持的应用基线有:Apache Apache2 MySQL MongoDB Nginx |
|
定时检查 |
打开定时检查开关,则可以输入定时表达式,且定时表达式为必填。定时表达式为crontab格式,点击“创建并执行”时,需要校验该格式是否正确,校验规则请参考“任务系统=》新建作业中crontab格式”。 鼠标移动到定时表达式后的i,则显示定时表达式的输入说明。 关闭定时检查开关,则不可以输入定时表达式。 |
|
描述 |
输入对该基线的描述。 |
说明:选择基线规则时,可选择的基线规则范围会根据所选择的主机范围而变化。所选主机支持的基线(系统基线、应用基线)才会在选择列表中显示,否则将不显示可用的基线规则(比如:系统基线支持CentOS 7,但所选主机为非CentOS系统主机,则可选列表中不会显示CentOS 7的基线规则)
操作步骤:
(1) 先输入检查的名字,便于标记与区分不同的检查名
(2) “检查范围”内选择检查的主机范围,可选择全部主机、按业务组(单个、多个业务组)、按主机(单台、多台主机)选择
(3) 输入描述信息,描述当前检查相关信息
(4) 选择是否定时检查,开启定时检查,需要输入定时表达式
图3-288 表达式说明:
(5) 选择基线规则,基线规则分为“系统基线”、“应用基线”两类,可切换不同的类别,选择单个、多个规则
(6) 新建检查的各项都设置好后,可点击“创建”或“创建并执行”。
“创建”仅按当前设置创建新的检查,但并不执行;
“创建并执行” 按当前设置创建新的检查并执行,并返回执行结果。
创建的检查执行结果都在基线首页显示,每个检查结果包含:检查名、执行时间;
可对检查结果进行的操作:执行、导出结果、编辑、删除;
点击检查结果可查看各基线规则成功率,点击基线规则查看检查项及检查结果。
图3-289 检查结果
点击某条检查结果,会进入各基线规则检测结果页面,点击某条基线规则可查看具体检查结果。检查结果中检查项详细信息包含:检查项名、类别、检查结果。
图3-290 检查项
检查项支持的操作:导出、加入白名单、查看详情;
导出可将选中的单个、多个、全部检查项导出为excel文件;
查看详情中显示检查项名、检查内容、检查结果、检查说明、修复建议、引用信息。
图3-291 检查项详情
加入白名单:可选择单个、多个检查项加入到白名单中,加入后再进行基线检查时,该检查项将会略过不做检查。
图3-292 加入白名单
单击
按钮,选择“查看白名单”,进入“白名单列表”页面。
图3-293 白名单列表
· 新建白名单
单击“新建规则”按钮,进入新建白名单规则页面
图3-294 新建白名单规则
选择精确检索可以选择检查项参数
图3-295 选择检查规则
· 编辑白名单列表
对于已经保存的单条规则,用户可以选择对其进行修改。
图3-296 编辑规则
· 删除白名单列表
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。
图3-297 删除规则
系统在进行数据库基线等检查时,需提供检查对象的账号密码方可进行检查。
单击
按钮,选择“凭证管理”,进入“凭证管理”页面。
图3-298 凭证管理首页
目前,系统支持对MySQL和WebLogic添加授权,选择应用,点击“添加授权”:
图3-299 添加授权
记录展示每台服务器系统交互Shell的命令操作,需要在后台替换bash;
图3-300 审计日志
· 显示危险操作
勾选
复选框,则只显示所有主机执行的危险命令
图3-301 显示危险操作
· 环境变量配置
当用户使用堡垒机登录时,配置环境变量名称,即可看到真实登录IP 非堡垒机IP
图3-302 环境变量配置效果
图3-303 环境变量配置
· 全部导出
单击
按钮,选择“全部导出”选项,将所有操作记录全部导出为csv表格,包括操作时间、命令内容、操作主机ip、内网ip、外网ip、主机名、业务组、备注、标签等
图3-304 批量操作
功能描述:
读取主机history文件,显示history中记录的历史命令,没有替换bash的主机会在此显示,主机替换bash之后,同步历史记录也不会再显示其历史命令
图3-305 历史记录
· 显示危险操作
勾选
复选框,则只显示所有主机执行的危险命令
· 同步历史记录
同步最新的history文件内容。
记录每台服务器系统账号登录信息并显示。
· 信息内容:时间、主机IP、用户名、来源IP、登录区域
· 可根据时间、业务组、主机IP、用户名、来源IP筛选登录日志记录
· 选择单条、多条、全部登录日志记录可导出为excel文件
图3-306 登录日志
图3-307 批量操作
记录展示每天服务器系统中账号增删,账号信息修改,账号密码修改,登录方式变更,权限变更,用户组增删,用户组信息修改。
图3-308 账号变更记录
· 同账号查看
点击
按钮,可查看该账号的所有变更记录。
图3-309 同账号查看
图3-310 同账号详细信息
· 结果导出
手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
图3-311 手动导出
单击“导出”,选择导出的字段,最后单击“导出”。
图3-312 选择字段
全部导出:单击
,单击“全部导出”,导出所有记录。
图3-313 全部导出
任务系统是为了满足用户各类功能需求的开放系统,主要满足用户两类需求:
提供安全监测的小工具;
提供最新漏洞的快速检测;
提供预先编辑完成的任务,供用户直接使用。
任务列表展示当前系统中所有任务,包含更新时间、名称、是否置顶、类型。
图3-314 任务列表
任务快速查看
点击任务名称后
图标,可以快速查看任务详情,包含如下信息显示,任务名称,任务介绍,风险提示。
图3-315 快速查看详情
点击任务详情进入,任务详情页可以查看任务的详细介绍,帮助用户了解任务功能。
包含如下信息:
任务介绍
任务参数说明:包含输入参数,输出参数
运行实例:包含输入示例,执行结果示例
基本信息:包含任务ID,上线时间,最后修改时间,类别
风险提示
图3-316 任务详情
点击立即执行操作,可创建快速任务。
立即新建一个快速任务,快速任务创建需经过三个步骤,具体如下:
1.任务配置
2.执行范围
3.执行确认
任务配置
选择快速任务执行的作业,并填写相关输入参数。
图3-317 任务配置
执行范围
选择快速任务执行的主机,可选择全部主机,或指定业务组或主机。
图3-318 确定执行范围
执行确认
填写作业信息,并确认作业数据进行执行。
图3-319 执行确认界面
作业配置说明如下:
执行名称:自动生成名称,用户也可自行修改;
定制执行:选填项,若非定时执行可不填写。
填写完成后,可选择如下操作:
仅执行:仅执行该作业,但不保存;
保存并执行:保存任务并执行;
上一步或下一步:进入上一步或下一步设置步骤,任务在此期间的所有设置全部保留;
取消或返回:如用户存在任何输入,则弹出提示框:确认取消创建该任务吗,确认则离开该页面,进入来源页面。
快速作业列表展示所有由快速任务中创建保存的任务,每个快速作业只可能包含一个任务。快速任务列表包含的信息有:更新时间、执行名、是否定时执行、定时执行表达式、保存参数、输入参数列表详情和最后执行时间。
图3-320 快速作业列表
包括单行操作:
作业任务快速查看:该快速作业对应的任务快速查看,包含如下信息显示,任务名称,任务介绍,风险提示;
执行:立即执行该任务,并跳转到作业执行记录-快速作业;
修改:修改该任务,修改任务的各项执行配置;
删除:弹出提示框,“是否确认删除任务”,点击确认后删除;
最近执行结果:跳转至该任务最近一次执行的结果;
包含系统操作:
批量操作-执行:立即同时执行多个任务;
批量操作-删除:立即批量删除多个任务,弹出提示框,“是否确认删除任务”,点击确认后删除。
图3-321 输入参数详情
图3-322 批量操作
保存所有作业的详细执行结果,用户可以查询所有作业的历史执行信息;
快速作业执行列表
作业列表展示当前系统中所有快速作业执行详情。包含如下信息:
执行时间
执行名
总耗时
执行范围
执行结果
图3-323 快速作业列表
点击重新执行直接立即重新执行该作业。
执行结果
点击查看结果进入执行结果界面,可查看某个作业的详细执行结果。
图3-324 执行结果页面
包含如下信息:
作业名
执行时间
总耗时
执行范围
失败主机信息:可查看每个主机的失败原因;
图3-325 执行失败主机详细信息
输入参数信息:可查看执行作业时,输入的参数信息;
图3-326 输入参数详细信息
作业执行结果:按表格展示详细的结果;
包含如下操作:
导出JSON:按JSON格式导出执行结果;
导出CSV:按CSV格式导出执行结果。
在整个产品功能中,点击”主机IP”后按钮,即可进入”单台主机详情”功能,该功能是主机相关信息的汇总,方便用户对该主机中存在的问题,进行快速排查。
图3-327 单台主机详情入口
按功能类别可分为4个大模块:
主机资产:可查询主机基本信息和主机中所有资产信息;
安全风险:可查询主机中存在的所有风险;
入侵事件:可查询主机中发生的历史入侵事件;
安全日志:可查询最近发生的事件记录;
图3-328 单台主机详情界面
点击”更新数据”按钮,可重新获取该主机的资产信息。
资产清点(Asset Inventory),致力于帮助用户从安全角度自动化构建细粒度资产信息,支持对业务 层资产精准识别和动态感知,让保护对象清晰可见。使用 Agent-Server 架构,提供10余类主机关键资产清点,200余类业务应用自动识别,并拥有良好的扩展能力。
图4-1 资产清点导航
共有8个功能模块,分别为:
· 主机管理:模块包含所有主机相关信息,包括基本信息、运维信息、代理信息等,模块包含所有主机的硬件配置信息,及硬件消耗情况;
· 进程管理:模块包含主机中所有进程,及运行进程的端口相关信息;
· 账户管理:模块包含主机中所有账号,用户组相关信息及域账号信息;
· 安装程序与运行应用:模块包含主机中所有软件应用相关信息;
· Web管理:模块包含web服务和web应用及java语言框架相关信息;
· 站点管理:模块包含主机中所有Web站点相关信息;
· 数据库:模块包含主机中所有数据库相关信息;
· 其它:模块包含主机中所有启动项、受信任的根证书颁发机构、证书清点相关信息;
在资产详细信息查询中,提供了两种视角(资产视角、主机视角),用户基于不同的统计查询需要,可相互切换。
图4-2 资产视角
同时在资产详情页面,用户可以对列表进行操作,得到想要的查询结果。
图4-3 资产信息
· 筛选/搜索区:根据不同需要,对列表内容进行筛选;
更新数据按钮:点击
,手动触发更新当前资产数据;
全部导出按钮:点击
,可导出列表中的全部资产数据;
设置显示列按钮:点击
,通过勾选列名,控制列表中信息的显示/隐藏;
复选框按钮
:点击复选框,可选中该行数据,进行“导出”等操作;
· 显示/隐藏图表区;
图4-4 主机信息
图4-5 Agent安装信息
图4-6 离线主机信息
图4-7 硬件信息
图4-8 代理主机信息
图4-9 资产视角
图4-10 主机视角
图4-11 资产视角
图4-12 主机视角
图4-13 资产视角
图4-14 主机视角
图4-15 资产视角
图4-16 主机视角
图4-17 资产视角
图4-18 主机视角
图4-19 资产视角
图4-20 主机视角
图4-21 账号登录查询
图4-22 域账号清点
图4-23 域账号登录查询
图4-24 密码即将到期与已到期账号查询
图4-25 主机密码期限
图4-26 资产视角
图4-27 主机视角
图4-28 资产视角
图4-29 主机视角
图4-30 资产视角
图4-31 主机视角
图4-32 资产视角
图4-33 主机视角
图4-34 Web应用
图4-35 资产视角
图4-36 主机视角
图4-37 Web站点
图4-38 IIS站点
图4-39 Nginx站点
图4-40 Apache站点
图4-41 Tomcat站点
图4-42 WebSphere站点
图4-43 Weblogic站点
图4-44 SQL Server
图4-45 Oracle
图4-46 Sybase
图4-47 DB2
图4-48 启动项清点列表
图4-49 受信任的根证书颁发机构清点列表
图4-50 受信任的证书清点列表
功能概述:
Windows安全补丁指由微软官方发布的安全类补丁,该类补丁主要针对已公布的漏洞进行安全修复。
基于以上问题,安全补丁模块主要是为了解决补丁管理的混乱,而建立一个的一个自动化补丁管理库,拟实现帮助运维人员检测需要打的补丁、进行补丁管理。有补丁视图/主机视图两种查看模式。
图4-51 补丁视图
· 开始扫描
点击“开始扫描”按钮,出现弹框“您确认开始安全补丁扫描吗?”,点击“确认”后开始扫描
· 全部导出
点击“导出”按钮,出全部到csv文件
· 白名单规则
点击
中的“白名单列表”按钮,转到“白名单规则”页面
图4-52 白名单规则
单击“新建白名单规则”按钮,进入新建规则页面
图4-53 新建白名单规则
· 查看补丁提示信息
点击“补丁名称”后的标识
,出现该补丁的信息提示框,内容包括:补丁描述,补丁公告地址,引用信息:
图4-54 补丁信息
图4-55 主机视图
检查所有安装Agent主机的系统弱口令,支持单项or批量导出。
图4-56 弱密码检测
暴力破解用于阻止各类关键应用被暴力破解,尝试登录的行为,防止登录账户被爆破。目前支持rdp,ssh,winrm三种服务。
图4-57 暴力破解
手动解封按钮
手动封停按钮
加入白名单按钮
用户可以选择手动将一条暴力破解记录加入白名单。加入以后这条记录将成为一条规则,这条规则由该暴力破解的登录时间、登录IP、登录区域三个条件以与关系结合成规则。该规则的适用范围为这条记录的主机IP。
图4-58 暴力破解封停条件说明
点击“自动封停设置”进入自动封停配置,当开启自动封停时,非内网的攻击主机会被自动封停。
图4-59 暴力破解配置
图4-60 自动封停设置
单击 “服务设置”进入服务设置列表,可以根据需要选择ssh,winrm,rdp三个服务的开启关闭状态。
图4-61 服务设置列表
单击 “白名单规则”进入白名单规则列表。
暴力破解白名单是为了将某些登录认定为正常登录而不是暴力破解去上报,防止一些不必要的上报和封停。
· 新建白名单规则
图4-62 白名单规则设置
表4-1 白名单规则设置说明
|
规则 |
说明 |
|
条件模式 |
· 任一条件:条件列表中各条件之间是或关系,满足其中一个条件即是正常登录。 · 所有条件:条件列表中各条件之间是与关系,必须满足所有条件才是正常登录 |
|
条件列表 |
· 攻击来源:设置某个IP、IP段或系统已有的IP组为正常登录IP,添加方式包括手动添加、常用IP组导入、导入CSV格式. · 攻击时间:设置一个或多个时间点为正常登录时间,登录时间设置方式星期加上起止时间。 · 攻击使用账号:用户手动填写一个或者多个账号。 |
|
规则范围 |
· 全部主机:指的是所以装有Agent的主机 · 自定义范围:可以选择业务组与自己输入单台主机IP的复合结果 |
· 编辑白名单
对于已经保存的单条规则,用户可以选择对其进行修改。
白名单规则修改后,同样需要重新遍历检测结果列表内的历史数据,根据更新后的规则库判断,对列表内的记录进行更新,符合更新后规则的记录将不再显示上报;被修改规则的受影响记录中不符合更新后规则的将被还原至列表,恢复显示并正常上报。遍历数据的限制条件同新建白名单。
图4-63 编辑白名单
· 删除白名单
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
白名单规则被删除后,同样需要重新遍历检测结果列表内的历史数据,根据更新后的规则库判断,对列表内的记录进行更新,符合更新后规则的记录将不再显示上报;被删除规则的受影响记录中不符合更新后规则的将被还原至列表,恢复显示并正常上报。遍历数据的限制条件同新建白名单。
图4-64 删除白名单
暴力破解的数据导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。例如:用户会导出暴力破解数据用于特定的统计处理,对近期的检测数据进行存档等。选择的方式有以下两种:
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
全部导出:单击
按钮选择“全部导出”。
图4-65 导出列表
图4-66 全部导出
异常登录用于发现系统成功登录的信息中,包含非正常IP,非正常区域,非正常时间的登录信息。
图4-67 异常登录
点击“正常登录规则设置”,可以查看正常登录规则,点击“新建正常登录规则”。
图4-68 新建正常登录规则
表4-2 正常登录规则说明
|
规则类型 |
说明 |
|
规则的条件模式 |
条件模式是用来指定条件列表中的项目彼此之间的作用关系 · 任一条件:条件列表中各条件之间是或关系,满足其中一个条件即是正常登录。 · 所有条件:条件列表中各条件之间是与关系,必须满足所有条件才是正常登录。 |
|
规则的条件列表 |
条件列表是具体的条件详细内容。 · 登录IP:设置某个IP、IP段或系统已有的IP组为正常登录IP,添加方式包括手动添加、常用IP组导入、导入CSV格式 · 登录时间:设置一个或多个时间点为正常登录时间,登录时间设置方式星期加上起止时间。 · 登录区域:设置一些登录区域为正常登录区域,对于非中国地区只到国家层面,对于中国地区可以设置国家级、省级和市级。例子:中国、中国湖北、中国湖北武汉、美国、俄罗斯。 |
|
规则的适用范围 |
规则范围是指以上条件的适用范围。规则范围有是以下两种方式里选择其中一种,且仅可以选择一种: · 全部主机。指的是所以装有Agent的主机 · 自定义范围。可以选择业务组与自己输入单台主机IP的复合结果。 |
· 编辑正常登录规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图4-69 编辑正常登录规则
· 删除正常登录规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。删除操作要有确认提示,用户确认后方可删除。
图4-70 删除正常登录规则
异常登录的数据导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。例如:用户会导出异常登录数据用于特定的统计处理,对近期的检测数据进行存档等。导出方式有以下两种:
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
· 全部导出:单击 按钮选择“全部导出”。
图4-71 手动选择
图4-72 全部导出
反弹Shell用于监控主机中利用PowerShell脚本进行反向连接的行为,例如黑客入侵了一台服务器后通过设置一个反向shell轻松地访问这台远程计算机等攻击行为,方便用户对主机中发生的反弹Shell行为进行查看、分析和处理。反弹Shell的目标如下:
通过实时监控发现反弹Shell行为,对用户进行事件告警,并能让其查看结果;
提供反弹Shell事件的详细信息,方便用户进行分析判断是否为反弹Shell事件;
提供对反弹Shell监控和上报的规则操作,方便用户对判断后的反弹Shell事件进行处理。
图4-73 反弹Shell
具体操作:
查看详情:点击反弹Shell事件列表中各项记录的“查看详情”按钮,可查看该事件的具体详情。
图4-74 反弹Shell-查看详情
加入白名单:点击反弹Shell事件列表中各项记录的“加入白名单”按钮,将根据该事件的各项条件自动填入白名单规则中进行加白,生效范围为当前主机。
进程阻断:点击反弹Shell事件列表中各项记录的
按钮,选择“进程阻断”操作,可对当前反弹的进程下发结束运行,操作的结果和状态可在查看完成后的处理状态显示。
图4-75 进程阻断
单击“白名单规则”按钮,进入到白名单规则页面。
图4-76 白名单规则
新建白名单规则
单击“新建白名单规则”按钮进入到新建白名单规则页面。
图4-77 新建白名单规则
图4-78 白名单规则设置说明
|
内容 |
说明 |
|
条件列表 |
条件列表是具体的条件详细内容,条件之间为“与”关系。。 · 连接进程:下拉框选择单个连接进程,连接进程的选项和上报的反弹Shell进程联动,即仅上报后才能选择该进程作为白名单条件。 · 进程树:填写进程树信息,多个进程树节点以英文逗号隔开 ,满足该进程树进行反弹的行为不会上报。 · 目标主机&端口:连向的目标主机IP和端口号,IP可添加IP、CIDR和IP段,端口号可添加多个端口或者端口段。 |
|
规则范围 |
规则范围是指以上条件的适用范围。规则范围有是以下三种方式里选择其中一种,且仅可以选择一种: · 全部主机。指的是所有装有Agent的主机; · 选择业务组。可以选择业务组; · 选择主机:可从列表中选择主机。 |
白名单规则创建后将被立即执行,需要重新遍历检测结果列表内的历史数据,根据更新后的规则库判断,对列表内的记录进行更新,符合更新后规则的记录将不再显示上报。
遍历数据的限制条件如下:
遍历记录数量的上限为10000条;
若检测结果列表内记录超过上限,则只遍历近三个月的记录,上限同样为10000条。
查看白名单受影响记录
对于已经保存的单条规则,用户可以查看受白名单影响的记录列表。
图4-79 查看受影响记录
编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图4-80 编辑规则
删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图4-81 删除规则
提供内网告警的控制开关,可控制是否上报内网的反弹Shell记录。
图4-82 删除规则
导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。导出方式有以下两种:
手动选择:手动勾选需要导出的行,选择“导出”按钮导出选中的数据;
图4-83 勾选导出
全部导出:单击“全部导出”按钮导出当前范围的全部数据。
图4-84 全部导出
后门检测功能用于检查硬件,操作系统,应用软件是否被黑客替换或篡改,如发现该类问题,均为极为严重的问题。
图4-85 后门信息
全部导出可以导出后门信息,自定义导出的字段。
图4-86 导出详情报表
可以立即对当前的所有主机进行后门检测。
自定义检测规则支持检测后门程序的行为和特性,包括IP、进程参数、脚本内容和文件特性。
图4-87 自定义检测规则
新建IP检测规则。可检测后门程序访问特定的IP和端口。
图4-88 新建IP检测规则
新建进程参数检测规则。可检测后门程序运行时带有的参数信息。
图4-89 新建进程参数检测规则
新建脚本内容检测规则。可检测后门程序脚本的内容。
图4-90 新建脚本内容检测规则
新建文件特性检测规则。可检测后门程序文件的特性。
图4-91 新建文件特性检测规则
可以通过查看详情按钮查看该后门的基本属性和与其相关联的进程或者模块等信息。
图4-92 查看详情
单击
按钮,对后门文件进行隔离或删除操作。
图4-93 隔离或删除后门文件
找到文件确认过不是系统后门后,可以选择加入白名单,在下次扫描时加入白名单的后门不会再提示。单击
按钮,单击“加入白名单”,在“更多”中单击“白名单”,查看白名单列表。
图4-94 加入白名单
图4-95 查看白名单
图4-96 系统后门白名单
点击“删除”可删除白名单记录。
单击“更多”,单击“任务列表”,查看操作任务记录。
图4-97 任务列表
单击“更多”,单击“隔离/删除列表”,查看隔离或删除的后门文件。
图4-98 隔离/删除列表
异常登录的数据导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。例如:用户会导出异常登录数据用于特定的统计处理,对近期的检测数据进行存档等。导出方式有以下两种:
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
· 全部导出:单击 “全部导出”。
动态蜜罐在诱导主机中,安放多个蜜罐端口,供黑客攻击,以提供各类黑客行为的线索。
图4-99 动态蜜罐
· 新建规则
单击“查看规则”—“新建监听规则”进入到编辑规则页面,按照如下操作完成规则创建
(1) 选择需要执行的端口操作,分为开启监听和取消监听,开启监听可以在设定范围的主机内开启选择的端口进行监听,取消监听则关闭对选择端口的监听,主要用于开启/关闭端口时方便对一批主机批量执行操作;
(2) 选择需要执行操作的端口,可添加多个端口;
(3) 选择应用规则的主机范围,在这些主机上对选择的端口执行操作;
(4) 可选择不应用主机的范围,如果想让规则不在某些主机上应用,则可在不包含范围中添加这些主机,这些主机只能在规则应用主机的范围子集中选择。
图4-100 新建监听规则
· 启用/关闭规则
单击启用/关闭按钮,即可开启/关闭蜜罐主机端口开关。
图4-101 启动/关闭规则
· 编辑蜜罐规则
对于已经建立的蜜罐监听规则,用户可以选择对其进行编辑,规则状态仅当为开启时才可编辑规则。
图4-102 编辑规则
编辑规则可编辑蜜罐主机的IP和编辑已添加的端口。可输入端口号后点击添加按钮添加新的端口至编辑框中,也可选择编辑框中的端口,点击右上角的删除按钮将该端口进行删除。点击确定后主机将重新同步编辑后的端口。
图4-103 编辑端口
· 删除蜜罐规则
对于已经建立的蜜罐监听规则,用户可以选择对其进行删除,规则状态仅当为关闭时才可删除规则。
图4-104 删除规则
单击
按钮,有白名单规则和全部导出2项,选择“白名单规则”,进入到白名单规则页面。
图4-105 白名单规则
· 新建白名单规则
单击“新建白名单规则”按钮,进入到白名单规则设置页面
图4-106 新建白名单
表4-3 白名单规则介绍
|
内容 |
说明 |
|
条件列表 |
条件列表是具体的条件详细内容。 · 源IP:设置某个IP、IP段或系统已有的IP组为正常登录IP,添加方式包括手动添加、常用IP组导入; · 扫描端口:以逗号隔开输入一个或者多个端口; · 扫描时间:添加一个或者多个扫描时间段。 |
|
规则范围 |
规则范围是指以上条件的适用范围。规则范围有是以下两种方式里选择其中一种,且仅可以选择一种: · 全部主机。指的是所以装有Agent的主机。 · 自定义范围。可以选择业务组与自己输入单台主机IP的复合结果。 |
· 编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图4-107 编辑白名单
· 删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。
图4-108 删除白名单
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
全部导出:单击
按钮选择“全部导出”,全部导出一次最多导出5千条日志。
Web后门用于检查Web网站中存在的后门文件,Web后门文件为安全威胁检查中即为重要的一环。扫描分2种,触发式扫描,即点击界面,用户主动触发的扫描; 每日定时扫描,每日定时进行的扫描。支持深度扫描,扫描文件范围更大,支持所有文件类型的扫描。
图4-109 Web后门
开始扫描按钮:即用户主动对单独该项进行扫描。
单击
,对Web后门文件进行操作,包括加入白名单、下载文件、隔离和删除。
图4-110 处理Web后门文件
点击“更多”,有功能设置、隔离/删除列表、深度扫描3个选项。
进入功能设置列表,可以根据需要选择Web后门动态监控功能的开启关闭状态。
图4-111 功能设置列表
单击 “修复历史”,查看Web后门的修复记录。
单击 “白名单规则”,进入到白名单规则页面。
图4-112 查看白名单
· 新建白名单规则
单击“新建白名单规则”按钮进入到新建白名单规则页面。
图4-113 新建白名单规则
表4-4 白名单规则说明
|
规则 |
说明 |
|
规则内容 |
Web后门白名单的规则内容可以由以下两个条件中的任意一条组成,两个条件为关系互斥。 · 文件MD5。设置某些符合条件的文件MD5为正常文件MD5,MD5与之匹配的文件即视为正常文件,条件内容为文件的MD5,由用户手动输入或手动添加白名单操作填入。 · 自定义文件。条件内容可以由以下两个条件中的任一条组成或多个条件以与关系组成。 · 文件目录。设置某些符合条件的文件目录为正常文件目录,该条件目录下的文件或者目录指向的文件即视为正常文件,条件内容为文件目录的正则表达式,由用户手动输入。 · 文件后缀。设置某些符合条件的文件后缀为正常文件后缀,带有该后缀的文件即视为正常文件,条件内容为文件后缀的正则表达式,由用户手动输入。 |
|
规则范围 |
规则范围是用户自定义规则适用的范围,用户可以按照下面三种方式选择。 · 全部主机。所有安装Agent的主机。 · 自定义范围。可以选择业务组,也可以选择多台主机。 |
· 编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图4-114 编辑白名单
· 删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图4-115 删除白名单
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
全部导出:单击
按钮选择“全部导出”。
在线更新KB数据。
单击 “自定义目录”,进入到自定义目录页面。用户可以根据实际情况设置需要额外扫描的目录。
图4-116 自定义目录
· 新建自定义目录
单击“新建自定义目录”按钮进入到新建自定义目录页面。
监控目录可输入多个监控路径,以英文逗号隔开;应用范围从主机列表中选择,也可选择多台主机。
图4-117 新建目录
如果应用范围内存在主机已设置自定义目录,将提示新设置的目录将覆盖主机之前的目录。
图4-118 覆盖目录
· 编辑自定义目录
点击编辑按钮可编辑该条自定义目录的监控目录,应用范围不可编辑。
图4-119 编辑目录
点击确定提示编辑后的目录将覆盖主机之前的目录,点击确定完成编辑。
图4-120 覆盖目录
· 删除自定义目录
点击删除按钮可删除该条自定义目录记录。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图4-121 删除目录
单击“更多”,选择“隔离/删除列表”,查看隔离和删除的记录。
图4-122 隔离和删除列表
Web RCE是黑客写入Web后门后,通过启动Web进程来执行恶意操作的一种手段。Web命令执行通过分析常见的远程命令漏洞利用实例,利用模式识别的方式,实时监控用户进程行为的各项特征,对主机中进程异常的执行行为和执行命令内容进行精确匹配,能有效发现黑客利用漏洞执行命令的行为痕迹,并及时进行告警。告警信息提供整个漏洞利用过程的进程树信息,帮助用户准确分析黑客的入侵路径和目的,功能同时也支持用户自定义规则进行检测,可帮助适应客户多样化的业务流程,精准覆盖各类RCE攻击的监控场景。
图4-123 Web命令执行
具体操作:
查看详情:点击列表内事件记录的“详情”按钮可查看事件的详情;
图4-124 查看详情
加入白名单:点击列表内事件记录的 “加入白名单”按钮,将根据该事件的各项条件自动填入白名单规则中进行加白,生效范围为当前主机。
选择“监控规则”,进入到监控规则页面。监控规则分为两类,一类为自定义规则,由用户自己创建和管理,一类为系统规则,为系统内置的规则,用户可选择对系统规则是否启用。
图4-125 监控规则-自定义规则
图4-126 监控规则-系统规则
同步规则:对规则的修改完成后,需要将更新后的规则内容重新下发同步后才能成功检测(脚本内容类型规则无需下发同步),若存在修改未同步,则界面会显示对应的提示告知用户,点击提示中的“同步规则”同样可以完成同步的下发。
图4-127 同步规则提示
新建监控规则
单击“新建监控规则”按钮进入到新建监控规则页面。
图4-128 新建监控规则
图4-129 白名单规则说明
|
规则 |
说明 |
|
规则名称 |
规则的名称,必填项,由用户自定义输入 |
|
规则内容 |
监控规则按照各层级进程的信息进行条件设置,每级进程可设置条件有以下两个: · 进程名包含:输入匹配进程名的字符串,多个以英文逗号隔开。为了避免过多的误报,要求一级进程中该条件为必填项,后续层级的进程下为非必填; · 进程命令行:输入匹配进程执行命令行的正则表达式,非必填项; 监控规则有两种设置方式:逐级匹配和跨级匹配。 · 逐级匹配:点击“添加进程信息后”选择添加下一级进程操作。按照进程树逐级匹配进程,进程必须都符合连续的规则中的条件,才算命中规则;逐级匹配规则最多设置5级进程。 · 跨级匹配:点击“添加进程信息后”选择添加终点进程操作。按照进程树匹配起点父进程和终点子进程,进程只要存在片段满足首尾进程的条件,即可命中规则。 |
|
规则说明 |
对规则进行说明,由用户自定义输入,说明将展示在告警的详情中 |
编辑规则
对于已经保存的自定义规则,用户可以选择对其进行修改。
图4-130 编辑规则
删除规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图4-131 删除规则
监控管理是用来设置账号管理主机是否开启该功能,支持批量开启和批量关闭的功能。新安装的主机会默认开启监控。
图4-132 监控管理
图4-133 监控管理-批量设置
选择“白名单规则”,进入到白名单规则页面。
图4-134 白名单规则
查看白名单受影响记录
对于已经保存的单条规则,用户可以查看受白名单影响的记录列表。
图4-135 查看受影响记录
新建白名单规则
单击“新建白名单规则”按钮进入到新建白名单规则页面。
图4-136 新建白名单规则
图4-137 白名单规则说明
|
规则 |
说明 |
|
规则内容 |
规则按照各层级进程的信息进行条件设置,每级进程可设置条件有以下两个: 进程名包含:输入匹配进程名的字符串,多个以英文逗号隔开。为了避免过多的误报,要求一级进程中该条件为必填项,后续层级的进程下为非必填; 进程命令行:输入匹配进程执行命令行的正则表达式,非必填项; 白名单规则仅有逐级匹配方式: 逐级匹配:点击“添加进程信息后”选择添加下一级进程操作。按照进程树逐级匹配进程,进程必须都符合连续的规则中的条件,才算命中规则;逐级匹配规则最多设置5级进程。 |
|
规则范围 |
规则范围是指以上条件的适用范围。规则范围有是以下三种方式里选择其中一种,且仅可以选择一种: 全部主机。指的是所有装有Agent的主机; 选择业务组。可以选择业务组; 选择主机:可从列表中选择主机。 |
查看白名单受影响记录
对于已经保存的单条规则,用户可以查看受白名单影响的记录列表。
图4-138 查看受影响记录
编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图4-139 编辑规则
删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图4-140 删除规则
导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。导出方式有以下两种:
手动选择:手动勾选需要导出的行,选择“导出”按钮导出选中的数据;
图4-141 勾选导出
全部导出:单击“全部导出”按钮导出当前范围的全部数据。
图4-142 全部导出
入侵处理记录用于保存并展示入侵中所有处理操作的记录,方便用户进行审核和排查错误。
图4-143 入侵处理记录
记录分为6种类型的记录,其对应情况如下:
网络封停:记录暴力破解和异常登录功能中的封停操作;
网络解封:记录暴力破解和异常登录功能中的解封操作;
文件隔离:记录后门检测和Web后门功能中的隔离操作;
文件删除:记录后门检测和Web后门功能中的删除操作;
文件还原:记录后门检测和Web后门功能中的对隔离后文件的还原操作;
进程阻断:记录反弹Shell和本地提权功能中的进程阻断操作;
导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。导出方式有以下两种:
手动选择:手动勾选需要导出的行,选择“导出”按钮导出选中的数据;
图4-144 勾选导出
全部导出:单击“全部导出”按钮导出当前范围的全部数据。
图4-145 全部导出
病毒查杀为产品中新增的独立杀毒模块,满足等保要求,提供对病毒的检测和处理能力,并能够提供一定的主动防御能力。
图4-146 病毒查杀-主界面
提供对上报告警的病毒事件的查看、分析和处理能力。
图4-147 病毒查杀-告警列表
具体操作:
查看病毒详情:提供对病毒详细信息的查看,包含病毒引擎分析后的检测说明、病毒文件的静态信息以及病毒进程的进程相关信息;
图4-148 告警列表-病毒详情
下载病毒文件:提供对病毒的下载,用户可对想进一步分析的病毒进行下载,病毒文件已上传服务端,故主机上无论是否仍存在该病毒,都可以进行下载,下载的文件为病毒的真实文件,请注意在安全的环境下进行下载;
处理病毒:对病毒提供各项处理能力,处理操作皆支持批量,包含:
支持对病毒进行进程阻断、文件隔离和文件删除,其中隔离和删除成功后的病毒认为已修复,已修复事件将移出告警列表,可在告警列表的修复历史功能中进行查看;
确认为非病毒时可将该事件加入受信任区,加入受信区后,相同的病毒在该主机上将不再进行告警,可在受信区中查看该事件记录;
修复后可将病毒事件标记为已修复,标记为已修复的事件同样将移出告警列表,可在告警列表的修复历史功能中进行查看,其操作人为当时手动操作的账号名。
图4-149 告警列表-处理病毒
重新检测病毒:点击重新检测,将对主机上运行的病毒进程进行全部扫描,并同时验证主机上已被修复的病毒事件。重新检测可选择主机的范围,可选择三种范围:全部主机、业务组和自定义主机;
图4-150 告警列表-重新检测自定义范围
导出病毒信息:支持对病毒信息进行导出,点击界面的“全部导出”按钮和勾选记录后点击“导出”操作都可导出当前已选范围的数据;
查看所有已被记录为修复的病毒事件,修复历史同样支持导出和查看详情。
图4-151 告警列表-修复历史
查看所有已被受信任的病毒事件,受信任的事件支持删除。
图4-152 告警列表-受信区
可管理自动处理的设置和病毒引擎的设置。
可设置全局的自动处理配置,也可针对某些主机进行特殊的设置,特殊设置后的主机配置结果将展示在列表中。
图4-153 设置管理-自动处理设置
具体操作:
全局设置:用于控制全部主机的自动处理,该配置为长期生效的状态,对全部主机持续生效,包含新安装的主机。如果单独设置了某主机上的自动处理操作,则以单独设置的处理为准。
图4-154 设置管理-全局设置
批量设置:用于批量下发主机上的特殊设置,该配置下发为一次生效的机制,设置的对象为下发时刻的主机范围,不持续生效。设置后的结果会展示在列表中,支持对全部主机、业务组和主机三种类型的范围进行下发。
图4-155 设置管理-批量设置
设置:用于修改主机上的特殊设置。
图4-156 设置管理-设置
可设置各病毒引擎的开关状态,方便用户管理杀毒引擎。目前支持小红伞病毒引擎、ClamAV病毒引擎、T-Sec-反病毒引擎和自研病毒引擎。
图4-157 设置管理-杀毒引擎设置
可查看和管理已经处理成功的病毒文件,并支持查看每一次对病毒文件的处理操作记录。
已隔离:查看已隔离成功的病毒文件,可对隔离的文件进行还原和彻底删除;
图4-158 处理中心-已隔离
已删除:查看已删除成功的病毒文件,被删除的文件不可还原;
图4-159 处理中心-已删除
已阻断:查看已阻断成功的病毒文件,阻断后的文件还可以进一步隔离或删除;
图4-160 处理中心-已阻断
可查看所有的处理操作记录,方便用户追溯和确认处理的操作是否正常或者合规。
图4-161 处理中心-处理记录
合规基线首页主要展示用户创建的所有基线检查作业检查结果,并提供新建检查、重新检查、白名单的入口。
图4-162 合规基线
单击“新建检查”按钮,进入新建检查页面
图4-163 新建检查
图4-164 添加主机规则
表4-5 新建检查功能说明
|
功能 |
说明 |
|
检查名称 |
输入基线的检查名称 |
|
检查范围 |
全部主机:主账号可选全部主机,子账号不可选全部主机。(子账号不显示“全部主机”选项)选择业务组:可选择该账号管辖范围内的业务组。选择主机:选择该账号管辖范围内的主机IP,也可手动输入主机IP 【说明】需要先选择检查范围后,才能选择基线规则。选择了检查范围后,将根据所选主机匹配出适用的应用基线,有多少主机缺少账号授权,并提供设置入口。提示例如:您选择的主机中包含20台主机缺少账号授权,点击设置。 |
|
基线规则 |
系统将根据所选主机匹配出适用的基线规则。分为系统基线和应用基线两大类,每类下又细分为CIS和等保基线,基线可多选 【说明】基线选择后,若为数据库类型应用基线,则提示该规则中是否有需要添加账号授权的基线,若有,则提示,例如:该规则中的60个检查项需要账号授权 目前支持的系统基线有:Windows Server 2008 、2008 R2、2012、2012 R2 支持的应用基线有:IIS |
|
定时检查 |
打开定时检查开关,则可以输入定时表达式,且定时表达式为必填。定时表达式为crontab格式,点击“创建并执行”时,需要校验该格式是否正确,校验规则请参考“任务系统=》新建作业中crontab格式”。 鼠标移动到定时表达式后的i,则显示定时表达式的输入说明。 关闭定时检查开关,则不可以输入定时表达式。 |
|
描述 |
输入对该基线的描述。 |
说明:选择基线规则时,可选择的基线规则范围会根据所选择的主机范围而变化。所选主机支持的基线(系统基线、应用基线)才会在选择列表中显示,否则将不显示可用的基线规则(比如:系统基线支持Windows Server 2008,但所选主机未非Windows Server 2008系统主机,则可选列表中不会显示Windows Server 2008的基线规则)
操作步骤:
(1) 先输入检查的名字,便于标记与区分不同的检查名
(2) “检查范围”内选择检查的主机范围,可选择全部主机、按业务组(单个、多个业务组)、按主机(单台、多台主机)选择
(3) 输入描述信息,描述当前检查相关信息
(4) 选择是否定时检查,开启定时检查,需要输入定时表达式
图4-165 表达式说明:
(5) 选择基线规则,基线规则分为“系统基线”、“应用基线”两类,可切换不同的类别,选择单个、多个规则
(6) 新建检查的各项都设置好后,可点击“创建”或“创建并执行”。
· “创建”仅按当前设置创建新的检查,但并不执行;
· “创建并执行” 按当前设置创建新的检查并执行,并返回执行结果。
· 创建的检查执行结果都在基线首页显示,每个检查结果包含:检查名、执行时间;
· 可对检查结果进行的操作:执行、导出结果、编辑、删除;
· 点击检查结果可查看各基线规则成功率,点击基线规则查看检查项及检查结果。
图4-166 检查结果
点击中某条检查结果,会进入各基线规则检测结果页面,点击某条基线规则可查看具体检查结果。检查结果中检查项详细信息包含:检查项名、类别、检查结果。
图4-167 检查项
检查项支持的操作:导出、加入白名单、查看详情
导出可将选中的单个、多个、全部检查项导出为excel文件
查看详情中显示检查项名、检查内容、检查结果、检查说明、修复建议、引用信息
图4-168 检查项详情
· 加入白名单
可选择单个、多个检查项加入到白名单中,加入以后再自行基线检查时,该检查项将会略过不做检查。
图4-169 白名单
单击
按钮,选择“查看白名单”,进入“白名单列表”页面。
图4-170 白名单列表
· 新建白名单
单击“新建规则”按钮,进入新建白名单规则页面
图4-171 新建白名单
选择精确检索可以选择检查项参数
图4-172 检查项
· 编辑白名单列表
对于已经保存的单条规则,用户可以选择对其进行修改。
图4-173 编辑白名单
· 删除白名单列表
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。
图4-174 删除白名单
单击
按钮,选择“更新数据”,更新统计数据。
可以记录所有登录Windows主机的登录信息,可以记录到登录主机的IP地址,用户名和登录区域。展现的信息如下
· 信息内容:时间、主机IP、用户名、来源IP、登录区域
· 可根据时间、业务组、主机IP、用户名、来源IP筛选登录日志记录
· 选择单条、多条、全部登录日志记录可导出为excel文件
图4-175 登录日志
图4-176 导出日志
任务系统是为了满足用户各类功能需求的开放系统,主要满足用户两类需求:
提供安全监测的小工具;
提供最新漏洞的快速检测;
提供预先编辑完成的任务,供用户直接使用。
任务列表展示当前系统中所有任务,包含更新时间、名称、是否置顶、类型。
图4-177 任务列表
任务快速查看
点击任务名称后
图标,可以快速查看任务详情,包含如下信息显示,任务名称,任务介绍,风险提示。
图4-178 快速查看详情
点击任务详情进入,任务详情页可以查看任务的详细介绍,帮助用户了解任务功能。
包含如下信息:
任务介绍
任务参数说明:包含输入参数,输出参数
运行实例:包含输入示例,执行结果示例
基本信息:包含任务ID,上线时间,最后修改时间,类别
风险提示
图4-179 任务详情
点击立即执行操作,可创建快速任务。
立即新建一个快速任务,快速任务创建需经过三个步骤,具体如下:
1.任务配置
2.执行范围
3.执行确认
任务配置
选择快速任务执行的作业,并填写相关输入参数。
图4-180 任务配置
执行范围
选择快速任务执行的主机,可选择全部主机,或指定业务组或主机。
图4-181 确定执行范围
执行确认
填写作业信息,并确认作业数据进行执行。
图4-182 执行确认界面
作业配置说明如下:
执行名称:自动生成名称,用户也可自行修改;
定制执行:选填项,若非定时执行可不填写。
填写完成后,可选择如下操作:
仅执行:仅执行该作业,但不保存;
保存并执行:保存任务并执行;
上一步或下一步:进入上一步或下一步设置步骤,任务在此期间的所有设置全部保留;
取消或返回:如用户存在任何输入,则弹出提示框:确认取消创建该任务吗,确认则离开该页面,进入来源页面。
快速作业列表展示所有由快速任务中创建保存的任务,每个快速作业只可能包含一个任务。快速任务列表包含的信息有:更新时间、执行名、是否定时执行、定时执行表达式、保存参数、输入参数列表详情和最后执行时间。
图4-183 快速作业列表
包括单行操作:
作业任务快速查看:该快速作业对应的任务快速查看,包含如下信息显示,任务名称,任务介绍,风险提示;
执行:立即执行该任务,并跳转到作业执行记录-快速作业;
修改:修改该任务,修改任务的各项执行配置;
删除:弹出提示框,“是否确认删除任务”,点击确认后删除;
最近执行结果:跳转至该任务最近一次执行的结果;
包含系统操作:
批量操作-执行:立即同时执行多个任务;
批量操作-删除:立即批量删除多个任务,弹出提示框,“是否确认删除任务”,点击确认后删除。
图4-184 输入参数详情
图4-185 批量操作
保存所有作业的详细执行结果,用户可以查询所有作业的历史执行信息;
快速作业执行列表
作业列表展示当前系统中所有快速作业执行详情。包含如下信息:
执行时间
执行名
总耗时
执行范围
执行结果
图4-186 快速作业列表
点击重新执行直接立即重新执行该作业。
执行结果
点击查看结果进入执行结果界面,可查看某个作业的详细执行结果。
图4-187 执行结果页面
包含如下信息:
作业名
执行时间
总耗时
执行范围
失败主机信息:可查看每个主机的失败原因;
图4-188 执行失败主机详细信息
输入参数信息:可查看执行作业时,输入的参数信息;
图4-189 输入参数详细信息
作业执行结果:按表格展示详细的结果;
包含如下操作:
导出JSON:按JSON格式导出执行结果;
导出CSV:按CSV格式导出执行结果。
在整个产品功能中,点击”主机IP”后按钮,即可进入”单台主机详情”功能,该功能是主机相关信息的汇总,方便用户对该主机中存在的问题,进行快速排查。
主要包括8个模块:
主机信息:主要展示主机相关的信息,包括:基本信息、业务信息、管理信息;
硬件配置:主要展示主机的硬件配置信息,包括:硬件信息、网卡信息、磁盘信息;
系统账号:主要展示主机中所有的账号列表,资产详情入口 跳转到:账号管理—基本信息查询;
开放端口:主要展示主机中所有的端口列表,资产详情入口 跳转到:进程管理—监听端口查询;
运行进程:主要展示主机中所有的进程列表,资产详情入口 跳转到:进程管理—基本信息查询;
软件应用:主要展示主机中所有的软件应用列表,资产详情入口 跳转到:软件应用—基本信息查询;
Web站点:主要展示主机中所有的账号列表,资产详情入口 跳转到:站点管理—Web站点清点;
更多资产:主要汇总展示主机中 “不重要或不常用”的其它资产,可分为:主机类、业务类,点击跳转到对应页面;
图4-190 主机信息
点击”更新数据”按钮,可重新获取该主机的资产信息。
Agent安装提供详细的安装Agent方法指引,同时该功能随时检测最新安装的Agent主机,用户在安装新Agent后,产品中第一时间得到反馈。
Agent安装说明,用于辅助用户完成Agent的基础安装,包含以下几个内容:
选择系统:需要安装Agent的主机对应的操作系统;
设置主机信息:根据用户实际情况,填写待安装主机的相关信息;
安装引导:指导用户选择合适的安装方式,完成安装过程,并对可能遇到的问题给出解决方法。
系统目前支持的操作系统,主要是Linux和Windows,界面如下图所示。界面会根据用户选择的操作系统,自动列出对应的环境需求。
图5-1 选择环境
安装成功,可在Agent安装界面的安装记录中查到相应主机。
图5-2 安装界面
环境需求
选择Linux操作系统时,环境需求如下图所示:
图5-3 环境需求
支持64位操作系统,主要版本如:
· Oracle:5—7
· RHEL:5、6、7
· CentOS:5、6、7
· Ubuntu:10—16
· SUSE:11、12
· Debian:6、7
· OpenSUSE:10、11、12、13
系统安装Curl程序,且版本不低于7.10;(Curl为下载器)
系统启动Cron定时任务服务
openssl版本不低于0.9.8o
直连主机的防火墙需确保可与服务器通信通信要求
代理连接的主机需连通管理服务器的sock5代理服务
当系统不允许使用Crontab任务时,系统常见问题中给出了解决方法,见下图所示:
图5-4 解决方法
设置主机信息
选择主机连接方式,包括:直连主机、代理连接;
选择主机所在业务组;
图5-5 直连主机
图5-6 代理连接
安装引导
Linux系统仅支持命令安装,见下图所示。点击生成命令,将命令输入到cmd中以管理员身份运行。
图5-7 安装引导
安装记录
安装成功,可在安装记录中查到相应主机。
图5-8 安装记录
环境需求
操作系统选择Windows时,环境需求见下图所示:
图5-9 环境需求
支持64位操作系统,版本包括:
· Windows Server 2008
· Windows Server 2012
· Windows Server 2016
· Windows Server 2019
· Windows Vista
· Windows 7
· Windows 8
· Windows 10
直连主机的防火墙需确保可与服务器通信通信要求
直连主机通过"命令安装"时,需使用PowerShell组件
代理连接的主机确保能连通管理服务器的sock5代理服务
当无法为SSL/TLS安全通道建立信任关系时,系统常见问题时给出了解决方法,见下图所示。
图5-10 解决方法
设置主机信息
选择主机连接方式,包括:直连主机、代理连接;
选择主机所在业务组;
图5-11 直连主机
图5-12 代理连接
安装引导
Windows支持三种安装方式:命令安装、安装包安装、命令+安装包安装。
命令安装:
——适用于批量安装(需支持PowerShell组件)
需传入主机所属"业务组ID",和Agent安装到的目录位置(默认为:C:\Program Files\TitanAgent),才可生成安装命令;生成命令后,在cmd中以管理员权限运行命令,即可安装Agent;
图5-13 命令安装
安装包安装:
——适用于单台安装,用户可使用操作界面安装
需下载安装包,按照安装流程操作,将传入主机所属"业务组ID"生成的参数,填入安装程序所需的"安装参数",点击"安装",即可安装Agent;
图5-14 安装包安装
安装包+命令:
——适用于批量安装,安装包分发到各主机,批量执行命令
需下载安装包,传入主机所属"业务组ID",和安装包所在位置、Agent安装到的目录位置(默认为:C:\Program Files\TitanAgent),才可生成安装命令;生成命令后,在cmd中以管理员权限运行命令,即可安装Agent;
图5-15 安装包+命令
安装记录
安装成功,可在安装记录中查到相应主机。
图5-16 安装记录
本页面主要用来管理安装Agent的主机,包括新建、编辑、删除业务组;修改主机的业务组划分;修改主机信息;添加主机;添加、编辑、删除主机标签;主机信息同步;导出主机信息。
图5-17 管理信息设置
· 新建业务组
通过单击
按钮,可添加业务组。
图5-18 新建业务组
图5-19 业务组操作
选择已有业务组,可以添加子业务组,修改业务组,删除业务组。
· 主机标签设置
图5-20 主机标签设置
可以新建,编辑,删除标签。
· 修改移动按钮
单击“修改”进入修改主机信息页面
图5-21 修改主机信息
单击移动按钮移动所选主机到所选业务组。
图5-22 移动主机
· 添加主机
点击“添加主机”,在当前业务组中添加主机。
图5-23 添加主机
图5-24 选择添加的主机
· 主机信息同步
主机信息同步可以根据主机名或主机IP,批量同步主机信息,使用excel模板文件,填写主机信息。
点击“主机信息同步”,点击模板下载链接“主机信息同步Excel模板.xls”。
图5-25 主机信息同步
图5-26 下载主机信息同步模板
可以根据主机名或主机IP进行信息同步。填写模板文件,确保主机名或主机IP存在。
图5-27 填写模板文件
填写完成后,点击“主机信息同步”->“我知道了,开始导入”,选择按主机名同步,点击“下一步”。
图5-28 按主机名同步
点击“上传文件”,选择已经填写的模板文件,点击“导入”。
图5-29 导入主机同步信息文件
图5-30 导入成功提示
· 导出主机信息
导出主机信息可以导出当前业务组的主机信息,点击“全部导出”,即开始下载主机信息文件。
图5-31 全部导出主机信息
通过设置主机规则,可以批量设置各类主机信息,包括移动业务组、设置主机标签(规则设置仅能对主机进行添加标签设置)、编辑运维信息等。
在首页点击 “规则设置”,进入主机规则列表。
图5-32 规则列表
· 执行规则
点击执行规则,将依次执行当前列表中的所有规则。
· 新建规则
点击新建规则,将进入“新建规则”界面:
图5-33 新建规则
· 条件列表:主机名中包含、主机IP在以下范围内。只有同时满足所有输入的条件时,才会执行所选操作。
· 执行操作:移动到业务组、标记标签、标记资产等级、修改主机负责人、修改主机负责人的邮箱、修改主机所在机房、修改主机的备注。
· 主机范围:全部主机、业务组。
· 描述:规则描述。
该功能使用户可以根据自己主机的网卡情况,自定义设置在界面列表中显示的IP信息。
图5-34 IP显示列表
· 新建规则
定义IP段的IP地址为优先显示的主机IP
图5-35 新建规则
· 编辑、删除规则
单击“编辑”“删除”按钮可以对已有规则进行修改或删除。
图5-36 编辑/删除规则
在全局设置中增加"IP通用设置",用户可根据自己需求,对产品中有特定作用和含义的IP或者IP段,设置为IP组进行统一管理;
包括:
· 自定义内网IP组:可自定义设置某些"IP或IP段"为内网,则在产品使用中,属于该IP组的IP会显示为内网IP;
· 安全外网IP组:可自定义设置某些"IP或IP段"为安全外网;
· 自定义IP组:用户可以自定义IP组,以结合自身需求灵活使用;
图5-37 IP组管理
主机采集配置用于配置在每台主机上是否允许开启某些日志
图5-38 采集配置界面
单台配置:用户可以按单台配置每一个主机开启或关闭哪些日志
图5-39 单台配置
选择配置:用户可以选择一些主机,一并配置每一个主机开启或关闭哪些日志
图5-40 选择配置
批量配置:用户直接选择一个范围的主机,一并配置每一个主机开启或关闭哪些日志。
图5-41 批量配置
在用户的IT运维环境中会在一部分主机上部署服务器安全监测系统的Agent,用户就需要能够知道还有哪些主机没有部署Agent(一方面是用户很多时候都不知道在自己的网络环境中有多少主机,另一方面用户也会有一些主机新上线)。主机发现这个功能就是在用户网络环境内通过已经安装了Agent的主机发现未安装agent的主机,帮用户更全面的了解其网络环境内的主机资源,其主要场景如下:
· 发现未安装agent的主机
· 管理/标记发现的主机
· 自动化的批量部署agent
· 定期得到主机的变化通知
在安装了agent主机的主机上,通过定期的主动探测,发现网络内还存在的未安装Agent的主机。为了能够更加精准的发现网络内其它的主机,同时还能兼顾在用户网络环境内不会消耗过多资源,用户需要根据每种发现方法不同属性和自身网络环境情况进行设置。主要有以下三种发现方法:
· ARP缓存发现:Address Resolution Protecol(ARP)缓存是用来存放最近Internet地址到硬件地址之间的映射记录。通过在安装了agent的主机上查找ARP缓存表内存储IP信息来获取和这台主机连接过的主机。方法特殊设置:N/A
· Ping发现,Ping发现是通过发送ping包的方式来发现新主机,支持系统:Linux,Windows(TBD),方法特殊设置:设置扫描的IP段
· Nmap发现
展示所有发现的网络环境中,未安装Agent的主机资产。
图5-42 扫描结果列表
点击右上角“忽略主机列表”进入忽略主机界面。
图5-43 忽略主机列表
图5-44 忽略主机列表-批量操作
· 新建扫描
通用功能-主机发现-设置扫描任务-新建扫描,新建扫描功能可以让用户根据其需求配置一个扫描任务。扫描任务的配置包括基本设置和高级扫描设置。
图5-45 新建扫描
表5-1 扫描项说明
|
项目 |
描述 |
|
基本设置 |
1. 扫描任务名(必填,不可重复) 扫描任务名是由用户自定义的一个扫描任务的名字,该项目必填不可为空,且任务名是不可重复的。 2. 扫描发起主机(必填) 扫描发起主机是由用户选择由已经安装agent的主机来发起扫描任务,可以选择的对象包括全部主机、某个业务组的机群或是用户自定义组。 发起主机的选项包括: · 全部主机 · 业务组 · 自定义主机 对于发起主机的选择至少需要选择一个,支持多选。 在业务组界面和自定义主机界面可以展示该业务组或者某个主机已经参与的任务,并给出提示,告诉用户主机任务越多,对于性能的开销越大。 3. 定时扫描(选填) 用户可以对扫描的操作时间可以进行定时扫描,如果不进行设置则会采用默认设置。 · 默认设置 用户如果不进行设置,则采用默认设置,即扫描任务只会被执行一次。 · 手动填写 用户选择对扫描任务进行定时运行设置,即当本次扫描完成以后,间隔规定的时间后会开始一次新的扫描。 扫描时间的填写规则说明如下:
由于扫描时间使用的是crontab格式,界面上应该即时对其格式进行校验和显示,如果格式正确则显示器所对应的内容,如果不正确则给出格式错误的提示。 4. 操作系统发现(选填) 用户可以选择在扫描任务是否需要发现非托管设备的操作系统。 · 默认选择 扫描任务默认是不发现非托管设备的操作系统。 · 设置发现 设置发现以后,扫描任务会去发现非托管设备的操作系统,但是需要注明这样会使得扫描任务消耗的资源增加。 5. 扫描网段 扫描网段用来让用户选择设置在Ping扫描和Nmap扫描下需要扫描的网段,用户可以选择使用默认设置或者手动设置。 · 默认设置 在默认设置下,则负责进行扫描任务的主机去Scan其设备所在的网段,需要用文字在界面上进行说明。 · 手动设置 用户手动设置被扫描的网段。在该情况下,则至少需要设置一个网段,也可以添加多个不同的网段。如果是多个网段,需要注意容错处理(比如网段之间的重复、IP地址是否合法等)。 |
|
高级设置 |
高级扫描设置用来设置用户扫描的方法。扫描方法有ARP缓存方式扫描、Ping方式扫描和Nmap方式扫描三种方法,用户至少需要选择其中的一种扫描方法,扫描方法支持多选。需要在界面注明所选的方法越多,对于机器性能的开销越大。 其中,Nmap方式扫描需要一定的设置,说明如下。 · Nmap方式扫描 Nmap方式扫描需要分别设置扫描网段、扫描协议和扫描端口。每个设置都有提供默认设置和手动设置。 扫描协议 ¡ 默认设置 在默认设置下,则采用TCP协议进行扫描。需要用文字在界面上进行说明。 ¡ 手动设置 用户可以选择对扫描协议进行手动设置,包括只用UDP、只用TCP和都用。需要做的容错是用户不可以一个协议都不选择。 · 端口设置 ¡ 默认设置 默认设置下,会扫描本系统提供的一些端口。 ¡ 手动设置 如果用户选择使用手动配置,则用户至少需要填写一个端口,并且要对端口进行一些判定,看端口是否合法。 |
|
更多高级设置 |
更多高级设置提供了对于以下三种变量的手动设置功能,用户如果不选择手动设置,则使用系统的默认设置。 · 最大并发扫描数量 · 每秒最大包数 · 服务器下发任务的间隔(可以精确到小数点后一位,需要设置上限,以秒为单位) |
· 立即运行扫描
立即运行扫描是指的立刻开始某个扫描任务,而不是等待其到相应的时间再开始任务。
图5-46 运行扫描
· 删除扫描
删除扫描功能,会删除当前扫描任务。前提:
¡ 普通列表项目不可以删除正在进行的任务。
¡ 删除任务不会删除其扫描任务所搜索出来的结果
图5-47 删除扫描任务
· 修改扫描
修改扫描,可以让用户重新配置这个扫描的一些配置选项。 关于保存配置和新建扫描是一致的。
前提:
¡ 不可以修改正在进行的扫描任务
¡ 修改扫描配置不会删除其扫描任务所搜索出来的结果。
图5-48 修改扫描任务
· 更新数据依赖
图5-49 更新数据依赖
报表系统主要是用来导出安全巡检或者基线检查结果,方便用户了解服务器的安全检查结果,导出的结果为word文档或者html页面的形式。
单击“创建报表”按钮,进入创建报表页面
图5-50 创建报表
操作步骤:
(1) 选择报表模板
当前可以导出安全巡检和合规基线两种报表,其中安全巡检有Word和HTML两种格式的模板,合规基线仅有HTML格式
图5-51 报表模板
(2) 选择报表范围
(a)安全巡检报表-Word文档
报表版本:仅能查看概览版的安全巡检信息
功能范围:限定导出的是agent管理、风险发现和入侵检测的巡检结果
统计时间:可选择最近七天、最近一月、自定义三种范围的统计时间
主机范围:限定主机范围为全部主机
图5-52 报表范围
(b)安全巡检报表-HTML文档
报表版本:可选择概览版或者详细版的巡检报表
功能范围:限定导出的是agent管理、风险发现和入侵检测的巡检结果
统计时间:可选择最近七天、最近一月、自定义三种范围的统计时间
主机范围:限定主机范围为全部主机
图5-53 报表范围
(c)合规基线报表
基线检查:可以选择合规基线中创建的基线模板
基线规则:可以选择全部规则或者基线模板中的某些规则
图5-54 报表范围
(3) 填写报表信息
填写报表名称和描述信息,选择是否定时检查,开启定时检查,需要输入定时表达式
图5-55 报表信息
(4) 创建报表任务
完成报表任务创建,可以选择立刻执行或者返回首页
图5-56 报表创建
在报表系统首页可对创建的报表进行管理,能选择执行、下载报表、修改、删除、查看执行记录等操作
图5-57 报表管理
说明:下载报表操作需要在至少执行一次报表任务后才能进行。
管理可以登录前台页面的账号,看到账号名,账号创建时间,账号状态等基本信息。可以通过条件筛选已经存在的用户账号;新建账号;编辑修改已有账号;删除账号。
图5-58 子账号管理
角色:有默认角色和自定义角色两大类,用户可以通过角色来筛选显示账号。
· 默认角色:超级管理员、普通用户、审计员、只读普通用户4种,且不可删除和编辑。
· 自定义角色:可根据需要新建自定义角色
账号状态:账号状态有禁止登录、允许登录、停用三种状态。
· 禁止登录:账号不允许登录,但产品功能仍在运行,无法登录查看结果或执行操作。若公司账号被禁止登录,则其子账号也被禁止登录。
· 允许登录:指账号可以正常登录并使用产品功能。
· 停用:账号无法登录。
图5-59 账号状态
账号名:用户用于登录的字段,其全局唯一。使用主账号/子账号形式登录。
图5-60 账号名
姓名:一般为账号拥有者的姓名,可以包含中英文、数字或字符。
图5-61 新建账号
新建账号时需要输入以下必选信息:
· 子账号名:用户登录的账号
· 初始密码:创建者自己设定初始密码。
· 选择是否启用LDAP认证:使用LDAP认证账号身份,开启后需使用LDAP的密码登录
· 姓名:建议为创建者真实姓名。
· 邮件:用户的联系邮箱,之后用户可以接收邮件通知
· 手机号:建议为创建者真实手机号。
建立子账号后,登录账号以“主账号名称/子账号名称”形式,密码为子账号密码密码方式登录。如admin@h3c.ssms账号中建立子账号test1,密码为1qaz@WSX,则其账号名admin@h3c.ssms/test1,密码为1qaz@WSX登录。
图5-62 子账号登录
查看与账号相关信息,包括账号名称,创建时间,账号状态LDAP认证,所属用户组,账号角色,业务组,最近登录时间等。
图5-63 子账号详情
点击“修改”,即可修改当前选定账号信息。
拥有账号管理权限的用户的账号的基本信息,例如: 姓名、邮箱、手机号、部门、职位、公司名称、公司地址、备注,在这里可以输入、修改这些信息。
图5-64 修改账号
图5-65 修改子账号
点击“重置密码”,即可修改子账号密码。
图5-66 修改密码
超级管理员或账号管理员可以修改账号的密码,密码规则见下。
建议用户不定期修改密码(如至少90天修改一次),密码要求如下:
· 长度为8-20位
· 只能包含大小写字母、数字、符号(不能包含空格)
· 至少包括大小写字母、数字、符号4种里的2种
密码强度规则如下:
· 强:8-20位,包括大小写、数字、符号4种;或11-20位,包括4种里的3种
· 中:8-10位,包括4种里的3种;或11-20位,包括4种里的2种
· 弱:8-20位,包括4种里的1种;或小于8位,无论包括几种
图5-67 所属用户组
图5-68 新增用户组
图5-69 删除用户组
图5-70 角色设置
账号管理员可以将账号设置为超级管理员账号或者普通用户账号或者其它自定义账号。
图5-71 管理业务组
账号管理员给账号分配自己管理范围内的业务组,勾选成功后单击“同步设置”即可完成同步。
图5-72 访问控制
访问控制用于限制登录IP,用户可设置该账号哪些主机IP可进行登录,可选择启用/禁用,未启用时不限制登录的IP,设置完后需点击“保存”才能保存当前设置。
用户账号不能删除操作者本身的账号,删除账号时需要输入操作者的登录密码进行验证。
图5-73 删除账号
需要验证密码才可删除。
图5-74 密码验证
用户组概念类似于Linux中的用户和用户组概念,账号管理员可以给账号添加其所属的用户组。一个账号可以属于多个用户组。
图5-75 用户组管理
单击“新建用户组”按钮,进入到新建用户组页面,输入用户组名称和备注两项,然后单击“确定”按钮,即可新建一用户组。
图5-76 新建用户组
单击“详情”,进入用户组详情页面,可以查看用户、创建用户组的时间、组成员等信息。
点击“修改”,进入用户组编辑界面。
图5-77 修改用户信息
· 成员管理
可以管理用户组中的成员账号,添加、查看、删除用户组中的成员。
图5-78 成员管理
· 添加用户
勾选对应账号后的复选框,点击“确定”即可把勾选的账号添加到当前用户组下。
图5-79 添加用户
· 删除
将对应账号从当前用户组中删除。
图5-80 删除
· 角色设置
为当前用户组下的账号添加或者删除角色。
图5-81 角色设置
· 添加角色
单击“添加角色”按钮,进入添加角色页面,勾选要添加的角色点击确定。
图5-82 添加角色
· 删除
单击删除按钮即可删除已经创建的角色。
图5-83 删除
· 管理业务组
可以给已有的用户组管理不同业务组的权限。勾选复选框后单击“同步设置”即可完成同步。
图5-84 管理业务组
单击删除按钮即可删除对应的用户组。
图5-85 删除用户组
· 角色:有默认角色和自定义角色两大类,用户可以通过角色来筛选显示账号。
· 默认角色:超级管理员、普通用户、审计员、只读普通用户4种,且不可删除和编辑。
· 自定义角色:可根据需要新建自定义角色
图5-86 角色管理
单击新建角色按钮进入新建角色页面。
图5-87 新建角色
点击“详情”进入角色详情页面。
图5-88 角色详情
单击修改按钮即可修改现有角色。
图5-89 修改信息
· 分配权限
查看修改当前角色拥有什么模块的权限
图5-90 权限信息
· 添加授权
单击“添加”按钮进入到添加授权页面,可以通过勾选复选框为当前角色添加对应权限。单击“确定按钮可保存退出。
图5-91 添加授权
· 关联角色
图5-92 关联角色
· 管理业务组
图5-93 管理业务组
单击右侧“删除”按钮,可删除对应的角色。
图5-94 删除角色
Agent管理
Agent管理主要用来管理和Agent的运行状态,包括:
· 主机基本信息:主机IP,主机名,主机状态,业务组,备注,标签
· Agent相关信息:通信状态、是否频繁掉线,运行级别,日志级别,Agent ID、Agent版本,Bash版本,最后在线时间,Agent安装时间,最后下线时间。
图5-95 Agent管理
在排查问题的过程中,可设置Agent运行级别,下载日志和运行报告。
设置运行级别:
· 正常:Agent拥有完整能力,执行服务器的任务。
· 降级:是一种保护模式,Agent不再接受服务器下发的任务,直至恢复为非"降级"状态。
· 停用:停止Agent业务功能,只保留基本通信能力和任务执行能力(如:卸载,恢复在线)。
图5-96 设置运行级别
图5-97 下载日志
· 下载运行报告
下载Agent运行情况的报告。
· 重启Agent
重新启动Agent,不改变原"主机状态"和"运行级别"。
· 删除Agent
彻底清除产品中该Agent所有数据信息,显示为"清除数据中",清除完成后 触发统计更新(详见下文);并下发"Agent卸载"命令,释放"AgentID"。
· 立即更新
更新Agent信息。
系统审计用于记录用户在使用本产品时产生的操作,用户可在系统审计功能中查看自己历史的操作详情,方便快速地追溯失败操作和误操作的原因。
图5-98 审计列表主界面
图5-99 查看详情
全部导出:单击“全部导出”按钮,导出当前范围内的全部操作记录。
通知系统即消息中心,为整个系统中各类消息汇聚的位置,其主要涉及以下三方面内容:
· 解决安全系统的资产,风险,威胁功能的消息通知问题
· 提供便捷的信息发布平台,可以使用该系统(或系统提供的发送能力)发送任何消息
· 通知系统提供问题的通知,但不提供问题的处理
提供站内信,邮件,短信三种通知方式,可以由用户自行配置接收人。其中,短信通知方式需要根据短信网关等不同专门定制。
右上角
按钮,点击“查看更多”
图5-100 消息通知
进入到通知系统,选择“消息接收配置”。
图5-101 消息接收配置
图5-102 接收人管理
进入到接收人定义页面,选择“新增接收人”,输入要添加的接收人名称,邮箱和手机号码,点击确定按钮。
图5-103 新增接收人
可以根据需要对不同的事件配置不同的接收人。
图5-104 接收人配置
初次登录时强制要求用户修改密码,以保障用户信息安全,该功能默认开启。
使用默认密码登录后,会弹出密码修改界面,修改密码需满足复杂度要求,且无法改回默认密码。
图5-105 强制改密
· 修改成功
修改成功后,自动跳转到登录界面。
图5-106 修改成功
· 关闭强制改密
(1) 在/data/app/titan-config/java.json文件 中,将default_passwd_update参数修改为false(默认为true)
(2) 重启服务 /data/app/titan-wisteria/init.d/wisteria restart
图5-107 配置文件
在授权即将过期时,页面会显示过期提醒,提醒用户授权即将过期,需尽快购买和安装授权,以免影响业务。
· 当产品有效期<=15天时,顶部右上角菜单栏会显示过期提醒。
图5-108 顶部菜单栏提醒
· 当0<=产品有效期<=7 天时,登录后会有弹框提示,当勾选“不在提示”时,则登录后不再弹框。
图5-109 弹窗提示
支持
售前咨询
售后咨询
人工在线咨询
