- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecCenter ESM-CWPP终端安全管理系统
Web配置指导
Copyright ©2025新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
为了方便管理员对新华三技术有限公司(以下简称H3C)的ESM-CWPP终端安全管理系统(以下简称ESM-CWPP)产品进行配置操作及维护。本文将从用户体系、主机安全、容器安全、微隔离和RASP防护几个模块介绍ESM-CWPP终端安全管理系统的Web功能配置。
ESM-CWPP终端安全管理系统用户包含后台管理员及前台用户两大类,后台管理员分为超级管理员、系统管理员、审计员三个角色;前台用户分为一级租户及一级租户创建的二级租户。
系统管理员及审计员由超级管理员创建,系统管理员可管理机构和管理前台用户等,审计员仅可对系统(包含前后台)的操作记录、登录记录做查阅审计。
一级租户由系统管理或超级管理员在后台创建,二级租户(子账号)由一级租户在前台创建。一级租户与二级租户在前台对主机进行安全管理。
用户图
一级租户与二级租户(子账号)在前台登录;超级管理员、系统管理员及审计员在后台登录。
默认前台登录账户:cloud/CWPP@2020top1
租户管理位于后台管理系统(后台登录=》用户管理=》租户管理),租户管理创建的租户为一级租户,创建一级租户时需设置用户名、密码、角色,为其指定所属机构;已创建的租户可以进行一级租户账号信息的编辑修改或删除一级租户账号。
一级租户创建时可选多个角色;一级租户与机构一一对应,即一个机构下仅有一个一级租户。
一级租户可在前台进行主机安装部署、主机分配、子账号管理、主机安全管理等。
注:机构内的产品到期时间只是作为警示提示,实际以授权到期时间为准。
后台角色管理位于后台管理系统(后台登录=》用户管理=》角色管理),后台角色管理可创建一级租户的角色,创建时需输入角色名称设置角色权限;已创建的角色可进行编辑修改或删除。
管理员管理位于后台管理系统(后台登录=》用户管理=》管理员管理),前台超级用户管理可创建前台超级用户有:系统管理员和审计员。超级管理员拥有后台所有权限,系统管理员拥有后台除管理员管理外的所有权限,审计员仅拥有操作日志及登录日志查阅审计的权限。
前台超级用户管理位于后台管理系统(后台登录=》用户管理=》前台超级用户管理),前台超级用户管理可创建系统前台超级管理用户,支持创建前台超级审计用户和前台超级管理用户;已创建的用户可进行编辑、修改或删除。
子账号管理位于前台用户中心(前台登录=》用户中心=》子账号管理),一级租户可创建二级租户(子账号),二级租户可创建三级租户,以此类推。上级账号可为其下级账号指定管理的主机范围、角色权限范围等。
角色管理位于前台用户中心(前台登录=》用户中心=》角色管理),支持新建、编辑、删除、启用禁用角色。支持分配用户组和分配菜单权限。
用户组管理位于前台用户中心(前台登录=》用户中心=》用户组管理),支持新建、编辑、删除用户组。支持分配子账号、角色和分配主机权限。
机构管理位于管理后台(后台登录=》机构管理),机构管理可创建机构,创建机构时需为机构指定用户配额、服务器配额、到期时间等。创建后可对机构进行编辑修改但无法删除机构,机构支持禁用启用,禁用机构后则该机构下的所有用户无法登录使用ESM-CWPP主机安全。
机构仅拥有一个一级租户,即一级租户与机构一一对应,机构下可拥有多个二级租户。机构下可拥有多个部门,部门由一级租户在前台用户中心进行创建管理。
升级中心包括主机列表、Agent升级、通用升级、平台升级中心四个模块。
主机列表支持主机的客户端版本号、规则库版本号、系统漏洞库版本号、应急漏洞库版本号、内存后门版本号、安天病毒库版本号、插件版本号信息并展示;
客户端升级,客户端升级支持本地手动更新、手动联网更新及自动联网更新,支持配置策略对指定客户端版本、指定机构的主机进行升级(灰度升级)。
通用升级,升级规则库、病毒库、漏洞知识库和情报库,支持本地手动更新、手动联网更新及自动联网更新,部分规则库支持手动全网下发、自动全网下发。支持配置策略对指定版本、指定机构的主机进行升级(灰度升级)。系统自带预设规则库。
主机绑定位于前台页面(前台登录=》系统管理中心=》安装部署=》主机绑定),主机绑定模块提供Windows及Linux两种类型的Agent的安装部署。
批量部署位于前台页面(前台登录=》系统管理中心=》安装部署=》批量部署),批量部署支持导入主机安装部署信息批量安装,支持自动扫描发现未安装Agent主机。
Agent管理位于前台页面(前台登录=》系统管理中心=》安装部署=》Agent管理),Agent管理支持对Agent进行启用、停用、卸载、重启。此模块仅一级租户可以使用,二级租户及其他下级租户无权限。
主机发现模块,位于前台通用模块,用于扫描发现可能存在的主机,主机发现模块支持以下功能:
1. 支持多扫描类型包括:ARP扫描、Ping扫描、NMAP扫描;
2. 扫描发现的主机支持识别具体的操作系统;
3. 支持主机发现任务创建,任务内容包括:
a) 支持设置任务名称;
b) 支持设置指定主机发现发起的种子机器;
c) 支持可选是否获取操作系统类型;
d) 支持扫描网段设置;
e) 支持扫描方式选择及扫描参数设置;
4. 支持对历史扫描任务进行展示及重复执行;
5. 支持扫描结果展示及导出;
主机主显示IP设置模块,位于前台通用模块。主机主显示IP设置模块支持以下功能:
支持按IP进行主显示IP设置,例如:用户主机上三个网卡,IP 分别为 192.168.11.11、10.111.12.120、172.16.10.11,默认 IP 为 172.16.10.11,若希望显示 IP 为 10.111.12.120,可设置 10.1.1.1 - 11.1.1.1,那么这台主机会将 10.111.12.120 作为主机 IP 进行展示。
支持按网卡进行主显示IP设置,支持严格匹配和模糊匹配两种模式:
严格匹配示例:用户的一批主机都是使用 virbr 或者 enp2 的网卡进行对外连接的,用户希望使用这个网卡的 IP 作为主机 IP 显示。可以设置严格匹配模式,并设置网卡名为 virbr, enp2,如果匹配到网卡名 virbr 的 IP 作为主机 IP,如果没有 virbr 则匹配到网卡名为 enp2 的 IP 作为主机 IP。
模糊匹配示例:用户的一批主机都是使用 bond0 或者 bond1 的网卡进行对外连接,用户希望使用这样网卡的 IP 作为主机 IP 显示。可以设置模糊匹配模式,并设置网卡名为 bond,这样网卡名中含有 bond 的 IP 就会作为主机 IP。
主机基础管理位于管理后台(管理后台=》主机管理=》主机基础管理)。支持当前AgentCPU使用率及当前Agent内存使用率查看;支持主机基础防护版本与高级防护版本的切换,切换后的主机将在前台安全防护中显示不同的防护功能;支持调试日志采集下载等功能。
主机性能管理位于管理后台(管理后台=》主机管理=》主机性能管理)。支持已安装Agent主机的超限信息展示;支持主机性能自适应限制设置,当主机CPU使用率超过所设置的阈值时将采取自动降级措施,使Agent CPU限制在一定范围内;支持Agent CPU使用率限制功能,可将Agent CPU使用率持续限制在安全范围;通过主机性能管理模块能够有效的调节主机CPU使用情况,保障主机上运行的业务的稳定性。
主机证书管理位于管理后台(管理后台=》主机管理=》主机证书管理)。支持证书替换实现跨主机迁移,在不重装客户端的前提下实现客户端迁移;支持通过主机分组、搜索主机IP进行主机过滤;支持批量变更机构;支持变更记录查询,可通过原所属机构、变更后所属机构、变更状态、变更时间进行过滤;支持展示已冻结、已解冻的主机信息,已冻结主机可进行批量解冻。
主机日志管理位于管理后台(管理后台=》主机管理=》主机日志管理),可采集主机日志信息,支持设置系统日志采集设置、web日志采集设置、日志推送地址设置;日志采集前需设置日志推送地址。
主机异常管理位于管理后台(管理后台=》主机管理=》主机异常管理),采集展示主机异常信息。
支持主机离线管理功能(前台通用模块=》主机信息设置),支持对离线主机设置自动删除及设置是否展示,支持对删除的主机记录进行查看。
ESM-CWPP主机安全的组成有概况、资产管理、安全体检、安全监控、漏洞风险、入侵威胁、合规基线、威胁情报等多个功能模块,各个模块进行联动,模块间数据联通,形成闭环系统,为企业提供强有力的采集、检测、监测、防御、捕获能力,对主机进行全方位的安全防护。
工作台页用以显示ESM-CWPP主机安全基本概况,统计系统主机、入侵事件、漏洞、资产信息;展示资产管理、漏洞风险、入侵威胁、安全监控基本数据信息及数据图表,同时支持以下功能:
支持通过主机信息、时间信息过滤图表;
支持点击一键跳转具体页面位置;
支持保存搜索条件;
支持自定义工作台,可做到切换位置、屏蔽展示切换;
支持一键更新统计。
资产管理功能定期获取并记录主机上的端口、Web站点、Web中间件、数据库、第三方组件、账号(含域账号)、进程、软件应用、Web应用、Web应用框架、安装包、jar包、计划任务、环境变量、内核模块、windows证书、敏感注册表、服务等信息,进行统一的管理和清点。
通过资产管理功能可实时掌握IT系统内部的资产情况,支持资产搜索,可根据资产所属类目进行搜索或通过输入资产或主机关键词进行搜索;支持资产变更分析对各类资产的变动情况进行记录,便于审计历史变动,自主发现异常资产行为;支持主机分组及各类资产信息标签添加;支持资产采集频率设置;支持资产信息导出;支持主机及对应资产双维度查看。
资产搜索可以通过点击资产所属类目下的相关资产进行资产信息查询;支持一键搜索,通过输入资产或主机关键词进行快速查询主机资产;支持主机视图、资产视图双维度查看。
资产变更分析可以对主机的各类资产信息的变更情况做分析,支持主机数量变更分析,统计主机总数、当前在线主机数、本周新增主机数;支持统计指定时间范围内各资产数量变更分析,点击资产名称可查看相应资产数量走势,支持查看不同的分析时段;资产变更分析支持导出报表。
ESM-CWPP主机安全可自动探测业务系统中存在的主机,可采集已经安装轻代理中的各类信息,可采集到的主机信息有主机内外网IP、主机名、操作系统、系统内核、业务角色、安装时间等信息;支持主机分组管理、资产价值设定;支持通过主机分组、体检分数、主机状态、操作系统、业务角色、资产价值、安装时间等过滤筛选;支持资产采集设置,可自主选择资产采集项与采集频率。
主机详情信息包括主机基本信息、硬件信息、资产信息、漏洞风险、防护设置开启情况、合规基线;页面支持一键导出主机信息和资产信息;支持返回上一页;支持刷新数据。
ESM-CWPP主机安全可探测主机上对内端口及对外端口,可采集端口对应的服务及端口协议信息,支持通过内外端口、端口协议、常用端口进行过滤筛选。
若有入侵检测及防护模块授权,对端口的操作还支持设置端口访问规则
ESM-CWPP主机安全可探测主机上的网站信息,可采集网站域名、网站安装路径、网站运行状态、运行用户、端口、配置路径、运行参数等站点详细信息。支持通过危险设置与服务类型进行站点信息过滤筛选;支持站点标题和配置域名的信息设置。
ESM-CWPP主机安全可探测主机上的Web中间件信息,可采集Web中间件的版本、安装路径、监听地址及端口、端口协议类型、运行权限、配置文件路径、日志文件路径、错误日志文件路径、插件路径、数据路径、进程二进制路径、启动参数、插件等信息;支持Web中间件有Apache、IIS、JBoss、Nginx、Tomcat、Weblogic等。
ESM-CWPP主机安全可探测主机上的数据库信息,可采集数据库的版本、安装路径、监听地址及端口、端口协议类型、运行权限、配置文件路径、日志文件路径、错误日志文件路径、插件路径、数据路径、进程二进制路径、启动参数等。
ESM-CWPP主机安全可探测主机上的第三方组件信息,可采集第三方组件的版本、安装路径、相关网站等信息;支持的第三方组件有CKEditor、DedeCMS、Discuz、PHP、PHPMyAdmin、Struts2、WordPress、Zabbix等。
ESM-CWPP主机安全可探测主机上的账号信息,可采集账号的用户名、是否Root权限、Shell、状态、上次登录时间、用户ID、所属用户组等信息;支持业务账号设置;支持通过账号类型、账号诊断、账号异常、密码异常、用户组、登录方式进行过滤筛选;支持采集域控服务器账号信息。
进入主机详情,可以设置业务账号
ESM-CWPP主机安全可探测主机上的进程信息,可采集进程的路径、版本、hash值、签名信息等;支持进程白名单设置、业务进程设置等;可通过运行状态、进程标签、进程权限、是否系统进程、是否自启动、是否包管理安装、是否服务进程等多个维度进行进程信息的筛选。
在进程资产页面,可配置进程白名单,配置后可以快速筛选非白名单进程。
在进程资产页面,可设置业务进程,设置后方便快速过滤非业务进程。
ESM-CWPP主机安全可探测主机上的软件应用信息,可采集软件应用的软件应用名、当前版本、安装信息、状态、发现时间等信息;支持开机启动项、系统服务、定时任务属性筛选。
ESM-CWPP主机安全可探测主机上的Web应用信息,可采集到应用名、版本、应用语言、服务类型等信息,支持通过应用类型进行过滤筛选;支持Web应用有Blot CMS、CKEditor、DedeCMS、DiscuzX、Ecmos、MediaWiki、Navigate CMS、OneThink等。
ESM-CWPP主机安全可探测主机上的Web应用框架信息,可采集到应用框架名、框架语言、框架版本、服务类型、应用路径等信息,支持通过框架语言类型进行过滤筛选。
ESM-CWPP主机安全可探测主机上的安装包信息,可采集安装包的包名、总述、版本、安装时间、类型、安装路径等信息,支持采集的安装包有rpm包、dpkg包、java包、system包等;支持通过安装包类型进行过滤筛选。
ESM-CWPP主机安全可探测主机上Jar包信息,可采集到包名、类型、是否可执行、版本号、绝对路径等信息,支持通过Jar包类型进行过滤筛选。
ESM-CWPP主机安全可探测主机上的计划任务信息,可采集计划任务的计划任务名、执行周期、执行命令或脚本、执行用户、运行目录等信息;支持采集的计划任务有Crontab计划任务、At计划任务、TaskScheduler计划任务、batch计划任务。
ESM-CWPP主机安全可探测主机上环境变量信息,可采集到变量名、变量类型、用户名、变量值等信息,支持通过环境变量类型进行过滤筛选。
ESM-CWPP主机安全可探测主机上内核模块信息,可采集到模块名、模块大小、模块描述、模块版本、模块路径、引用计数、依赖项等信息。
ESM-CWPP主机安全支持采集windows服务器上的证书信息,包括证书名称、证书类型、颁发者、指纹值、证书生效时间、证书截止时间等信息。支持通过证书类型进行过滤筛选。
采集windows主机上的敏感注册表,包括注册表名、路径、描述信息、类型和数值等信息。
采集主机上的服务信息,包括服务名称、服务类型、可执行文件路径、可执行文件/驱动文件MD5、可执行文件/驱动文件创建时间、修改时间、参数、服务状态、启动用户、启动模式、服务进程ID、驱动版本、是否为定时任务等信息。
安全体检中用户可主动发起主机深度检测,检测的项目包括:系统漏洞、弱口令、高危账号、配置缺陷、病毒木马、网页后门、反弹shell、异常账号、日志删除、异常进程、系统命令校验等。安全体检检测出的问题系统自动进行问题归类到漏洞风险及入侵威胁模块中。
1. 支持自定义体检项体检、自定义路径体检
用户可自行选择体检项目,其中病毒木马检测支持快速扫描、全盘扫描及自定义路径扫描三种方式,网页后门检测支持自定义路径扫描。
2. 支持即时体检及定时体检
ESM-CWPP主机安全支持即时体检及定时体检两种体检模式,即时体检即检测命令下发后立即执行体检命令;定时体检用户设置扫描周期、扫描时间段后系统会按照设置规则定时执行体检命令。
3. 支持批量体检策略下发
ESM-CWPP主机安全支持批量体检策略下发,通过设置体检的类型、体检的项目、体检的主机范围进行批量体检策略下发,支持定时体检策略与即时体检策略两种类型。
4. 支持体检报告生成导出
ESM-CWPP主机安全支持体检报告生成及导出,体检报告展示体检分数、健康指数,体检结果图表化展示及详细体检问题说明展示,可导出Word格式的体检报告
5. 支持体检结果自动评分
ESM-CWPP主机安全支持体检结果自动评分,通过检测的结果与预置的体检评分规则进行匹配可自动对主机健康情况进行打分,0-59分为不健康主机,60-89分为亚健康主机,90-100为健康主机。
威胁监测中用户可对主机开启各类监测包括进程监测、内存监测、蜜罐诱捕、登录监测、文件监测、账号监测、操作审计、反弹shell、威胁情报监测、后门监测、文件蜜罐、外联监测。从主机安全角度,全天候监控主机的运行情况,能确保第一时间发现服务器问题,帮助企业快速发现安全威胁。
安全监测下的各个监测功能划分为告警、策略、主机、规则这几个维度。
1. 告警
告警列表用以展示该模块下产生的告警信息,以时间线进行展示,最近产生的告警位于列表顶部。
 |
2. 策略
策略列表用以创建策略批量下发至主机执行监测任务。支持策略的创建、修改、删除;支持查看下发的策略详情;支持下发策略的时候细粒度选择主机范围。
3. 主机
主机列表用以展示主机当前监测任务的开启情况,并支持对主机进行(批量)设置。
4. 规则
规则列表用以展示该模块下系统规则和自定义规则。系统规则可以查看详情信息。用户也可自定义规则进行监控。
ESM-CWPP主机安全对主机的登录日志进行分析,识别出主机登录流水中的异常计算机名登录、异常IP段登录、异常地点登录、异常时间登录、暴力破解登录、域账号登录等登录行为,并且实时通知给用户。根据主机的账户登录行为分析,对可疑的登录行为提供实时告警通知;支持登录监控配置,支持批量设置下发。
支持登录监控常用IP自学习添加设置,支持通过对登录次数、登录次数排行、登录时间段等维度对IP进行自学习,并自动加入常用登录IP列表。
ESM-CWPP主机安全支持进行文件监测,支持监控文件完整性,可发现删除文件、修改文件、新增文件等文件完整性异常行为。
ESM-CWPP主机安全支持账号监测,可发现修改账号用户名、修改账号密码、修改账号权限等账号完整性异常行为。
ESM-CWPP主机安全可对当前用户的输入操作进行命令审计,实时发现用户的危险操作,不依赖于传统日志的命令审计,根据主机的操作审计分析,对可疑操作行为提供实时告警通知;支持监控配置,可以通过定义的规则进行筛选威胁的命令。
内存监测支持定时和即时检测注入Java进程的内存马,包括Filter、servlet、listener等内存马类型;内存监测也支持内存恶意代码监测。
内存马支持JSP和Agent注入两种检测引擎,JSP检测能力<Agent注入,JSP性能消耗<Agent注入;其中Agent注入分为无源检测和敏感操作检测,从内存马检测的角度看,无源检测能力>敏感操作检测,但敏感操作检测可检测出有源木马。
内存恶意代码监测通过实时监控或定时扫描的方式检测主机进程内存中是否被注入内存恶意代码。
支持按主机维度查看告警,告警信息包括:恶意类名称、哈希值、文件路径(若有源则有)、首次发现时间、最近发现时间、累计发现次数(同一恶意类名和哈希值视为相同内存马)以及关联进程等信息。若复测或再次执行检测后,未发现相同的内存马则会自动将该告警事件的状态标记为已处置。
支持非联动和联动模式的蜜罐诱捕。非联动模可对指定主机配置指定端口作为蜜罐端口,但蜜罐端口被扫描或攻击时,则生成告警事件。联动模式需先部署云幻产品,它支持对指定主机配置指定端口作为蜜罐端口并模拟指定服务(支持32种常用服务),但蜜罐端口攻击时,将生成告警并将攻击流量牵引到虚拟的蜜罐主机,虚拟蜜罐主机将模拟对应服务欺骗攻击者并对攻击者进行录屏记录其攻击行为。
注:蜜罐端口与主机当前在用端口不能重复(为保证蜜罐欺骗性,建议设置常用端口为蜜罐端口)且蜜罐端口不能被防火墙封禁,蜜罐端口才能生效。
非联动模式:
新建非联动策略:对指定的主机配置指定的蜜罐端口。
等待策略下发成功;
当蜜罐端口被攻击时,以被攻击主机维度展示告警;
ESM-CWPP主机安全支持进程行为监控功能,对进程基本信息及关键行为信息进行采集包括进程名称、进程文件路径、运行进程所属用户、进程MD5值、进程命令行、进程树等,用户可通过指定进程树上的起始进程、终点进程、以及中间各层级的进行进行规则配置,规则的设置灵活支持“and”、“or”、“not”等逻辑判断关系,支持正则表达式。用户可根据实际需要进行进程监控规则创建。
同时系统内置数百条系统规则覆盖常见的恶意执行文件、恶意命令行规则包括:密码查看工具、常见恶意利用工具、提权工具、powershell恶意命令执行、Windows远程执行下载命令;恶意工具命令规则包括:隧道工具、进程注入、计划任务、远程管理、命令行界面等。用户可以通过系统内置一键发起进程监控。支持监控策略创建下发,可对不同业务的主机进行批量差异化的监控项下发。
ESM-CWPP主机安全威胁情报来自自有云端的分析成果,针对高级持续性威胁、新型木马、特种免杀木马进行规则化描述。威胁情报通过人工智能结合大数据知识以及攻击者的多个维度特征还原出攻击者的全貌,包括程序形态,不同编码风格和不同攻击原理的同源木马程序,恶意服务器(C&C)等,通过全貌特征‘跟踪’攻击者,持续的发现未知威胁,最终确保发现的未知威胁的准确性,并生成了可供大数据分析平台使用的威胁情报。
后门监测通过实时监控或定时扫描发现各主机的可疑后门。目前有进程参数、脚本执行、文件特征、系统配置、系统注册表五种检测项。后门监测的规则需要提前从管理后台升级中心上传后门监测系统内置规则库。
规则配置(规则tab):
支持后门监测的5个检测项都有专业的系统监测规则,用户也可以通过后门监测--监控规则模块进行自定义规则配置。
规则下发(策略tab):
用户可以通过后门监测-策略模块对主机进行后门监测的策略配置,支持选择5种检测项的系统规则和自定义规则,支持选择覆盖下发或者增量下发,非实时检测项(文件特征、系统配置、系统注册表)支持配置定时频率,支持根据分组、标签、具体IP选择主机。
策略配置步骤:
1. 写入一个不重名的策略名称。
2. 选择规则。可选5种检测项的自定义规则和系统规则。
3. 选择下发模式(增量或覆盖)。
4. 选择定时频率。
5. 选择下发主机,可选择全部主机或者根据分组、标签、具体主机选出主机。
确认后将会立即下发一次,用户也可以通过“策略执行状态”查看各主机下发情况。值得注意的是,下发中不能编辑策略。删除策略仅仅只是删除,无法关闭已经下发的规则,如需要关闭,可通过主机tab或者下发一次覆盖模式的策略。
规则下发(主机tab):
用户也可以通过主机tab查看主机规则配置情况,同时该tab也支持关闭/开启整个主机监控状态以及每个规则的监控状态。
告警生成(告警tab):
系统会对进程参数和脚本执行进行实时监控,根据用户配置情况对文件特征、系统配置、系统注册表进行定期检查。产生的告警在后门监测-告警tab展示,用户点击<详情>可以看到告警的具体信息。同时,根据检测项的不同,支持不同的处理方式。
事件处理:
根据检测项的不同,有不同的处理方式:
· 关闭事件:相当于“已读”功能,仅将状态变更为已处理,不做其他处理。
· 加入白名单:将告警加白,下次将不会对加白条件产生告警。
· 进程阻断:将进程进行阻断。操作后可能会有一定的风险且不可逆,请谨慎操作。
· 样本下载:下载样本。
· 隔离:将文件快速放到隔离区,后续用户也可以恢复文件以及删除文件。
文件蜜罐通过实时监控诱捕到的操作蜜罐文件的行为。如下是不同监控模式的差异:
简单模式:使用fanotify方式,仅2.6.36及以上的内核版本支持此方式。支持修改和读取的文件操作,不支持采集进程树。
复杂模式:使用audit方式需要接管系统audit(audit服务会失效,不再输出审计日志),并配置相应的审计规则。支持创建、删除、修改、读取、权限修改的文件操作,支持进程树的采集,但对系统入侵性较大,请谨慎操作。
版本限制:
l Linux:插件版本需在2022.11.20版本以上。
l Windows:插件版本需在2022.11.20版本以上,操作系统须在Windows2008(Win7)版本以上。
蜜罐文件生成规则:
1. 系统将按照填写的文件路径和文件大小建立一个蜜罐文件。
2. 蜜罐文件的信息:所属用户为Agent进程当前运行用户,文件权限为只读,文件内容为随机生成的字节码(无有效信息)。
3. 若原路径下系统已有文件,则直接监控当前文件,不再生成蜜罐文件。
规则下发(策略tab):
用户可以通过文件蜜罐-策略模块对主机进行文件蜜罐诱捕的策略配置。
策略配置步骤:
1. 写入一个不重名的策略名称。
2. 选择操作系统、监控模式、文件操作、文件大小和文件路径。
3. 选择下发主机,可选择全部主机或者根据分组、标签、具体主机选出主机。
确认后将会立即下发一次,用户也可以通过“策略执行状态”查看各主机下发情况。值得注意的是,下发中不能编辑策略。删除策略仅仅只是删除。
规则下发(主机tab):
用户也可以通过主机tab查看主机规则配置情况,同时该tab也支持关闭/开启整个主机监控状态以及每个规则的监控状态。
告警生成(告警tab):
产生的告警在文件蜜罐-告警tab展示,用户点击<详情>可以看到告警的具体信息。同时,支持关闭事件和加入白名单的操作
事件处理:
根据检测项的不同,有不同的处理方式:
l 关闭事件:相当于“已读”功能,仅将状态变更为已处理,不做其他处理。
l 加入白名单:将告警加白,下次将不会对加白条件产生告警。
外联监测支持通过手动输入和机器学习的方式配置外联行为基线,当检测到主机发生基线外的外联行为时进行告警,告警内容包含源地址及端口、外联地址及端口、协议、外联时间、外联进程PID、进程名等详细信息。
规则下发(策略tab):
用户可以通过外联监测-策略模块对主机进行异常外联行为的策略配置。
策略配置步骤:
1. 写入一个不重名的策略名称。
2. 选择手动配置内网IP或者自学习设置,也可以输入确定的IP黑名单。
3. 选择增量下发或者覆盖下发。
4. 选择下发主机,可选择全部主机或者根据分组、标签、具体主机选出主机。
保存并下发后将会立即下发一次,用户也可以通过“策略执行状态”查看各主机下发情况。值得注意的是,下发中不能编辑策略;删除策略仅仅只是删除。
规则下发(主机tab):
用户也可以通过主机tab查看主机规则配置情况,同时该tab也支持关闭/开启整个主机监控状态以及每个规则的监控状态。
告警生成(告警tab):
产生的告警在外联行为监测-告警tab展示,用户点击<详情>可以看到告警的具体信息。同时,支持关闭事件和加入白名单的操作。
事件处理:
根据检测项的不同,有不同的处理方式:
l 关闭事件:相当于“已读”功能,仅将状态变更为已处理,不做其他处理。
l 加入白名单:将告警加白,下次将不会对加白条件产生告警。
运维监控中用户可对主机开启各类运维类监测包括进程资源监测、会话监测、资源监测、性能监测。
支持监控服务器进程,实时发现可能存在的异常进程;监控主机上运行进程的安全性、CPU使用率、内存、内存使用率、虚拟内存、线程数、IO读写情况,对可疑操作行为提供实时告警通知;支持进程监控配置。
支持监控主机上网络连接情况,采集会话连接的协议、本地地址、本地端口、外部地址、外部端口、进程等会话信息,并生成主机会话连接图表;支持会话监控配置。
资源监控支持监控服务器的CPU、内存、网络流量、硬盘等资源,对可疑行为提供实时告警通知;支持资源监控配置。
性能监控支持IIS、Apache、Nginx、MySQL、SQLSever性能监控,对可疑行为提供实时告警通知;支持性能监控配置。
漏洞风险包含两个部分,一是主机自身的安全漏洞如系统漏洞(Windows漏洞及Linux系统漏洞)、网页漏洞等;二是人为原因造成的风险因素如弱口令(操作系统弱口令、数据库弱口令等)、高危账号(高权限账号、空密码账号、用户名和密码相同的账号)、配置缺陷(操作系统配置缺陷、Web容器配置缺陷、数据库配置缺陷等)。
漏洞风险管理模块会显示当前主机上的漏洞风险情况,同时提供修复方案供用户进行参考,同时还支持联动虚拟补丁,扫描出漏洞后,直接连接筛选适用虚拟补丁的漏洞,可以直接应用虚拟补丁;该模块执行时会从云端下载漏洞策略库在本地执行检测,对于存在漏洞风险的主机,会上报应用软件的名称、版本号、路径、发现时间,这个过程不会提取任何涉及用户隐私的数据。对于检测出的各类漏洞风险进行风险等级评估。
漏洞风险管理模块支持应急漏洞设置,采集近期爆发出的高危漏洞,可通过对应急漏洞的检测功能对主机资产进行快速检测,确认是否有资产受到影响;可查看应急漏洞库,设置检测任务。
应急漏洞模块可采集近期爆发出的高危漏洞,通过应急漏洞的检测功能对主机资产进行快速检测,确认是否有资产受到影响;支持漏洞和主机过滤,通过漏洞类型、风险等级、修复影响、影响软件、漏洞名称、等进行漏洞过滤,通知主机分组、标签、状态、内核版本等进行主机过滤;支持应急漏洞库设置,采集应急漏洞信息、统计应急漏洞总数;支持检测任务设置,可创建检查任务,设置检测漏洞及检测主机范围。
Windows漏洞通过订阅微软漏洞更新,当发现主机存在漏洞时推送微软官方补丁信息,支持漏洞修复、忽略;Linux漏洞通过检测主机上的软件版本信息,与CVE官方漏洞库进行匹配,检测出存在漏洞软件并推送漏洞信息,支持漏洞忽略;支持通过漏洞过滤(漏洞名称、漏洞类型、风险等级、修复影响、处理状态等)、主机过滤(主机名称、主机分组、主机标签、主机状态、内核版本等)双维度过滤漏洞信息;支持白名单设置,可查看白名单列表和添加白名单;
通过ESM-CWPP主机安全提供的弱口令库或用户自定义的弱口令规则可发现识别操作系统弱口令、数据库弱口令、应用弱口令,支持弱口令忽略;支持通过风险过滤(风险等级、处理状态、账户名称等)、主机过滤(主机名称、主机分组、主机标签、主机状态、内核版本等)双维度过滤弱口令信息;支持白名单设置,可查看白名单列表和添加白名单。弱口令有可能导致密码轻易被黑客或入侵者识别破译,进而成为入侵主机的快速通道,对弱口令进行检测识别并重新设置更复杂的密码,有利于保障主机安全。
ESM-CWPP主机安全通过账户防护引擎可识别发现可以高权限账号、空密码账号、用户名和密码相同的账号,支持高危账号忽略、禁用、信任;支持白名单设置,可查看白名单列表和添加白名单。提权帐号的产生,很可能是系统被入侵后黑客或者入侵者对系统帐号进行了修改,及时对提权账号进行检测识别并删除提权账号有利于保障主机安全;
ESM-CWPP主机安全拥有强大的操作系统、Web容器、数据库、及其他应用的配置缺陷检测检测能力,支持Windows2003、Windows2008、Windows2012、Windows2016等各种Windows系统配置缺陷检测,支持Memcached、CentOS、Ubuntu、Debian、OpenSUSE、RedHat等Linux操作系统配置缺陷检测;支持IIS、Apache、Nginx、Tomcat、Weblogic、Tengine、JBOSS等各类Web容器配置缺陷检测;支持Redis、Mongodb、Memcached、ElasticSearch、PostgreSQL、Oracle等数据库配置缺陷检测;支持FTP、SNMP、Samba等应用的配置缺陷检测;支持白名单设置,可查看白名单列表和添加白名单。各种配置缺陷的存在容易被黑客利用造成严重的损害,及时进行缺陷修复加固有助于保障主机安全。
威胁概览用以展示待处理的各类威胁事件,通过统计图表等方式对用户需要优先处理的事件进行突出展示,支持自定义展示内容。位置:威胁分析/威胁概览,威胁概览展示的内容如下:
待处理危急事件总数:展示目前待处理的风险等级为危急的事件总数,点击支持跳转到告警与响应中心模块,在模块中过滤显示对应的具体数据。
待处理事件风险等级分布:展示目前待处理事件的风险等级分布情况点击对应的色块及数字支持跳 转到告警与响应中心模块,在模块中过滤显示对应的具体数据。
待处理事件响应处置快捷通道:此块用以展示用户自定定义的快速事件入口,点击自定义显示弹出自定义弹窗,可选择设置对应的事件项;点击数字支持跳转到告警与响应中心模块。
主机待处理攻击事件数量排行:用以展示主机中存在待处理入侵事件中排名前十的主机,点击数字支持跳转到告警与响应中心模块,在模块中过滤显示对应的具体数据。
当前待处理事件类别占比:用以展示当前待处理事件的类型分布,点击数字支持跳转到告警与响应中心模块。
入侵威胁发现/处置分布图:点击数字支持跳转到告警与响应中心模块。
本次在威胁分析下新增 ATT&CK 视图模块,ATT&CK 视图结合 MITRE ATT&CK 矩阵(技术),对告警事件进行画布可视化展示,展示告警所属的攻击阶段及使用的攻击技术。展示的内容如下:
图中横轴代表 att&ck 的战术 (Tactics)、纵轴代表这个战术对应的技术 (Techniques),将ESM-CWPP主机安全告警命中的技术类型在图上做展示,数字代表告警数量,不同颜色代表不同风险等级(危急红色,高危橙色,中危黄色,低危蓝色),数字点击后跳转至告警与响应中心,列表过滤展示对应的告警记录;点击高级过滤可对画布上的告警进行过滤:
告警与响应中心用以展示及处理各类入侵事件及具有高度威胁的事件,支持识别并处置的入侵威胁事件包括:病毒木马、网页后门、反弹shell、异常账号、日志删除、异常登录、异常进程、系统命令校验、暴力破解、端口扫描、非授权进程、可疑后门、文件蜜罐、异常外联等告警。默认查询最近7天的告警数据。
威胁分析下新增告警与响应中心模块,展示的内容如下:
1. 支持一键搜索主机及告警信息,此处支持搜索的信息包括:主机内外网 IP、主机名、主机分组、主机标签、主机操作系统版本、主机备注;风险等级、事件类型、ATT&CK 分类、攻击者 IP;
2. 点击高级搜索(默认收起),支持通过主机及告警等相关字段组合成条件进行逻辑关联以完成更复杂的告警数据过滤。
过滤方式说明:
精准查询(精准排除)、包含查询、时间查询
1. 精准查询和精准排就是必须存在的查询条件,有点类似于and关系:
2. 包含查询也是一种查询条件,类似于or的关系;
3. 时间查询是一种时间范围查询,只支持时间类型,类似and关系;
4. 精准 + 包含 = 精准and包含;
5. 包含 + 包含 = 包含 or 包含;
6. 时间 + 包含 = 时间 and 包含;
7. 精准 + 时间 = 精准 and 时间;
病毒木马程序通常会窃取用户数据或者对外攻击,消耗大量系统资源导致业务不能正常提供服务。轻代理会采集可疑病毒木马程序的哈希指纹到云端,通过云查杀模块对哈希进行检测识别。对于信任主机支持添加白名单设置,可查看白名单列表。
若确认文件是恶意的,可以对单个文件进行隔离,或者批量选择进行一键隔离,隔离成功后,原始恶意文件将被加密隔离,后期可以在隔离区进行恢复。如果文件非恶意的,可以选择信任操作,加入信任后,ESM-CWPP主机安全将不再对该文件进行检测,后期可以在信任区对信任文件进行管理。
对于实时防护的病毒文件,还支持对病毒程序进行阻断。
网站后门木马又叫webshell,一般是黑客通过漏洞入侵网站后放置的ASP、PHP、JSP等动态脚本。黑客可以通过后门木马持续控制服务器,进行文件上传下载、执行命令等各种破坏行为,对网站安全危害极大。
ESM-CWPP主机安全可以实时准确的查杀各类木马恶意文件,同时提供恶意文件检测和一键隔离等功能,第一时间清除木马后门文件,确保用户服务器的安全。提供对webshell文件隔离、信任、下载和查看操。对于信任主机支持添加白名单设置,可查看白名单列表。
ESM-CWPP主机安全支持反弹shell检测识别及事件关闭,通过对反弹shell事件进行检测识别可入侵攻击;展示安全体检和实时防护的反弹shell进程、进程运行参数、父进程和父进程运行参数、本地地址和反弹的目的地址;对于信任主机支持添加白名单设置,可查看白名单列表。
对于实时防护检测到的反弹shell进程,支持一键阻断反弹shell进程。
ESM-CWPP主机安全支持影子账号、篡改系统账号的检测识别及事件关闭,影子账号支持禁用处理;对于信任主机支持添加白名单设置,可查看白名单列表。影子账号是隐藏的账户,有管理员权限的账户,影子帐号的产生,很可能是系统被入侵后黑客或者入侵者对系统帐号进行了修改。对影子账号进行禁用处理有助于保障主机安全。
ESM-CWPP主机安全支持日志异常删除的检测识别及事件关闭,黑客入侵后可能对相关日志信息进行删除,检测识别日志异常删除事件并产生告警能够帮助安全人员及时跟进做确认。对于信任主机支持添加白名单设置,可查看白名单列表。
ESM-CWPP主机安全支持异常地点登录、异常IP段登录、异常时间登录、异常计算机名登录、暴力破解登录5种异常登录类型检测及事件关闭。异常登录意味着主机相关密码已经被窃取或破解,检测识别异常登录事件可及时发现主机风险,及时进行补救。
ESM-CWPP主机安全支持子进程权限高于父进程、隐藏进程、隐藏端口进程3种异常进程的检测识别及事件关闭。隐藏端口进程在系统中查看未能发现,但实际却在系统中被监听的端口,极大可能是系统遭遇入侵后被植入的恶意木马程序开启的服务;隐藏进程在系统中查看未能发现,但实际却在系统中运行的进程,极大可能是系统遭遇入侵后被植入的恶意木马程序。对于信任主机支持添加白名单设置,可查看白名单列表。及时检测识别异常进程并关闭异常进程有助于保障主机安全。
支持系统命令校验的检测识别及事件关闭;系统命令如果被恶意修改,可能会导致用户在使用系统命令时,实际使用的是被修改后的恶意程序,导致信息泄露或被入侵。对于信任主机支持添加白名单设置,可查看白名单列表。及时检测识别系统命令校验事件,通过重新安装系统命令对应的包,对系统命令进行修复有助于保障主机安全。
ESM-CWPP主机安全支持本地提权的检测识别及事件关闭,支持风险及主机过滤,通过发现时间、事件状态、提权进程、进程所属用户等信息进行风险过滤,通过主机名称、分组、标签、状态、内核版本等信息进行主机过滤,对于信任主机支持添加白名单设置,可查看白名单列表;支持提权事件详细信息导出。
可疑后门类目包括了威胁情报和后门监测部分的告警,主要包括:恶意进程、访问恶意ip、访问恶意域名、可疑进程参数、可疑脚本执行、可疑系统配置、可疑文件特征、可疑注册表。支持通过主机粒度、事件粒度、时间粒度进行过滤。告警展示和事件处理逻辑与独立告警tab相同。
虚给主机配置虚拟补丁规则或者在扫描漏洞之后进行规则推荐,当网络流量命中相关规则时,会产生告警,可以在告警与响应中心查看相关的告警。在虚拟补丁告警中,除了通过主机信息筛选告警,还可以通过规则ID/名称,应用程序类型,源IP,目标IP,拦截/记录进行告警过滤。针对产生的虚拟补丁告警,可以进行添加白名单、关闭事件的处置动作。
防火墙模块提供双向状态防火墙保护。它可阻止拒绝服务攻击,涵盖所有基于 IP 的协议和帧类型,并且过滤端口以及 IP 和 MAC 地址。如果配置防火墙规则时,开启了“此规则命中时,发出告警”,则在流量匹配到规则时,会产生告警,可以在告警与响应中心查看相关的告警。在防火墙告警中,除了通过主机信息筛选告警,还可以通过防火墙操作,规则名称,源IP,目标IP进行过滤。针对产生的防火墙告警,可以进行规则配置、添加白名单、关闭事件的处置动作。
防火墙模块提供双向状态防火墙保护。它可阻止拒绝服务攻击,涵盖所有基于 IP 的协议和帧类型,并且过滤端口以及 IP 和 MAC 地址。主机配置防火墙规则后,当网络流量匹配到规则时,会产生防火墙日志。防火墙日志会完整记录所有匹配了规则的流量,如果针对某些规则需要特别关注,可以在规则中开启告警,告警将通过邮箱,短信或者群机器人发送。针对产生的防火墙日志,可以查看详情,或者修改规则。
针对隔离的文件,会统一展示在文件隔离区,用户可进行恢复文件的操作。文件隔离区将同一hash值(MD5)的文件进行聚合展示,方便用户查看所有主机针对同一个文件的隔离情况。
针对主机产生的各种告警,除了手动进行处置,也支持自动响应,创建自动响应剧本,可配置多种告警类目的自动响应措施。支持自动响应的告警包括:异常登录,蜜罐诱捕,反弹shell,病毒木马,webshell,后门监测,其中异常登录和蜜罐诱捕默认可以使用,其他模块需要使用自动响应,请联系相关技术支持进行配置,默认不展示。
管理因攻击被封停的IP数据。支持解封已封停IP和封停被解封的IP。
ESM-CWPP主机安全提供强大的安全防护功能支持暴力破解防护、扫描防护、病毒防护、IP黑白名单、端口安全防护、访问控制、进程行为控制、反弹shell监控、远程登录防护、本地提权防护、进程白名单。通过对各类攻击事件的采集分析生成攻击趋势图、攻击分布图等图表,直观展现各类攻击事件。根据攻击事件危害程度自动匹配风险等级,并提供详实时的攻击特征描述,用户可以此为参考对攻击者IP进行加黑处理,也可导出攻击事件做后续攻击分析;支持防护模板、防护策略设置。
ESM-CWPP主机安全提供全方位的暴力破解防护功能,支持FTP放暴力破解、远程桌面防暴力破解、MySql数据库防暴力破解、MSSQL数据库防暴力破解、winRM防暴力破解、SMB防暴力破解等暴力破解防护功能,支持记录并拦截、记录不拦截两种模式。
ESM-CWPP主机安全支持扫描攻击防护,能有效的防止入侵扫描,可选记录并拦截、记录不拦截两种模式。
ESM-CWPP主机安全病毒防护支持多种引擎,包括轻量病毒引擎,防勒索引擎,高级威胁扫描引擎,梦蝶引擎,同时支持本地引擎和云引擎两种模式,可跟据不同的场景选择不同的引擎。通过设置轻巧、中度、严格三种防护等级可以配置不同的监控范围,轻巧防护下监控程序执行和网页文件写入,确保病毒无法运行,对系统性能影响轻微;中度防护下监控程序执行、写入,网页文件写入,确保病毒无法入侵,对系统性能影响小;严格防护下监控对程序和网页文件任何形式的访问,对系统性能会有一定影响。
病毒防护
ESM-CWPP主机安全webshell防护,可针对web资产相关目录进行扫描,提供啸天webshell引擎,梦蝶引擎,同时支持本地引擎和云引擎两种模式,可跟据不同的场景选择不同的引擎。
ESM-CWPP主机安全支持白名单及黑名单设置,支持黑白名单批量导出及倒入;黑名单下可设置记录并拦截、记录不拦截两种模式。
ESM-CWPP主机安全支持端口安全规则设置,可选宽松模式及严格模式,宽松模式下开放所有端口,只关闭规则中的端口;严格模式下关闭所有端口,只开放规则中的端口。支持TCP、UDP、ICMP、IGMP四种协议;
ESM-CWPP主机安全支持文件保护及注册表保护,支持记录并拦截模式及记录不拦截两种模式,可选系统防护规则或自定义防护规则,系统防护规则提供高、中、低三种防护等级。该功能属于高级防护功能,只支持高级防护的主机。
ESM-CWPP主机安全支持进程行为控制,能够有效的防止非法进程操作。该功能属于高级防护功能,只支持高级防护的主机。
ESM-CWPP主机安全支持远程登录防护功能,可修改远程登录的端口,并指定可远程登录的IP地址或IP段。
ESM-CWPP主机安全支持账号防护功能。
支持禁止创建系统账号(Windows系统适用)
支持禁止账号提权(Linux系统适用),开启后用户组禁止转入账号,阻止账号提权。
支持禁止账号创建(Linux系统适用),开启后将无法创建新账号。
ESM-CWPP主机安全支持本地提权防护功能,对本地提权事件进行防护。
ESM-CWPP主机安全支持通过手动配置或者自学习的方式对进程白名单维护,支持设置非白名单进程纪录或者拦截。
开启虚拟补丁,通过检查传入和传出流量,以检测并阻止可疑活动。这样可防范已知漏洞和0day漏洞攻击。支持“虚拟修补”:可以使用虚拟补丁规则屏蔽已知漏洞,直至能够修补这些漏洞为止,这也是许多合规性法规要求的做法。
另外,也可保护 Web 应用程序以及这些应用程序处理的数据,抵御 SQL 注入攻击、跨站点脚本攻击和其他 Web 应用程序漏洞,直至代码修复完成。
ESM-CWPP主机安全防火墙是一款高度灵活的防火墙,可配置为拒绝或允许特定流量通过。与虚拟补丁模块一样,防火墙模块也可以在以下两种模式下运行:直连模式或监控模式。建议您先在监控模式下测试防火墙规则,然后在一切正常时再切换到直连模式。
配置和管理防火墙时必须小心谨慎,而且没有一套规则可以通用于所有环境。创建防火墙规则前,务必要了解防火墙规则处理措施和规则优先级,而且仅创建允许规则时必须要极其谨慎,因为这些规则会隐式拒绝除定义的允许项以外的其他一切。
在等级保护检查、测评、整改工作过程中,对定级业务系统进行对应级别的安全风险检查是技术方面的必要工作,通过使用ESM-CWPP主机安全的合规基线功能进行基线检查即可轻松完成。
ESM-CWPP主机安全对国家等级保护规范进行了详细整理,把技术标准落实到每一种应用的配置检查工作上。ESM-CWPP主机安全结合等级保护工作过程,对业务系统资产进行等保定级跟踪,根据资产定级自动进行对应级别的安全配置检查,对合规情况出具等保符合性报告,保证系统建设符合等保要求,促使等保监督检查工作高效执行。
提供官方等保基线模板,满足等保二级及等保三级要求;
支持用户自定义基线模板;
支持合规基线检查策略批量下发;
整体网络态势感知,根据主机有无被入侵、是否有监控异常、体检不健康主机数评判当前整体网络态势;
自定义时间区间分析生成全站攻击趋势、攻击类型分布、资产分布、漏洞风险分布、漏洞发现趋势、入侵威胁分布、入侵威胁发现趋势、新增监控异常分布、监控异常变化趋势等图表。
支持全站安全信息报表生成导出;
策略中心用于批量管理全局策略。包括
· 支持创建体检、防护、监控策略的组合模板。
· 支持批量下发策略:选择创建的策略模板选择指定的主机或关联至分组(体检暂不支持)进行批量下发;
· 支持以主机维度查看当前主机关联的策略模板。
创建策略模板:
设置具体策略参数:
下发策略模板:
查看主机关联的策略模板:
资产管理模块主要展示用户所有资产的统计与管理。分为几个模块:资产概览、包括镜像、容器、镜像来源、软件包、进程、配置信息、端口资产,应用资产支持数据库、jar包、web应用、web框架、web站点等。
支持镜像标签趋势分析:在用镜像、基础镜像、仓库镜像、授信镜像;镜像来源分布统计:主机镜像、仓库镜像分布占比;资产大图总览;30天各资产趋势分析;支持资产采集设置,不同资产自动采集频率设置:仅采集一次、暂停更新、1分钟、3分钟等。
支持设置镜像、容器、数据库、进程等采集频率。
看全部资产一览:
|
查看集群资产: |
|
查看镜像资产:
查看工作负载:
查看服务资产:
查看应用资产:
查看节点资产:
查看配置存储:
用户通过集群授权并拉取资产后,平台支持对资产的变更统计。统计信息展示如下:
• 变更概览:支持镜像实例化数据趋势分析,支持自定义分析时间;支持变更统计,包括:命名空间变更数、POD变更数、运行容器变更数;支持实时事件流:服务、容器、pod、节点资产在kubernets变更事件流展示;可根据集群查询不同集群内事件变更情况
• 列表展示30天POD、容器、节点、服务的变更统计,包括今日变更数、30天变更率。变更方式包括:新增、删除
• 告警设置:用户通过自定义变更告警,包括监控集群命名空间范围,变更对象选择、指定时间范围内变更情况进行不同等级的告警
进入资产搜索页面,覆盖容器、镜像、应用、集群等资产搜索,支持资产清点方式快速定位问题资产,评估漏洞影响规模,并生成漏洞风险报告,大幅度降低未知漏洞和0~1day漏洞平均响应时间。
可根据提示搜索指定资产或风险
可自定义条件查询,快速将常用查询条件保存并一键搜索
可快速通过画像标签查询
可点击页面上信息一键查询,支持包含,不包含
点击展开,可查看搜索结果POD摘要包括基本信息、画像标签、资产关联
点击POD名称,查看POD画像详情包括风险图表、基本信息、静态资产、动态资产、安全事件等
基本信息如下:
|
|
|
|
静态资产:
动态资产:
安全事件
镜像基础信息展示:支持主机镜像、仓库镜像采集,包括镜像名称、镜像ID、镜像版本、基础镜像ID、相关容器、来源主机/节点数量、资产标签、资产价值、发现时间;
支持设置基础镜像、可信镜像和资产管理;
资产管理支持针对单个/批量镜像进行资产管理;
支持镜像过滤,包括搜索镜像ID、镜像名称、主机IP、仓库地址、基础镜像ID、资产标签、资产价值
支持单个或批量导出镜像列表
支持资产标签自定义;
支持追加和覆盖两种方式更改资产标签;
支持资产价值等级选择
展开镜像子列表,点击系统软件包,则展示该镜像内系统软件包,包括发现时间、包名、版本号、结构、绝对路径等信息
展开镜像子列表,点击应用软件包,则展示该镜像内应用软件包,包括软件包名、版本、绝对路径、语言、发现时间等信息
仓库列表:用于展示、创建管理仓库、与来源于仓库的镜像的相关信息。
支持仓库信息展示,包括:仓库名字、仓库类型、仓库地址、信任状态、拉取状态、连接状态、相关镜像等;
支持仓库新增,填写仓库名称、用户名、密码、仓库地址等
选择手动拉取,可以通过点击拉取镜像,即时更新仓库镜像;
选择自动拉取,会在每晚24点拉取一次仓库镜像。
通过安全检测直接测试并展示风险情况
对于仓库镜像,选择扫描节点,则对应镜像将由选择的节点进行扫描
自动采集容器及容器内应用资产。经过集群证书授权后可获取集群数据。
支持获取容器列表,包括容器名称、容器类型、集群名称、节点名称、容器状态、命名空间、pod名称、镜像名称;
支持获取容器CPU限制、内存限制、资产标签、资产价值、创建时间、更新时间、备注;
支持操作,包括立即更新、备注、资产管理、单个/批量导出;
支持以上数据条件过滤
支持资产标签自定义;
支持追加和覆盖、继承方式更改资产标签;
支持资产价值等级选择
(2) web站点
支持采集容器内web站点,包括网站域名、端口、网站路径、路径权限、主目录所有者、可执行文件路径、配置路径、插件路径、主进程PID、日志路径、进行运行开始时间、accesslog路径、进程启动用户、accesslog格式化、进程运行用户、errorlog路径、errorlog格式化串、协议、运行用户、运行参数、发现时间、备注
|
|
|
(5) web应用
支持清点容器内web应用信息包括但不限于:版本、安装路径、应用语言等。包括不限于- seacms- Typecho- OneThink- PHPMailer- Discuz! X- FCKeditor- Discuz!
(6) web框架
支持清点容器内web框架信息包括但不限于:当前版本、框架路径、框架语言;包括不限于Java语言:1.struts2; 2.spring; 3.hibernate; 4.fastjson;5.struts;6.jackson;
(7) 数据库
支持采集容器内数据库,支持类型包括但不限于:DB、Hadoop、Hbase
|
|
|
支持清点容器内jar包信息包括但不限于:版本、绝对路径、是否可执行等
支持应用名、应用类型、版本、运行用户、软件路径、发现时间、备注
(10) web中间件
web中间件、版本、启动用户、二进制路径、安装路径、可执行路径、配置文件路径、发现时间、备注
|
|
|
自动获取主机列表,通过集群证书授权可自动获取集群。
支持获取节点iP、节点类型、节点标签、分组、相关集群、资产价值、CPU使用、内存使用、pods并支持相关过滤;
|
|
支持资产标签自定义; |
支持追加和覆盖两种方式更改资产标签;
支持资产价值等级选择
主机列表:
支持主机IP、分组、集群名称、主机镜像、安装时间、最近上线时间、最后在线时间、备注;支持备注、启动关闭镜像阻断、节点隔离
(1) 集群资产
通过集群证书授权后,可获取用户拥有的集群资产。
支撑获取集群信息,包括集群名称、masterip、资产标签、集群更新时间;
支持过滤搜索,包括搜索集群名称、masterip、更新时间、标签;
支持立即更新集群资产
(2) 服务资产
|
支持获取ingress服务,包括ingress名称、标签、相关服务、创建时间。并支持快捷过滤 |
|
支持获取endpoint服务,包括endpoint名称、命名空间、集群masterip、关联服务、标签、映射pod、端口、创建时间。并支持快捷过滤
支持获取service服务,包括服务名称、服务类型、命名空间、集群名称、内部IP、端口、发现时间。并支持快捷过滤
支持获取deployment资产,包括名称、命名空间、标签、pods、创建时间、相关镜像,并支持快捷过滤
支持获取容器资产,包括名称、集群名称、pod、镜像名称、CPU限制、内存限制、创建时间、更新时间,并支持快捷过滤;
支持获取pod资产,包括名称、标签、命名空间、存活时间、创建时间,并支持快捷过滤;
支持获取job资产,包括名称、相关镜像、标签、pods、创建时间,并支持快捷过滤;
|
|
支持获取daemon set资产,包括名称、相关镜像、标签、pods、创建时间,并支持快捷过滤; |
|
|
支持replica set资产,包括名称、镜像、标签、pods、创建时间 |
支持获取replication controller资产,包括名称、相关镜像、标签、pods、创建时间,并支持快捷过滤;
|
支持获取stateful set资产,包括名称、相关镜像、标签、pods、创建时间,并支持快捷过滤 |
|
支持获取secret资产,包括名称、相关镜像、标签、pods、创建时间,并支持快捷过滤;
支持获取PV资产,包括名称、相关镜像、标签、pods、创建时间,并支持快捷过滤;
|
|
支持获取PVC资产,包括名称、相关镜像、标签、pods、创建时间,并支持快捷过滤; |
|
|
支持获取storage class资产,包括名称、相关镜像、标签、pods、创建时间,并支持快捷过滤; |
|
|
支持获取config map资产,包括名称、相关镜像、标签、pods、创建时间,并支持快捷过滤 |
|
|
点击镜像名称可弹窗镜像画像;展示镜像基本信息包括镜像ID、版本、镜像标签、基础镜像ID、资产价值、镜像大小、创建时间;来源主机、来源仓库、相关容器信息 |
|
展示资产属性,包括镜像内软件包类型占比、系统软件包及应用软件包
展示镜像风险信息,包括安全问题分布、系统漏洞风险等级分布、详细安全问题信息
|
|
支持查看当前镜像的行为模型 |
点击容器名称,弹窗展示该容器的整体资产和风险画像;展示基本信息:容器ID、运行状态、安全状态、CPU限制、相关镜像、POD名称、命名空间、内存限制、集群名称、主机IP、容器运行时;网络信息,包括网络模式、IPV4、IPV6地址、端口、MAC地址、网关地址;
容器状态:
运行中:容器正在运行
未启动:容器停止运行
未上报:客户端删掉后,云端未删除信息
进程:
支持管理容器进程信息:容器名称、节点名称、相关进程数、发现时间、进程名、PID、运行用户等
配置信息:
支持管理容器配置信息:容器名称、节点名称、相关配置数、发现时间、配置、备注等
环境变量:
支持管理容器环境变量信息:容器名称、节点名称、相关环境变量数、变量名称、值等
挂载情况:
支持管理容器挂载情况信息:容器名称、节点名称、相关挂载数、容器路径、主机路径、是否可写等
端口:
支持管理容器端口信息:容器名称、节点名称、相关端口数、端口号、协议、绑定IP等
展示容器内资产属性,包括容器内web站点、web应用、web 框架、数据库、jar包、运行应用、web中间件;
|
|
并展示资产的风险应用及无风险应用分布及数量统计 |
|
点击节点名称,弹窗展示该节点的整体资产画像;基本信息包括主机名称、分组、备注信息、安装时间、最后上线时间、最近在线时间、资产价值;系统信息包括操作系统、系统内核、mac地址、操作系统架构、运行时、镜像存储驱动、docker根目录、dockerAPI版本、kubelet版本、kube-proxy版本;资源信息,包括POD CIDR、污点
|
|
|
点击集群名称,弹窗展示该集群的整体资产和风险画像。基本信息包括集群masterip、连接状态、安全状态、资产标签、运行容器、运行POD、命名空间、最近检查时间、最近更新时间;软件信息包括编排平台版本、kubeproxy版本、安装时间;组件信息包括etcd、API版本、API server、scheduler、kubelet版本、kernel内核版本;运行时
集群相关容器数、镜像数
支持集群内资产属性展示,包括Ingress\config map等
支持展示集群内资产变更信息,包括pod、容器等展示;支持集群组件风险展示
聚合平台所有实时监测和扫描发现的漏洞风险和安全事件,安全事件监测主体是容器,可能已经发生入侵的异常包括:行为模型、网页后门、反弹shell、容器逃逸、暴力破解、进程行为异常、文件异常操作、异常命令、行为模型异常(进程、文件、网络)、内存webshell、系统后门、蜜罐诱捕、恶意网络连接。
漏洞风险检测主体包括:镜像、容器、集群、镜像仓库、宿主机,存在被入侵的脆弱性,包括:系统漏洞、镜像仓库漏洞、集群漏洞、组件漏洞、镜像敏感信息、镜像可疑历史操作、镜像病毒木马、镜像网页后门、风险软件包、编排文件风险、集群日志审计风险、镜像签名验证、容器弱口令、容器逃逸风险等。
除了聚合展示,还提供统一处置措施包括:镜像阻断、POD隔离、启停容器、杀容器、隔离文件等,操作后会统一记录在响应中心中,可以直观看到当前处于处置状态的对象,并支持快速恢复。(注意:杀容器无法恢复,只会重新启动新的容器)
汇总展示所有容器入侵威胁类型的安全事件告警及来自镜像、容器、集群、节点的漏洞风险,通过提供完善响应措施(包括阻断镜像、隔离POD、启停容器、一键加入白名单、隔离病毒木马及网页后门)、丰富的筛选条件、动态的统计视图、多维度的展示视角满足用户多场景下的威胁告警管理需求。
1. 一键搜
支持模糊搜索列表的字段内容,不知道输入%@#¥等特殊字符;
2. 时间筛选
搜索最近发现时间,默认筛选近7天,平台当前保存近半年的告警数据。
3. 清空筛选条件
清空全局当前输入的筛选条件。
4. 类目筛选
支持展示当前平台所有可监测的威胁类型,以及当前列表下的各类型的数量,支持快速切换到指定的告警类型。注意:切换到特定告警类型时,才会展示该告警的特殊搜索条件。
5. 常用过滤
展示目前用户较常使用的筛选条件(下版本支持自定义常用筛选),支持展开查看全局的搜索条件。其中事件筛选会根据类目切换变化。
6. 一键过滤
列表字段均可悬浮点击正反选,正选为等于这值,反选为不等于这个值。
动态统计当前列表数据中,待处理的危急事件、待处理的事件按等级分布、攻击者IP影响事件数TOP10(当前有攻击者IP的只有爆破和反弹shell)、待处理高危及以上事件TOP10容器;统计分析默认折叠,支持展开。
支持对事件进行批量的修改事件状态、镜像阻断、POD隔离、启停容器、一键加入白名单、隔离病毒木马/网页后门。以及取消操作。
(1)修改事件状态
支持切换事件状态:待处理、处理中、已关闭。切换到已关闭时,需选择处理结果:已修复或忽略。
切换到已关闭时,可联动关闭相同威胁特征值的其他容器。(若判断误报,可批量关闭)
切换到已关闭时,可联动一键加入白名单。(若判断误报,可联动加白。)
(2)阻断镜像、隔离POD、启停容器、隔离文件
支持批量执行上述操作,如果容器处于不可执行状态,将自动跳过;
支持响应措施后,事件状态不会自动修改为已关闭,可联动操作;
执行的所有响应措施都会记录到事件的处置措施执行次数的中,可查看历史;
执行后,可在响应记录中查看处于当前状态的容器、POD、镜像、文件,并可执行恢复操作;
阻断镜像后,该镜像将无法被实例化为容器;暂停容器则,该容器不再运行;隔离POD则,该POD不再运行出入站流量;隔离文件则对应文件将转移到隔离区。
(3)一键加入白名单
○ 按默认威胁特征值可一键生效白名单。系统默认加白逻辑:病毒木马/网页后门:Hash值;反弹shell:目标IP;容器异常进程:进程名;容器异常文件操作:文件路径,读写操作;容器高危文件操作:运行用户、进程PID、进程名、文件路径;容器高危命令执行:操作用户、操作命令;内存马:hash值;进程行为监控:进程树;暴力破解:攻击者IP;容器逃逸监控:进程树;
○ 生成的白名单可在白名单管理中修改或删除;
○ 新告警命中白名单后,将自动将事件状态变为关闭,解决结果为已加白。支持筛选;
○ 加入白名单可选择生效对象:全部容器时(则后续新上线容器也生效)、关联镜像(该镜像新实例化的容器也生效)、只针对当前容器(只有该容器生效);
(1)导出
支持导出所选数据或当前筛选条件下的所有数据;
2. 自动刷新
支持设置自动刷新频率;
3. 自定义展示字段
支持选择列表展示字段并保存
1. 所有针对容器、镜像、POD的操作都会记录在其详情画像的处置历史中;
该模块将展示属于镜像、节点、集群漏洞、配置等风险。与安全事件操作类似,此处不赘述。
展示当前处于镜像阻断状态的镜像、POD隔离状态的POD、文件隔离状态的文件、暂停中的容器、已杀容器、隔离节点,并支持恢复。
帮助用户集中管理平台中的所有监控和防护的策略。通过灵活便捷的配置和下发方式, 满足用户不同场景下的大批量管理对象(主机、容器、镜像等)的策略管理诉求。通过直观和便捷的查询帮助用户快速获取目标对象的当前策略以及历史下发记录,便于审计和追溯。
容器TAB展示当前全局所有容器。支持查看当前容器生效的策略以及历史下发的策略记录;
行为模型TAB展示当前已存在模型。支持重新学习、手动调整模型、镜像模型和容器模型互相转化等操作;
节点TAB展示目前全局的节点列表以及是否开启蜜罐端口和具体的端口信息;
支持通用的容器过滤条件以及最近的策略更新时间进行过滤;
查看支持容器当前的防护开启情况
可查看历史策略的下发记录,以及具体的下发内容;
支持按容器、镜像、模型信息、更新时间进行组合过滤;
支持手动调整指定模型的内容;
可对已学习的模型进行重新学习,可自定义学习时间,将随机选择一个运行中的容器,若没有,则状态为等待学习,直到容器上线后自动开始学习;重新学习将会覆盖上次学习的内容,停止学习将保留当前已学习到的内容;
学习中的模型支持查看开始时间和结束时间;
支持按模型查看其历史学习次数和学习到的内容;
支持镜像模型和容器模型互转,默认都是生成镜像模型;
|
|
|
1. 支持创建单次(只对当前选择的容器生效)和自动关联策略(后续上线容器自动继承);
2. 支持按集群、命名空间、节点、Service、POD、镜像来下发自动关联策略;
3. 自动关联策略支持设置按关联对象支持设置其子集的例外;如自动管理对象为集群,可设置例外的命名空间、节点、Service、POD、镜像;
4. 支持查看策略的历史修改记录和修改内容;
5. 自动关联策略支持关闭和开启;
6. 后续版本将支持系统默认策略,实现即可即用免配置;
1. 策略的创建只有勾选的功能才会影响指定的对象,如勾选了暴力破解,开关为关,则选择的对象,将关闭暴力破解监控。若未勾选,则策略不影响指定对象该功能的开关情况,如未勾选暴力破解,下发后,指定对象暴力破解的开关和参数保持之前的开关状态;
2. 可设置具体参数的点击设置可进入参数设置页面;参数可选择覆盖或新增;覆盖则覆盖当前对象参数,新增则增加本次策略的参数;如进程RCE,可覆盖当前开启的监控规则也可新增部分新规则。
3. 开启行为模型的监控开关后,若选择范围中容器对应的镜像没有模型,则将自动生成对应的镜像模型并进入学习,若有对应的模型则直接应用进入监控告警阶段。模型需要修改或重新学习可到生效策略-行为模型中操作。
4. 单次生效只对本次选择的容器范围生效;
5. 自动关联,则新实例化的容器会自动继承,若选择自动关联POD,则该POD下新实例化的容器会自动继承该策略。同一个容器继承多个策略时,将自动合并,但注意:新容器的同一个功能,多个继承策略,时:
• 无策略冲突,则合并;
• 同一个功能有开和关,则按关生效;
• 规则按按覆盖生效;
• 同时继承多个覆盖策略时,按最近修改日期的生效;
6. 自动关联选择对象时可以设置例外,如对POD设置自动关联策略,可设置例外镜像,该镜像实例化的容器不继承。
|
|
|
支持查看策略历史的修改记录和具体的修改内容;
|
|
|
|
|
自动关联类型的策略可设置不再关联,则新实例化的容器不再继承该策略,已继承的容器无影响。 |
|
病毒木马的防护等级、自动响应措施和开启的引擎为全局参数,设置后全局统一生效。是否监控以及监控的目录可以在策略中细粒度配置。
|
|
|
暴力破解全局共用一份阈值参数。
由于可能产生逃逸的容器是随机的可能是孤立的,那监控如果只对某些容器或节点开启是没有意义的,所以逃逸监控的开启或关闭将对全局节点生效。
在策略管理页面创建镜像防护策略,填写配置,可控制全局镜像运行。
支持设置阻断条件包括,根据特权、特定软件包(指定软件包名称、系统、正则、软件版本)、CVE号、风险等级、无基础镜像、存在病毒木马、存在敏感信息、存在可疑操作、非信任镜像、无基础镜像,存在应用漏洞风险项设置策略;阻止风险镜像启动;
|
支持设置阻断镜像范围:指定在用镜像、仓库镜像、集群镜像等 |
|
在受影响镜像查看已下发策略命中的镜像结果。查看命中的策略名称,及命中内容。查看阻断状态并可加入例外。在例外的镜像则不进行阻断和告警。
针对相对静态资产进行综合检查后的一份风险评估。通过该功能快速发现高危资产,立即整改;通过各风险体检、扫描项,进行扣分。达到一定分数区间后,则判定为健康、亚健康、不健康;总分为100,分数处于85-100区间,资产属于健康状态;分数处于55-85区间,资产属于亚健康状态;分数处于0-55区间,资产属于不健康状态。
配置规则:每个风险事件有一个最大扣分值:下拉选择;每个风险事件有1-多个风险项:用户自定义输入数值,不超过该风险事件的最大扣分值。
集中管理平台镜像、容器、安全基线、微服务、Yaml文件的扫描类型的任务。镜像包括系统&应用漏洞、病毒木马、网页后门、敏感信息、敏感软件、签名验证。容器包括应急漏洞、内存马、弱口令、病毒木马、网页后门;
管理平台的镜像和容器类的扫描任务。
(1) 点击创建扫描任务,选择扫描对象,包括镜像和容器,配置以下扫描配置即可发起扫描:包括定时和即时扫描和自动扫描模式;
(2) 自动扫描模式:高维度下新增对象时,自动触发扫描任务,如命名空间维度下新增容器,则自动触发扫描任务;
(3) 支持自动发送扫描报告到指定邮箱;
(4) 扫描完成后将汇总到处置与响应中心的漏洞风险或安全事件中,支持查看每次的扫描记录和扫描结果并支持下载扫描报告。支持设置扫描任务的执行时间段;
在扫描任务中,异常文件扫描支持通过自定义扫描范围,包括文件路径、文件名检测异常文件。支持选择指定规则扫描或者批量规则扫描
在CIS检查、测评、整改工作过程中,对定级业务系统进行对应级别的安全风险检查是技术方面的必要工作,通过使用ESM-CWPP的合规基线功能进行基线检查即可轻松完成。
ESM-CWPP把技术标准落实到每一种应用的配置检查工作上。ESM-CWPP容器安全结合等级保护工作过程,对业务系统资产进行等保定级跟踪,根据资产定级自动进行对应级别的安全配置检查,对合规情况出具相关报告,保证系统建设符合安全要求,促使安全监督检查工作高效执行。
提供官方CIS基线模板,包括docker CIS、kubernetes CIS、OpenShift CIS;
基线检查:
展示主机基线检查进度、检查状态、检查时间、异常项占比;
支持针对主机进行基线检查、重新检查
|
|
主机检查详情:展示该主机最近一次检查结果报告 |
基线模板:展示模板基本信息,可对模板进行修改、删除、复制
支持用户自定义基线模板;
支持合规基线检查策略批量下发;
创建模板步骤:
针对编排阶段的两类文件yaml文件及dockerfile文件通过系统规则和自定义规则进行风险扫描
●检测规则设置
第一步:通过页面,能查询yaml类检测规则及dockerfile类检测规则,其中两类规则包含系统规则及自定义规则。 系统规则由ESM-CWPP容器安全定期自动更新,自定义规则支持用户自定义添加编辑
Yaml规则
Dockerfile规则
第二步:点击添加规则,进入自定义规则编辑页面。可选择添加规则类型,按顺序编写规则内容,保存即可在检测规则页面查看到对应规则
Yaml类型规则设置
Dockerfile类型规则设置
●策略设置
第一步:在策略页面,可查看到当前用户所有的策略模板,包括策略名称、备注、下发时间,规则组成、下发文件等。支持查看、修改、立即下发、删除、定时下发
策略页面
|
查看下发文件 |
|
查看策略
定时下发设置
第二步:进入创建策略页面,根据页面内容,填写策略基本信息,需要下发的文件范围,及需要检测的规则
创建策略
选择文件范围
第三步:基础设置用于全局编排检测的设置。支持设置对yaml文件和dockerfile文件进行自动扫描及自动扫描规则内容;支持对yaml及dockerfile文件设置更新同步时间频率
基础设置
●yaml文件扫描
第一步:通过本地上传或集群授权拉取yaml文件。集群授权参考9.集群管理。本地上传支持上传文件后自定义文件名称及所属项目。同时可进行项目设置,添加编辑新项目
Yaml文件
本地上传
项目设置
第二步:支持针对上传或拉取的文件进行扫描及批量扫描。 动态查看扫描进展,及扫描结果。支持直接导出选中列表信息。
文件扫描风险展示
●dockerfile文件扫描
同yaml文件流程相同
Dockerfile文件扫描风
在系统管理中心,ESM-CWPP容器安全支持组件部署、主机管理、集群管理和安全规则库自定义。
部署组件包括:Agent、蜜罐服务和镜像扫描组件。
在规则库管理,支持对进程行为监控规则、后门检测规则、逃逸风险规则、风险软件规则、敏感信息规则、网页后门规则、可疑历史操作规则、镜像密钥规则等规则库进行管理
对于每类规则展示信息包括但不限于规则ID、风险等级、规则名称、更新时间等;可以查看规则详情、修改、删除规则。 同时支持自定义规则内容
用户支持自定义hash异常文件,指定hash的文件将会在告警中心告警。
支持部署:平台容器Agent、四合一Agent(Linux版本)、K8S DaemonSet Agent、镜像扫描组件、蜜罐服务组件。
(1)平台容器Agent、四合一Agent(Linux版本)通过下载安装包和命令进行部署。
(2)K8S DaemonSet Agent、镜像扫描组件、蜜罐服务组件是通过集群部署,需获取(技术支持)相关镜像,上传到镜像仓库中才可以进入部署环境。
(3)上传完镜像后,支持下载Yaml文件到master中执行部署,也可以通过平台直接推送集群中部署;
展示已部署的K8S DaemonSet Agent、镜像扫描组件、蜜罐服务组件,可查看其在线状态,以及执行卸载和停用等操作。
通过TOken或证书添加集群,拉取集群资产并建立集群的连接通道。所有集群相关的功能都需要先完成集群的添加和拉取。支持设置手动或按一定的频率自动拉取。
支持查看流量日志和集群审计日志;
集群审计支持两种方式获取日志,(1)通过该页面上传本地日志;(2)通过集群审计授权集群证书并连接拉取数据。
选择需要监控的集群,及需要监控的不同对象的操作类型。支持多选。
选择规则开关,开关打开即会对对应的操作进行检查是否存在风险。
|
|
|
支持对命名空间、状态码、时间进行过滤筛选,将过滤展示符合条件的统计图表和列表
支持统计事件总数、操作用户数、异常操作数、创建事件数、删除事件数;
支持展示集群内发生的操作趋势统计
支持统计创建事件、删除事件、更新、查询事件在各命名空间发生的次数;
支持资源对象的分布占比、状态码的分布占比、日志级别的分布占比、安全状态占比
支持对集群日志进行解析,解析内容包括事件ID、日志级别、日志所属阶段、API请求URL、操作类型、操作账号、所属命名空间、相关客户端、客户端节点IP、资源对象、状态码、安全状态、操作时间;
支持批量和全部导出数据;
支持点击事件ID查看该条操作的日志详情
微隔离系统系统的组成有业务拓扑、工作组、工作负载、策略集、标签管理、服务管理等多个功能模块,各个模块进行联动,模块间数据联通,形成闭环系统。提供多级可视化的业务拓扑与多种分段能力,实现对主机及容器全方位的精细化隔离与防护策略管理,控制业务流量访问。
微隔离系统主机绑定位于安装部署模块,主机绑定提供Windows及Linux两种类型的agent下载,支持在线安装和命令安装。
主机绑定
支持集群列表展示及管理;支持两种方式授权证书。一类上传本地证书文件,一类添加token码及集群地址。支持选择自动拉取、非自动拉取集群信息;支持测试集群连接状态;
支持编辑、删除;支持针对不同的授权集群,部署扫描器上传证书。
集群列表
添加集群
工作负载基础信息及流量信息采集至云端后,根据工作负载标签,生成实时高保真的业务拓扑图,显示工作负载如何分布在不同的位置,业务拓扑视图包含四个层级:
Ø 全局视图:根据工作负载的位置标签进行划分,展示每个位置数据中心包含的业务组及工作负载数量及区域间的访问关系;支持新增、删除位置节点;支持两种视图模式:工作视图、预览视图;支持当前位置节点总数。
全局视图
Ø 数据中心视图:由全局视图进入某个数据中心,根据业务组标签进行分组划分,展示数据中心各个业务组及业务组之间的访问关系。支持搜索业务组、工作负载、业务流量,查看详细信息;支持两种视图模式:工作视图、预览视图。支持新增工作组;支持重新排列,将视图布局初始化;支持图元配置,可配置图元总数,统计当前图元总数。
数据中心视图
Ø 业务组视图:由数据中心进入某个业务组,展示组内工作负载之间的访问关系。可查看业务组内工作负载详细信息;支持搜索工作负载、业务流量,查看详细信息;支持两种视图模式:工作视图、预览视图;支持图元配置,可配置图元总数,统计当前图元总数。对于容器小视图还可切换展示维度,可切换维度包括:POD维度、容器维度、进程维度。
业务组视图
微隔离系统可以采集到的主机及容器上的访问关系和对应的访问次数,根据对应的访问关系在拓扑图中显示对应的流量线。流量线分为三种形式:灰色流量线、红色流量线、绿色流量线。
Ø 灰色流量线,没有策略集的策略范围覆盖到该工作组时,该工作组上的流量线即为灰色。
Ø 红色流量线,当有策略集覆盖到该工作组,并且该流量线上至少有一个流量访问没有配置策略时,该流量线即为红色。
Ø 绿色流量线,当有策略集覆盖到该工作组,并且该流量线上所有流量访问都配置了策略时,该流量线显示为绿色。
(1) 业务流量详情
在拓扑图上点击流量线,可展示该流量访问的详细信息,主要显示:“服务提供者基本信息、服务访问者基本信息、服务类型、服务数量、流量计数、流量首次访问时间、流量最近访问时间”。
流量线详情
(2) 访问关系
在拓扑图中,可以对每条流量访问的历史访问关系进行清除。清除后,拓扑图中相应流量访问信息被清除,但历史流量日志不会被清除。
历史流量清除
(3) 策略添加与删除
在拓扑图中,可以针对每条流量访问,对其进行添加策略,支持添加允许策略或阻断策略,或者删除已添加的策略。
添加或删除策略后,流量线会显示与策略匹配后的结果颜色,当工作组和工作负载都为测试模式时,策略不会立即生效,当工作组和工作负载至少有一个为防护模式时,策略会立即生效。
策略添加
(4) 流量合并
数据中心视图层级支持流量合并功能,可以解决因某个区域部署的工作负载数量过多或该区域工作负载的访问关系过于复杂时,视图上流量线数量过多问题。支持工作组合并、角色合并:
Ø 工作组合并:由全局视图进入数据中心视图时,业务组默认合并显示,仅展示组间合并流量线与角色、工作负载和异常流量线数量,可大大减少视图上流量线数量。
具体操作:
· 点击工作组,在详情弹窗中点击“合并”、“展开”按钮对工作组进行合并、展开,组间流量线同步合并、展开;
· 点击组间合并流量线,在详情弹窗中点击“展开”按钮,展开流量线关联的两端工作组,组间流量线同步展开;
· 点击导航栏中的“合并工作组”,将视图中所有工作合并,组间流量线同步合并;
工作组合并
工作组展开
Ø 角色合并:支持将同一工作组中角色标签及防护状态相同的工作负载合并为一个角色节点,合并后可减少组内流量线数量。
具体操作:
· 点击工作组,详情弹窗中点击角色“合并”、“展开”按钮,将组中满足合并条件的工作负载进行合并、展开,组内流量线同步合并、展开;
· 点击角色节点,详情弹窗中点击“合并”、“展开”按钮,将与该角色节点角色及防护状态相同的工作负载合并、展开,组内流量线同步合并、展开;
· 点击工作负载,详情弹窗中点击“合并”按钮,将与该工作负载角色及防护状态相同的工作负载合并,组内流量线同步合并;
角色组展开/合并
(5) 拓扑过滤
支持对通过的流量属性过滤,包括:“组内、跨组、互联网、IP列表”。
支持对添加的规则进行过滤,包括:“规则内允许、规则内阻断、规则外、无规则”。
支持对流量访问状态进行过滤,包括:“访问成功、访问失败”。
支持对工作负载策略状态过滤,包括:“测试、防护、无规则”。
支持按时间进行流量线过滤。
支持按所属人进工作组过滤。
通过在流量过滤器中进行单选或者复选,可以组合显示或隐藏拓扑图的不同元素,帮助用户有针对性的进行管理。(所有选项默认都被选中)
拓扑图过滤
微隔离系统工作负载分为主机维度工作负载及容器维度工作负载。
对于主机维度,安装部署后,通过四个维度(位置、应用、环境、角色)为主机工作负载贴标签。业务组标签(位置、应用、环境)和角色标签的组合形成工作负载唯一的安全属性。微隔离系统会根据业务组标签自动对工作负载进行分组,并采集工作负载资产信息,包括:IP地址、主机名、服务、端口等信息。
对于容器维度,首先会采集容器、POD、命名空间、集群等维度的资产信息,并且以POD作为工作负载。其次会根据集群、命名空间、应用信息,自动为POD工作负载生成组标签。角色标签需要自定义分配。微隔离系统会采集POD的名称、相关容器、相关镜像、运行进程等基础信息,并展示其他工作负载与之通信的信息。
工作负载模块中,工作负载列表展示了所有主机工作负载的概括信息,包括:agent接入状态、主机名称、所属工作组、组标签(位置、应用、环境)、角色标签、启用状态、防护状态。支持通过名称、主机IP、所属工作组、角色、主机状态、防护状态、启用状态对工作负载进行过滤。
Ø 支持导入标签,将已有主机标签信息导出,修改,导入后可在平台中自动生成标签及分组,若该分组下已设置策略将自动继承该分组策略。
Ø 支持切换工作负载防护状态(防护、测试),可批量或单条修改工作负载防护状态。
Ø 支持编辑工作负载所属工作组,可批量或单条修改工作负载所属工作组。
Ø 支持编辑工作负载角色标签,可批量或单条修改工作负载角色标签。
Ø 支持删除离线工作负载,在线工作负载不可被删除。可批量或单条删除离线工作负载。
Ø 支持同步通用模块分组信息。
Ø 支持iptables规则采集、下载。
工作负载列表
(1) 工作负载详情
在工作负载列表标签页中,点击详情可展示工作负载详细信息标签页,包括工作负载基础信息:系统信息、业务信息和Agent信息;
工作负载提供的服务,包括服务名称、地址、端口、进程路径,可查看服务进程树;
工作负载下的策略集及相关的安全策略,包括:规则状态、服务名称、协议端口、访问IP、规则类型、优先级。
工作负载-工作负载详情
(2) 工作负载角色修改
在标签页中编辑工作负载,可修改该工作负载的角色标签。当角色修改后,工作负载将会清除原先自身的策略,继承新角色的策略。
工作负载-工作负载角色修改
(3) 工作负载防护状态修改
工作负载列表可修改策略防护状态,可在测试和防护两种模式互相切换,点击防护状态编辑按钮进行切换。
当工作负载和所属工作组的策略防护状态均为测试模式时,作用于该工作负载的策略不会生效,不会阻断流量,所有访问都会成功。
当工作负载和所属工作组的策略防护状态至少有一个为防护模式时,作用于该工作负载的策略都生效,所有流量都会根据策略来控制。
工作负载-工作负载防护状态修改
(4) 同步通用模块分组
工作负载支持同步通用模块分组信息,支持批量及单台进行分组同步。点击同步后工作负载将根据通用模块所在分组进行换组,原有规则将被删除;若工作负载在通用模块中处于未分组,则不进行换组。
同步分组
(5) iptables规则采集
支持采集工作负载当前生效的iptables规则,支持单台、批量进行规则采集,支持设置规则采集频率。
采集评率设置:仅采集一次、10分钟、1小时、8小时、24小时、7天、暂停更新。
Iptables规则下载:当工作负载启用规则采集后,支持下载规则进行查看。
Iptables规则采集
(6) 查看工作负载策略
可查看工作负载下的策略集,查看策略集包含的安全策略,包括:服务提供者、服务、服务访问者、规则类型、优先级,支持拖动修改策略集匹配顺序。支持已启用策略、预览策略双维度查看。
工作负载策略
(7) 删除工作负载策略
在拓扑图中,通过点击工作负载,在工作负载详情中删除对应策略。
当工作负载为测试模式时,删除策略并发布策略集,只会改变相应流量线的颜色,不会改变流量访问。
当工作负载为防护模式时,删除策略并发布策略集,会改变相应流量线的颜色,同时阻止相应流量访问。
POD工作负载列表中,展示了所有POD工作负载的概括信息,包括:运行状态、POD名称、IP地址、所属命名空间、组标签(位置、应用、环境)、角色、防护状态。支持通过命名空间名称、POD名称、角色名称、主机IP、防护状态、运行状态对POD工作负载进行过滤。
Ø 支持切换POD工作负载防护状态(防护、测试),可批量或单条修改POD工作负载防护状态。
Ø 支持编辑POD工作负载角色标签,可批量或单条修改工作负载角色标签。
POD工作负载列表
(1) POD工作负载详情
点击详情可展示POD工作负载详细信息标签页,包括POD工作负载基础信息:系统信息、业务信息和POD信息;
POD下包含的容器信息,包括容器名称、主机、命名空间、POD、相关镜像、进程数量、容器进程树;
容器下的进程信息,包括;进程名、PID、hash值、程序路径、发现时间;
POD工作负载下的策略集及相关的安全策略规则,包括:规则状态、服务名称、协议端口、访问IP、规则类型、优先级。
工作负载-POD工作负载详情
(2) POD工作负载角色修改
当角色修改后,将会清除原先自身的策略,继承新角色的策略。
工作负载-POD工作负载角色修改
(3) POD工作负载防护状态修改
当POD工作负载以及所属命名空间组的防护状态均为测试模式时,作用于该POD工作负载的策略不会生效,不阻断流量,所有访问都会成功。
当POD工作负载以及所属命名空间组的防护状态至少有一个为防护模式时,作用于该POD工作负载的策略会生效,所有流量都会根据策略来控制。
标签页中修改POD工作负载策略状态原理相同,点击“编辑防护状态”进行切换。
工作负载-POD工作负载防护状态修改
(4) 查看POD工作负载策略
可查看POD工作负载下的策略集,查看策略集包含的安全策略,包括:服务提供者、服务、服务访问者、规则类型、优先级,支持拖动修改策略集匹配顺序。支持已启用策略、预览策略双维度查看。
Pod工作负载策略
(5) 删除POD工作负载策略
可在POD工作负载详情中删除对应策略。工作负载为测试模式时,删除策略只会改变相应流量线的颜色,不会改变流量访问。当工作负载为防护模式时,删除策略会改变相应流量线的颜色,同时会改变流量访问。
在工作负载配置标签页中,展示了所有工作负载的配置信息,包括:配置状态、主机名称、流量配置模式、TCP协议流量状态、UDP协议流量状态、ICMP协议流量状态、阻断流量状态、入站流量状态、出站流量状态、下发时间。
Ø 支持流量采集模式配置,支持主机模式(采集主机维度流量)、容器模式(采集容器维度流量)、禁用(禁用后不采集流量),
Ø 支持TCP协议流量采集配置,启用则采集TCP协议流量;
Ø 支持UDP协议流量采集配置,启用则采集UDP协议流量;
Ø 支持ICMP协议流量采集配置,启用则采集ICMP协议流量;
Ø 支持出入站流量采集配置,启用则采集出站、入站流量;
Ø 支持流量规则模式配置,支持主机模式(下发主机维度规则)、容器模式(下发容器维度规则)和禁用规则,启用后会默认启动iptables服务(Linux),禁用后阻断流量采集配置将禁用;
Ø 支持阻断流量采集配置,启用则采集阻断流量;
工作负载配置
微隔离系统工作组分为主机维度工作组及容器维度工作组。
对于主机维度,工作组用于主机工作负载分组。可以通过工作组的形式,将具有相同属性标签的主机工作负载放在一起,形成一个业务系统。同一个业务系统可以视为同一个安全域。
对于容器维度,微隔离系统将命名空间作为工作组。根据采集到的集群信息、应用信息及命名空间信息,自动生成命名空间组的组标签(集群名称作为位置标签、集群类型作为应用标签、命名空间名称作为环境标签)。微隔离系统会自动根据集群位置标签生成位置节点,并且根据所属命名空间对POD进行自动分组。
工作组列表展示了所有主机工作组的概括信息,包括:工作组名称、组标签(位置、应用、环境)、所含角色(角色名称、角色数量)、所含工作负载数量、防护状态。支持通过工作组名称、角色和防护状态进行工作组筛选。
Ø 支持删除空工作组,可批量或单条删除空工作组,非空工作组不可删除。
Ø 支持修改工作组防护状态,可批量或单条修改工作组防护状态。
Ø 支持添加工作组,点击“添加工作组”按钮,可新增工作组。
工作组列表
(1) 工作组详情
点击工作组可查看工作组的基础信息,包括:工作组名、组标签(位置、应用、环境)、角色(角色名称、角色数量)、所含工作负载数量、组防护状态、生效规则数量、总规则数量;工作组内包含的工作负载信息;展示工作组策略信息。
工作组-工作组详情
(2) 工作组防护状态修改
将工作组修改为测试模式时,作用于该工作组的策略都不会生效,但不阻断流量,所有访问都会成功。
将工作组修改为防护模式时,作用于该工作组的策略都会生效,所有访问都会根据策略来控制。
工作组-工作组防护状态修改
(3) 查看工作组策略
对应工作组的策略中,可查工作组下的策略集,可查看策略集包含的安全策略,包括:服务提供者、服务、服务访问者、规则类型、优先级,支持拖动修改策略集匹配顺序。支持已启用策略、预览策略双维度查看。
在预览策略维度中,支持调整策略集匹配顺序,排在策略集模式为严格模式或宽松模式下的策略集,策略规则不生效(严格或宽松模式的策略集,都会有默认规则,所以优先级低的策略集不会生效)。
工作组策略
命名空间组标签页中,展示了所有命名空间组的概括信息,包括:命名空间名称、组标签(位置、应用、环境)、所含角色(角色名称、角色数量)、所含POD数量、防护状态。支持通过命名空间名称、POD角色进行命名空间组筛选。支持修改命名空间组防护状态,可批量或单条修改工作组防护状态。
命名空间组列表
(1) 命名空间组详情
点击详情可查看命名空间组的基础信息,包括:命名空间组名、组标签(位置、应用、环境)、角色(角色名称、角色数量)、所含POD数量、组防护状态、生效规则数量、总规则数量、创建时间、更新时间;命名空间组内包含的POD信息;展示命名空间组策略信息。
工作组-命名空间组详情
(2) 命名空间组防护状态修改
将命名空间组修改为测试模式时,作用于该命名空间组的策略都会生效,但不阻断流量,所有访问都会成功。
将命名空间组修改为防护模式时,作用于该命名空间组的策略都会生效,所有访问都会根据策略来控制。
工作组-命名空间组防护状态修改
(3) 查看命名空间组策略
可查看命名空间组下的策略集,可查看策略集包含的安全策略,包括:服务提供者、服务、服务访问者、规则类型、优先级。支持已启用策略、预览策略双维度查看。
在预览策略维度中,支持调整策略集匹配顺序,排在策略集模式为严格模式或宽松模式下的策略集,策略规则不生效(严格或宽松模式的策略集,都会有默认规则,所以优先级低的策略集不会生效)。
命名空间组策略
微隔离系统通过策略集来控制工作负载的防护策略,策略集由用户自定义创建,添加相应策略后,通过策略范围来指定下发到哪些工作组内的对应工作负载。
在策略集列表中,展示所有策略集的概括信息,包括:策略集状态、名称、模式、类型、作用范围、生效时间、描述、最后修改人、修改时间;支持通过策略集名称、作用范围、描述、状态、模式以及类型进行策略集过滤。点击策略集可以查看策略集的基础信息、范围和策略信息。
策略集列表
(1) 策略状态
· 策略集共有五个状态:“新创建、待发布、已启用、已禁用、已修改、已失效”。
· 新创建:新建的策略集没有任何策略范围和策略,状态即显示为“新创建”,支持对该策略集“编辑、删除”操作。
· 待发布:新建的策略集添加了策略范围和策略,状态即更新为“待发布”,支持对该策略集“编辑、删除、发布”操作。
· 已启用:当“新创建”或“已修改”策略集发布后,以及“已禁用”策略集启用后,状态即更新为“已启用”,支持对该策略集“编辑、禁用”操作。
· 已禁用:当“已启用”策略集禁用后,状态即更新为“已禁用”,支持对该策略集“编辑、删除、启用”操作。
· 已修改:当“已启用”策略集编辑修改策略范围或策略后,状态即更新为“已修改”,支持对该策略“编辑、发布”操作。
· 已失效:当策略集不在生效时间范围内,状态即更新为“已失效”,支持对该策略“编辑、删除”
(2) 添加策略集
在策略集标签页中,可添加策略集,需填写“策略集名称、策略集类型、策略集模式、作用范围、生效时间、描述”。
Ø 支持三种策略模式:严格模式、宽松模式、自定义模式
严格模式:未设置规则的流量默认阻止;
宽松模式:未设置规则的流量默认允许;
自定义模式:未设置规则的流量默认不处理;
添加策略集
(3) 删除策略集
可通过复选框,进行批量或单条删除策略集,策略集状态为已禁用、新创建、待发布的策略集才可删除。
(4) 禁用策略集
可通过复选框,进行批量或单条禁用策略集,已启用状态的策略集才可禁用。策略集禁用后,微隔离系统会将相关已生效的防护策略删除。
(5) 启用策略集
可通过复选框,进行批量或单条启用策略集。策略集启用后,微隔离系统会将相关处于防护生效状态的防护策略,下发至工作负载。
策略范围定义了,该策略集具体会作用到哪些工作组,当策略范围为空时,配置的策略不会对任意一个工作组生效。在策略集范围和策略标签页中,可查看到策略集范围信息,包括:状态、工作组名、组标签(位置、应用、环境)、描述、最后修改人、修改时间。
策略范围
(1) 添加策略范围
在策略集范围和策略标签页中,可添加策略集范围,需填写“工作组(位置、应用、环境)、描述”。
添加策略范围后,范围内工作组的流量线颜色会对应变化。发布策略集后,如果覆盖到的工作组处于防护模式时,策略会直接下发至对应工作负载。如果工作组处于测试模式时,策略不会下发。
添加策略范围
(2) 删除策略范围
支持通过勾选复选框,进行批量或单条删除策略范围。删除策略范围并发布策略集后,被删除的策略范围下的防护模式工作负载,会删除相关的策略。
策略集规则分为“组内入站规则”、“组间入站规则”、“组间出站规则”。
组内入站规则:策略的服务访问者和服务提供者都在同一个工作组内,并且该工作组在策略范围内;
组间入站规则:策略的服务访问者和服务提供者不在同一个工作组内,并且服务提供者所在工作组在策略范围而内;(访问者可以是IP列表或ALL)
组间出站规则:策略的服务访问者所在工作组在策略范围内,服务提供者是IP列表或ALL。
策略集规则
(1) 添加与编辑策略规则
添加主机工作负载维度策略,策略规则细粒度目前分为:单台工作负载、角色、工作组、所有工作负载、IP列表、0.0.0.0/0。
添加容器工作负载维度策略,策略规则细粒度目前分为:角色、单个POD、命名空间组、所有POD、IP列表、0.0.0.0/0。
组内和组间规则添加与编辑方式相同,包括:“访问类型(入站、出站)、规则类型(允许、阻断)、规则优先级(数值越大优先级越高)、服务提供者、服务、服务提供者”。
当工作组为测试模式时,添加与编辑策略会改变相应流量线的颜色。发布策略集后,不会改变流量访问状态。
当工作组为防护模式时,添加与编辑策略会改变相应流量线的颜色。发布策略集后,会改变流量访问状态,会根据策略规则允许或阻断访问。
添加策略集规则
(2) 删除策略规则
通过复选框,可以批量或单条删除策略规则。
当工作组为测试模式时,删除策略会改变相应流量线的颜色。发布策略集后,不会改变流量访问状态。
当工作组为防护模式时,删除策略会改变相应流量线的颜色。发布策略集后,会改变流量访问状态。
(3) 自动生成策略规则
支持通过策略生成器快速、批量添加安全策略。自动生成策略标签页展示所选的策略集、策略范围及统计组内、组间、IP列表三个维度流量的规则覆盖率。
使用策略生成器添加规则步骤:
Ø 在策略集列表选择策略集或新建策略集:
自动生成策略只针对已经启用,且策略范围内存在访问关系的策略集;
通过新建策略集自动生成策略时,策略模式需选择自定义模式;
选择策略集
Ø 选择流量维度,提供组内、组间、IP列表三个维度,支持查看策略范围内各个维度流量的规则覆盖率;
选择流量类型
Ø 根据流量规则覆盖率及业务需求,选择规则生成方式:
增量生成:显示覆盖工作组下的所有拒绝的流量,生成的策略添加至原有策略集;
全量生成:显示覆盖工作组下的所有流量,生成的策略会覆盖原有的策略集,原有的策略规则将会被删除;
选择规则生成方式
Ø 选择规则生成维度,提供三个规则维度:提供者维度、服务维度、访问者维度
· 提供者维度包括:
所有工作负载维度:策略范围内所有工作负载都可以作为服务提供者;
角色维度:策略范围内覆盖的角色可以作为服务提供者;
· 服务维度包括:
所有服务维度:工作负载可以通过所有TCP服务进行通信;
单个服务维度:工作负载可以通过指定服务进行通信 ;
· 访问者维度包括:
组内:
所有工作负载维度:策略范围内所有工作负载都进行通信;
角色维度:策略范围内覆盖的角色可以进行通信;
组间:
工作组维度:指定工作组中所有工作负载都可与其他工作组中所有工作负载进行通信;
角色维度:工作组中包含的所有角色可以与其他工作组中指定工作负载进行通信;
IP列表:
IP列表维度:已创建的IP列表或者默认IP列表可与策略范围内的工作负载或指定工作负载进行通信;
Ø 配置规则类型:
允许规则:添加允许规则,服务访问者允许访问服务提供者的相关服务;
阻断规则:添加阻断规则,服务访问者不允许访问服务提供者的相关服务;
忽略规则:不添加规则,生成策略规则时,忽略该规则;
配置规则类型
Ø 预览生成规则:可查看即将生成的规则,确认无误后可生成规则。如选择全量生成规则,显示将要被删除的规则
预览规则
微隔离系统提供四维标签模型:位置、应用、环境、角色,每个标签维度都是独立的,其中位置、应用、环境三个标签组合成工作组标签。工作负载安装部署后,根据四个标签维度为工作负载贴标签。工作组标签与角色标签组合形成一组工作负载唯一的安全属性,工作负载自动根据业务组标签进行分组。
通过标签管理来集中管理系统中各类标签,可查看系统中各类标签的详细信息,包括:标签名称、标签类型、创建时间。支持通过标签名称及标签类型进行筛选,可添加或删除标签。
标签列表
在标签管理页中,点击“添加”按钮添加新标签,需填写“标签类型(位置、应用、环境、角色)、标签名称”,支持创建多个同类型的标签,多个标签名称以英文逗号隔开。
添加标签
在标签管理页中可删除标签,支持批量删除和单个删除。
通过点击列表上方的“删除”按钮进行批量删除标签;点击标签栏中的删除标签删除单个标签;
只能删除无关联的标签,正在使用的标签删除时自动跳过不删除。
删除标签
微隔离系统通过服务管理来集中管理系统中的各类服务,可查看系统中各类服务的详细信息,包括:服务名、协议类型、端口、描述、最后修改人、最后修改时间。可通过服务名称、端口名称及协议类型进行筛选,支持添加或删除服务。
服务列表
在服务管理标签页中,点击“添加”按钮添加服务,需填写“服务名称、协议类型、端口号、服务描述”。
添加服务
在服务管理标签页中,可修改服务信息,通过点击操作栏的编辑标签修改服务信息,支持修改服务名称、协议类型、端口号、服务描述。
修改服务
在服务管理标签页中可删除服务,支持批量删除和单个删除。通过点击列表上方的“删除”按钮可批量删除服务;点击标签栏中的删除标签可删除单个服务。
IP列表允许自定义的IP地址段,可以对自定的IP列表进行策略配置,实现通过IP地址段对流量访问进行集中控制。
IP列表标签页中,显示IP列表的“名称、IP地址、上次修改时间、上次修改人、描述”。
IP列表
支持新增IP列表,需填写“IP列表名称、描述、IP地址”。
IP地址支持跨两段,如:1.1.1.1-1.1.2.254;
支持通配符*,如:1.0.0.*,1.1.*.*;
支持CIDR格式,如:10.0.0.0/8、192.168.0.0/16。
添加IP列表
支持对已有的IP列表进行编辑 。
通过操作栏编辑IP列表的“IP列表名称、描述、IP地址”。
修改IP列表后,相关的策略会自动同步更新。
编辑IP列表
支持对已有的IP列表进行删除。支持批量或单条删除IP列表。
IP列表与策略相关联时(有策略设置了该IP列表),则该IP列表不可删除。
微隔离系统通过流量日志来采集系统中的各类流量信息,可查看系统中各类流量的详细信息,包括:提供者、提供者来源、提供者服务、访问者、访问者来源、首次访问时间、最新访问时间、访问次数、规则状态、连接状态、流量状态。可通过采集时间(今天、昨天、7天、30、自定义时间区间)、协议类型、访问状态、搜索IP、搜索提供者来源等进行流量日志过滤;
Ø 流量日志显示的为10分钟前的数据,点击“刷新”按钮可展示最新的流量日志数据;
Ø 在业务拓扑图中的工作负载和工作组详情弹窗中提供流量日志入口,点击可跳转至流日志标签页;
Ø 流量日志支持全部或导出列表所选。筛选需要导出的流量,点击导出按钮导出流量信息;
Ø 支持通过syslog输出流量日志信息。
流量日志
概况页用以显示系统基本概况,用户可根据需求选择不同站点以及时段展示对应信息。展示攻击总数、攻击IP、独立访客、浏览次数统计数据,WEB攻击趋势以及访问趋势,攻击来源IP Top5、攻击来源区域Top5、攻击类型分布以及攻击站点分布统计图,统计图可直接进入攻击分析模块。
可以通过筛选站点、时间来显示单个站点的情况。
攻击分析包括攻击事件分析和攻击源分析。
攻击分析可选择展示不同时间段的攻击事件,通过对各类型攻击事件及RASP攻击类别的采集分析生成攻击趋势图,攻击分布图等图表,只管展示各类型攻击事件。根据攻击事件危险程度自动匹配风险等级,并提供详实的攻击特征描述,用户可以此为参考对攻击者真实IP和代理IP进行加黑处理,也可导出攻击事件做后续攻击分析。
支持选择时间周期进行选择。点击站点,进入单个站点概况统计页面。
点击攻击者IP,进行攻击源IP详情页面。如下图:
l 加入黑名单
将攻击源IP加入黑名单,并自动下发到站点,禁止该黑名单ip访问站点。支持批量加入黑名单,同时支持全部加入黑名单。
l 导出功能
导出黑名单IP。可以批量导出,也可以支持全部导出。
每天都有大量的攻击发生,包含了有组织有目的黑客团伙以及闲暇散兵,从用户角度来看,真正构成威胁,最迫切需要关注就是如何识别出高级别的定向攻击威胁。
攻击分析-定向攻击分析
定向攻击分析的范围包括:定向渗透攻击、定向WEB扫描。
定向渗透攻击
定向渗透攻击,对用户服务器和网站安全的威胁程度很高,如果渗透成功则往往意味用户的服务器或网站就被会黑客成功入侵。通过统计从最近24小时计算同一攻击者IP针对该用户服务器和网站攻击来确定当前用户进行定向攻击。用户可设置渗透攻击事件持续多少次,自动下发至客户端IP黑名单库。
定向攻击分析-定向渗透攻击设置
定向WEB扫描
黑客利用工具进行持续性的扫描,或同时混杂大量的攻击尝试以便找出目标对象存在的弱点。从最近1小时统计同一攻击者IP针对该用户WEB应用的持续攻击次数和攻击速度,当攻击次数、攻击速度超出一定值时,则表明该IP针对当前用户进行定向扫描。用户可设置定向WEB扫描事件持续,自动下发至客户端IP黑名单库。
定向攻击分析-定向WEB攻击设置
攻击分析可选择展示不同时间段的攻击事件,通过对各攻击源的采集统计生成攻击来源IP Top5以及攻击来源区域 Top5等图表,只管展示各攻击源。根据攻击源危险程度自动匹配风险等级,并提供详实的攻击特征描述,用户可以此为参考对攻击者IP进行加黑处理,也可导出攻击源做后续攻击分析。
攻击源分析
l 加入黑名单
将攻击源IP加入黑名单,并下发到站点,禁止该黑名单ip访问站点。支持批量加入黑名单,同时支持全部加入黑名单。
l 导出功能
导出黑名单IP,可以批量导出,也可以支持全部导出。
防护列表显示当前所有WAF节点以及站点信息。WAF节点信息包括IP地址,防护状态,RASP防护,Agent类型,站点个数,安装时间等,可进行手动关闭开启防护。
防护列表
点击站点个数下拉显示站点列,点击操作-展开显示站点列表,点击站点数下拉显示站点列表,再次点击隐藏下拉显示。节点下的站点支持手动添加以及删除。
注:部分主机安装客户端后,需要等待后台的plugin.js文件上报成功后,点击配置才能显示RASP防护配置内容。
可针对单个站点进行防护的开启和关闭。
站点列表
(1) 防护设置
其中可对WAF节点进行防护配置。默认启用防护并且不记录拦截,可手动启动关闭防护以及是否记录防护模式。
防护设置根据不同的客户端包含不同的设置项。基本设置项包括漏洞防护、文件防护、资源防护、内容防护、webshell防护以及cc攻击防护。
l 漏洞防护
漏洞防护可设置HTTP安全检测以及上传防护,防护模式支持只记录模式和记录拦模式。
1) HTTP安全检测:支持新增HTTP检测规则。设置规则可添加站点白名单,输入对应正则表达式,可以对检测项目进行选择,包括URL、cookie、post、HTTP头部。
HTTP安全检测
HTTP安全检测-新增规则
2) 上传防护:该功能为禁止上传的文件类型,支持新增禁止上传文件类型。
上传防护-新增规则
l 文件防护
支持短文件名防护、目录漏洞防护、禁止浏览畸形文件的记录和拦截模式。
l 资源防护设置
资源防护设置资源防盗链以及特定资源保护。
1) 资源防盗链:防护模式有会话模式和引用模式,用户可根据自己网站的需求自行选择使用哪种方式。
会话模式,如果需要对流媒体类型的防盗链,比如MP3;WMA等在线播放资源的防护,可选会话模式;会话模式针对浏览器访问用户资源时设置了两种基本浏览器行为,基于内存或者基于文件;资源类型添加需要防护的文件类型,有效时间等。
资源防盗链-新增规则-会话模式
引用模式,如果需要对图片、下载资源等类型的防护,可选引用方式。可自行添加保护资源类型,在填写类型的时候只需要填入纯粹的扩展名,如rar;可自行设置信任域名添加为白名单,信任域名将不再防护之内。
资源防盗链-新增规则-引用模式
2) 特定资源保护,防护模式有资源路径保护和资源类型保护,用户可根据自己网站的需求自行选择使用哪种方式。
资源路径保护,设置适用于同种资源类型内个别资源需要防下载。路径设置有两种模式,分别为网络路径和物理路径。网络路径为网络上的资源路径,输入/开头的网络文件路径或目录路径。物理路径为本地磁盘文件所在的路径,可选择所需保护的资源文件。
特定资源保护-新增规则-资源路径保护
资源类型保护,适用于大量文件并且同种资源类型内都需要进行放下载设置,用户可通过新增和删除所需防护资源的扩展名。
特定资源保护-新增规则-资源类型保护
l 内容防护
内容防护支持设置网站后台防护以及响应内容防护。
1) 网站后台防护:新增规则设置所需防护网站域名。防护路径,输入子定义的虚拟地址一个网络文件路径。可选择以IP验证或者密码验证的方式进行验证。选择信任IP地址。
网站后台防护-新增规则
2) 响应内容防护:
该功能主要是HTTP请求错误类型防护,新增规则可以添加HTTP错误请求类型,如400、404、403等。
响应内容防护-新增规则
l webshell防护
webshell防护主要是对浏览时进行防护,可以添加规则支持新增防护的文件类型。
可以支持添加浏览防护的文件类型,以及针对添加的防护类型适用的站点白名单、路径白名单功能。
Webshell防护-新增规则
Webshell防护-白名单
l CC攻击防护
可手动启动防护,对防护规则进行设置。
CC攻击防护
可添加CC攻击网站白名单以及路径白名单。
CC攻击-网站白名单
CC攻击-路径白名单
(2) RASP设置
Agent类型为java时,可对节点进行防护RASP配置。每项防护可选择只记录模式,如果打开拦截开关会默认打开记录模式。对防护设置改变需进行保存,系统可恢复默认设置。
l 漏洞防护
漏洞防护分为3部分,反序列化漏洞防护、OGNL代码执行漏洞防护、SSRF攻击防护。可进行拦截以及记录。
反序列化漏洞防护,防止用户输入的包含的文本信息或数据流在反序列化时导致代码被执行。
OGNL代码执行漏洞防护防止包含命令等的OGNL表达式在Struts框架远程代码执行导致信息被破坏或泄漏。
SSRF攻击防护,防止服务端请求伪造,避免通过对外开放的服务器访问到其内部服务器信息。
RASP设置-漏洞防护
l 注入防护
注入防护包括命令注入防护、SQL注入防护、XXE攻击防护。
RASP设置-注入防护
l 文件防护
文件防护包括对文件上传、文件写入、文件访问、文件包含攻击防护以及目录遍历防护。
RASP设置-文件防护
新增ip地址,配置访问控制规则来添加黑白名单,添加的黑白名单仅针对配置的特定域名生效。
l 添加&删除黑白名单
添加需要设置黑白名单的IP地址,选择作用的范围。
黑白名单管理-新增
l 黑白名单下发
根据添加的黑白名单选择批量下发或全部下发选择作用范围和作用的站点域名。
l 导出
支持IP黑白名单的批量和全部导出excel表格。
l 爬虫白名单
根据添加的爬虫名单选择批量下发或全部下发选择作用范围和作用的站点域名。
支持对特定地区的来源IP进行封禁,在对应的域名开启防护模块后,可对封禁区域进行设置,支持国内各省份和国外。可批量导入导出。
封禁区域
CVE上公布了2000多个数据库安全漏洞,这些漏洞给入侵者敞开了大门。数据库厂商会定期推出数据库漏洞补丁,由于数据库打补丁工作的复杂性和对应用稳定性的考虑,就可能无法及时更新补丁。提供了虚拟补丁功能,在网络层创建了一个安全层,自动下载虚拟补丁供客户使用,对WEB漏洞利用进行有效拦截,从而及时消除Web漏洞,完成WEB漏洞防护,形成“从漏洞监控到虚拟补丁”的闭环管理。
虚拟补丁功能提供了虚拟补丁详细信息,包括漏洞名称、漏洞描述、补丁更新时间以及安全建议。同时提供查看虚拟补丁拦截的攻击行为。
虚拟补丁
支持开启和关闭虚拟补丁
系统提供了整个系统的操作日志审计功能,可以查看操作内容、操作用户、操作时间。可以通过时间、模块和用户进行筛选操作日志。
操作日志
登录日志记录了系统的登录用户、登录IP和登录时间。通过前台登录=》用户中心=》登录日志,进入登录日志界面查看登录信息。
告警设置模块主要用于有记录拦截到攻击事件后,系统第一时间以邮件或短信的方式通知用户及时处理,避免出现问题时无法及时发现并第一时间进行处理。
用户登录前台系统页面,进入告警设置模块,首先设置告警接收的手机号和邮箱地址。设置完成后,选择需要发送告警通知的攻击事件。
注:邮箱服务器和短信服务需要在管理后台进行配置。其中短信服务配置可选择短信服务网关,但需要连接互联网,也可以选择本地短信服务,需要配置短信猫设备,并进行短信服务的对接开发。
告警设置
提供安全报表,提供给客户了解节点的所有防护统计。可根据需求选择节点生成对应的日报、周报、月报或半年报。报表内容包括整体态势、攻击事件统计以及网站访问统计。
安全报表
支持
