HSS提供资产管理功能,主动检测主机中的开放端口、系统运行中的进程、主机中的Web目录和自启动项,并对账号信息和软件信息的变动情况进行记录。
通过资产管理,您能集中清点主机中的各项资产信息,及时发现主机中含有风险的各项资产。
资产管理仅提供风险检测功能,若发现有可疑资产信息,请手动处理。
检测周期
账号信息管理、开放端口检测:实时检测。开放端口检测结果每6小时刷新一次统计数据。
进程信息管理、Web目录管理、软件信息管理、自启动:每日凌晨自动进行一次检测。
查看主机中的资产信息
1、登录管理控制台。
2、在页面左上角选择“区域”,单击
,选择“安全 > 企业主机安全”,进入企业主机安全页面。
3、进入“资产管理”页面,选择不同页签,查看HSS检测到的您服务器上的所有资产。
进入资产管理页面
账号信息管理
历史变动状态说明:
- 变动状态:新建(新建了账号)、删除(删除了账号)、修改(修改了账号名、管理员权限或用户组等信息)。
- 发生变动时间:由于为周期收集,变动记录的时间是获取到改动的时间,非真实发生的时间。
根据实时账号数据和历史变动记录,您可以统一管理所有主机中的账号信息。若发现系统中有不必要的多余账号,或者发现有超级权限的账号(拥有root权限),需要排查这些账号是否是正常业务使用,如果不是则建议删除多余账号或者修改账号的权限,避免账号被黑客利用。
开放端口检测
根据开放端口检测结果中的详细信息,您可以统一管理所有主机中的开放端口。
-
手动关闭风险端口如果检测到开放了危险端口或者开放了不必要的端口,需要排查这些端口是否是正常业务使用,如果不是正常业务端口,建议关闭端口。对于危险端口建议进一步检查程序文件,如果存在风险建议删除或者隔离源文件。
建议您及时优先处理危险程度为“危险”的端口,根据业务实际情况处理危险程度为“未知”的端口。
-
忽略风险:如果检测出的危险端口是业务正在使用的正常端口,您可以忽略该条告警。忽略之后将不再作为危险项进行记录,也不再发送告警。
进程信息管理
根据进程检测结果中的详细信息,您可以快速查看主机中可疑的应用进程,并及时终止可疑的应用进程。
进程信息管理检测的机制是30天检测不到进程后,自动清除进程信息管理列表中的进程信息。
Web目录管理
HSS能够检测出主机中存在的Web目录,您可以根据检测结果及时发现主机中可能含有风险的Web目录,及时删除可疑的Web目录并终止可疑的进程。
软件信息管理
历史变动状态:
- 变动状态:新增(新增的软件)、删除(删除的软件)。
- 发生变动时间:由于为周期收集,变动记录的时间是获取到改动的时间,非真实发生的时间。根据实时软件数据和历史变动记录,您可以统一管理所有主机中的软件信息。若发现主机中的软件版本过低或存在可疑的软件,您可以及时升级低版本的软件或删除可疑和无需使用的软件。
自启动
大多数木马通常通过创建自启动服务、定时任务、预加载动态库、Run注册表键或者开启启动文件夹的方式入侵主机,自启动管理会收集所有云主机自启动的汇总信息,包含自启动的名称、类型和覆盖主机数。您可以根据统计并展示的自启动信息,快速发现主机中可疑的自启动。
您可以查看自启动项对应的服务器名称、路径、文件HASH和最后修改时间,及时发现并清除木马程序问题。
