服务器安全卫士(原生版)是一款全方位保障云上服务器安全的产品,能全面识别并管理服务器中的信息资产、实时监测服务器风险并阻止非法入侵行为,当发现服务器出现安全问题时,第一时间向您发出告警通知。主要包括资产清点、漏洞扫描、入侵检测、基线检查、弱口令检测、病毒查杀等功能,帮助您构建服务器安全防护体系。
使用指引
服务器安全卫士(原生版)提供基础版、企业版、旗舰版供用户选择,不同版本差异请参见产品规格。
基础版防护
若您使用基础版进行防护,使用流程如下:
| 流程 | 相关文档 | 说明 |
|---|---|---|
| 步骤一:开通服务 | 开通服务器安全卫士(原生版) | 用户需开通服务,才能使用基础版(免费)对云主机进行防护。 |
| 步骤二:接入防护 | 查看防护状态 | 开通服务后,需要在服务器列表页面确认云主机资产的防护状态,确保所有待防护的云主机已开启防护,且Agent状态为“在线”,防护状态为“防护中”。 |
| 步骤三:防护配置 | 当云主机接入防护后,用户可以根据业务需求进行防护配置。 其中入侵检测已默认开启防护,无特殊需求,无需再手动配置。避免异常登录误报,建议将常用登录IP、登录用户名、登录地区、登录时间等添加到白名单。 说明 基础版只支持部分功能的检测能力和防护能力,若需对服务器进行全面防护,您需购买并使用企业版或旗舰版进行防护。 | |
| 步骤四:通知设置 | 开启告警通知 | 开启告警通知后,当检测到资产存在风险时,会根据您配置的告警策略,向您发送告警通知,帮助您及时了解资产的安全情况。 |
| 步骤五:报表配置 | 订阅报表 | 服务器安全卫士(原生版)基础版仅支持订阅周报,订阅后系统会在周报生成后将周报发送至您的邮箱。 说明 基础版只支持订阅周报,若需要订阅日报、月报,您需购买并使用企业版、旗舰版。 |
企业版防护
若基础版不满足业务需求,可以购买企业版配额,然后将防护版本切换为企业版防护,使用流程如下:
| 流程 | 相关文档 | 说明 |
|---|---|---|
| 步骤一:开通服务 | 开通服务器安全卫士(原生版) | 用户需开通服务,才能使用服务器安全卫士(原生版)对云主机进行防护。 |
| 步骤二:接入防护 |
| |
| 步骤三:防护配置 | 当云主机接入防护后,用户还需要根据业务需求进行防护配置。 其中入侵检测已默认开启防护,无特殊需求,无需再手动配置。避免异常登录误报,建议将常用登录IP、登录用户名、登录地区、登录时间等添加到白名单。 | |
| 步骤四:通知设置 | 开启告警通知 | 开启告警通知后,当检测到资产存在风险时,会根据您配置的告警策略,向您发送告警通知,帮助您及时了解资产的安全情况。 |
| 步骤五:报表配置 | 订阅报表 | 服务器安全卫士(原生版)支持生成日报、周报、月报,并支持订阅报表,订阅后系统会在报表生成后将报表发送至您的邮箱。 |
旗舰版防护
若基础版、企业版不满足业务需求,可以购买旗舰版配额,然后将防护版本切换为旗舰版防护,使用流程如下:
| 流程 | 相关文档 | 说明 |
|---|---|---|
| 步骤一:开通服务 | 开通服务器安全卫士(原生版) | 用户需开通服务,才能使用服务器安全卫士(原生版)对云主机进行防护。 |
| 步骤二:接入防护 |
| |
| 步骤三:防护配置 | 当云主机接入防护后,用户还需要根据业务需求进行防护配置。 其中入侵检测已默认开启防护,无特殊需求,无需再手动配置。避免异常登录误报,建议将常用登录IP、登录用户名、登录地区、登录时间等添加到白名单。 | |
| 步骤四:通知设置 | 开启告警通知 | 开启告警通知后,当检测到资产存在风险时,会根据您配置的告警策略,向您发送告警通知,帮助您及时了解资产的安全情况。 |
| 步骤五:报表配置 | 订阅报表 | 服务器安全卫士(原生版)支持生成日报、周报、月报,并支持订阅报表,订阅后系统会在报表生成后将报表发送至您的邮箱。 |
开通服务器安全卫士(原生版)
首次使用服务器安全卫士(原生版)时,需要先开通服务。
登录天翼云官网。
选择“产品 > 安全及管理 > 工作负载安全 > 服务器安全卫士(原生版)”,进入服务器安全卫士(原生版)产品详情页,选择“管理控制台”。
进入服务器安全卫士(原生版)管理控制台后,弹出下方“服务开通申请”对话框。
阅读《天翼云服务器安全卫士(原生版)服务协议》后,勾选“我已阅读并同意相关协议《天翼云服务器安全卫士(原生版)服务协议》”,单击“同意”,即可开通服务器安全卫士(原生版)服务。
查看防护状态
开通服务后,需要在服务器列表页面确认云主机资产的防护状态,确保所有待防护的云主机已开启防护。
说明
“一类节点”区域的云主机,默认已安装Agent,无需再手动安装。
“二类节点”区域的云主机,接入防护具体操作请参见二类节点资产纳管最佳实践。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“资产管理 > 服务器列表”,进入服务器列表页面。
查看列表中的云主机资产,以及云主机的防护状态。
所有待防护的云主机均已在服务器列表页面呈现,且Agent状态为“在线”,防护状态为“高级防护”或“免费防护”,表示已正常开启防护。
系统会定期自动同步服务器资产到服务器列表页面,若有云主机资产未同步,可以手动同步资产,具体操作请参见同步资产。
若Agent状态和防护状态异常,请参考Agent状态异常如何处理进行处理,若仍有问题,可提工单联系技术支持。
若Agent状态为“未激活”,请参考以下步骤安装Agent:
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“资产管理 > 服务器列表”,进入服务器列表页面。
点击“安装Agent”,弹出安装Agent窗口,按需选择安装命令。
支持Linux和Windows系统。
支持天翼云主机和天翼云外主机。
根据界面提示,完成安装命令执行。具体操作,请参见安装Agent。
购买防护配额
登录服务器安全卫士(原生版)控制台。
单击页面右上方的“购买服务器安全卫士(原生版)”按钮,进入服务器安全卫士(原生版)产品购买页面。
选择购买版本、防护服务器台数、购买时长、自动续订,勾选“我已阅读,理解并同意《天翼云服务器安全卫士(原生版)服务协议》”,单击“立即购买”按钮。
购买成功后即可在“设置中心 > 配额管理”页面查看已购买的企业版、旗舰版配额。
切换版本
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“资产管理 > 服务器列表”,进入服务器列表页面。
您可对需要防护的服务器进行“切换版本”。选择您需要切换版本的服务器,可进行单台服务器的配额版本切换,也可以选择多台服务器进行批量切换。
单台服务器切换版本
在服务器列表中找到您需要切换版本的服务器,单击操作列的“切换版本”,弹出切换版本窗口。选择企业版或旗舰版配额,单击“确定”,完成版本切换。
批量切换版本
在服务器列表中勾选需要切换版本的服务器,单击列表上方的“批量切换版本”,弹出切换版本窗口,点击“确定”后,切换为企业版或旗舰版防护,配额和服务器按照顺序一一匹配。
防护配置
配置入侵检测
接入防护后,系统默认开启入侵检测防护,部分检测项需用户根据业务实际需求配置自定义检测规则。
配置异常登录白名单
通过配置异常登录白名单,将常用登录地、常用登录IP等添加至白名单中,非白名单中的登录操作,将被视为异常登录。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“入侵检测 > 异常登录”,进入异常登录页面。
单击页面右上角的“白名单管理”,进入白名单管理页面。
单击“新增白名单”,配置白名单参数。当所有字段都选择完成后,单击“确定”,会生成白名单规则,显示在白名单列表中。
参数 说明 是否必选 登录IP 支持单个IP、IP范围和IP段。多个IP之间用英文逗号(,)隔开。
示例:
- 单个IP:1.1.1.1
- IP范围:1.1.1.1-1.1.1.10
- IP段:172.168.34.1/20
登录IP、登录用户名、登录时间、登录地区,这几个参数至少需要填写一项,可填写多项。 登录用户名 支持输入多个用户名,用英文逗号(,)隔开。 登录地区 可选择多个登录地。 登录时间 可选择开始时间和结束时间。 服务器分类 可选择全部服务器或部分服务器。 必选 描述 白名单的描述信息。 可选
配置可疑操作规则
系统提供默认检测规则,用户也可以自定义检测规则。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“入侵检测 > 可疑操作”,进入可疑操作页面。
单击页面右上角的“自定义规则配置”,进入自定义规则配置页面。
同时自定义规则配置列表可根据规则启用状态、威胁等级、规则名称等进行搜索。单击“新增规则”,配置规则参数。当所有字段都选择完成后,单击“确定”,完成配置。
参数 说明 规则名称 自定义规则的名称。 正则表达式 通过正则表达式匹配满足要求的操作。 威胁等级 配置规则的威胁等级,包括高危、中危、低危。 服务器分类 可选择全部服务器和部分服务器。 描述 规则的描述信息。
其他入侵检测项
其他入侵检测项已默认开启防护,无需手动配置检测规则。关于更多入侵检测功能的介绍及风险处理,请参见:
| 入侵检测项 | 说明 | 相关文档 |
|---|---|---|
| 异常登录 | 检测“异地登录”和“爆破登录”,如果发生异常登录,则说明您的主机可能被黑客入侵成功。 通过配置异常登录白名单,将常用登录地、常用登录IP等添加至白名单中,非白名单中的登录操作,将被视为异常登录。 | 异常登录 |
| 暴力破解 | 系统默认阻断尝试暴力破解(在短时间内多次登录失败)的登录IP。 通过配置暴力破解白名单,将可信任的IP添加至白名单中。 | 暴力破解 |
| 后门检测 | 检测云主机中存在的后门并进行告警,支持告警的类型包括存在可疑文件、存在可疑可执行文件、存在木马文件、Dev目录异常、存在可疑进程、存在异常端口、存在网卡异常。 | 后门检测 |
| 可疑操作 | 检测云主机上的可疑操作并进行告警,系统提供默认检测规则,用户也可以自定义检测规则。 | 可疑操作 |
| 反弹Shell | 检测用户的进程行为,支持对非法连接进程的行为进行告警。 | 反弹Shell |
| 进程提权 | 检测进程提权操作并进行告警。 | 进程提权 |
开启定时漏洞扫描
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“风险管理 > 漏洞扫描”,进入漏洞扫描页面。
单击定时扫描右侧的“设置”,页面右侧弹出定时扫描设置窗口,可进行定时扫描设置。
设置选项包括漏洞类别、漏洞等级、定期检测周期、设置生效范围,详细参数说明如下。
参数 说明 定时扫描 开启或关闭定时扫描。 漏洞类别 支持扫描“Linux软件漏洞”、“Windows系统漏洞”、“Web-CMS漏洞”和“应用漏洞”。 定期检测周期 设置后会在周期选定的时间点开始定期检测。
- 扫描周期:选择每天、3天或7天。
- 扫描时间:默认为02:00,可以手动选择一天中的任一整点时间。
设置生效范围 选择扫描哪些服务器。可以选择“全部服务器”或“自选服务器”。
选择“自选服务器”时,您可以通过区域、服务器名称、服务器IP搜索需要扫描的服务器。
说明
以下服务器不能被选中执行漏洞扫描:
非“运行中”状态的服务器。
Agent状态为“离线”的服务器。
单击“确定”,设置完成。
配置基线检测策略
基线检测设置分为一键检测和定时检测。当您需要进行基线检测时,先设置您需要的基线策略。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“风险管理 > 基线检测”,进入基线检测页面。
单击“策略管理”,进入策略管理页面。
该页面展示了已经设置好的基线策略,包括策略名称、检测周期、检测服务器数、创建日期、策略开关和操作。可以新建、编辑和删除基线策略。
单击“新建策略”,页面右侧弹出新建基线策略窗口。
设置策略名称、检查时间、选择基线名称和服务器。
设置完成后,单击“确认”即可完成新建基线策略。
开启弱口令定时检测
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“风险管理 > 弱口令检测”,进入弱口令检测页面。
单击定时扫描右侧的“设置”,页面右侧弹出定时检测设置窗口,可进行定时检测设置。
设置选项包括检测周期、弱口令分类、设置生效范围,详细参数说明如下。
参数 说明 定时扫描 开启或关闭定时扫描。 检测周期 设置后会在周期选定的时间点开始定期检测。
- 扫描周期:选择每天、3天或7天。
- 扫描时间:默认为02:00,可以手动选择一天中的任一整点时间。
弱口令分类 支持“应用弱口令”和“系统弱口令”。 设置生效范围 选择检测哪些服务器。可以选择“全部服务器”或“自选服务器”。
选择“自选服务器”时,您可以通过区域、服务器名称、服务器IP搜索需要检测的服务器。
说明
以下服务器不能被选中执行弱口令检测:
使用“免费版”的服务器。
非“运行中”状态的服务器。
Agent状态为“离线”的服务器。
开启定时扫描病毒
定时查杀是用来配置服务器定时启动病毒查杀的功能,按照用户设置的检测周期执行扫描任务。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“文件安全 > 病毒查杀”,进入病毒查杀页面。
单击定时扫描右侧的“设置”,页面右侧弹出病毒查杀设置窗口。
打开定时扫描设置开关,配置相关参数。
参数说明如下:
参数 说明 检测模式 可选择快速检测、全盘检测、自定义检测。 检查周期 可选择每天、每3天或每7天检查周期。 生效范围 自定义选择需要执行病毒扫描任务的服务器。 单击“确认”,设置完成。
设置文件完整性保护检测规则
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“文件安全 > 文件完整性保护”,进入文件完整性保护页面。
单击列表右上方的“检测设置”,进入检测设置页面。
配置相关参数。
参数 说明 启用文件变更检测 开启或关闭文件变更检测功能。 关键文件监控 - 系统内置:对系统关键文件、文件路径、文件目录进行实时监控,发现文件变更篡改行为进行告警。
- 自定义:根据用户特定的防护场景,自定义添加监控路径,发现文件变更篡改行为进行告警。
监控排除设置 对用户添加的信任文件路径不再进行监控,方便用户更加灵活创建检测策略。 设置生效范围 自定义选择需要执行文件变更篡改行为监控的服务器。 配置完成后,单击“确认提交”。
配置文件防勒索
防护设置
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“文件安全 > 文件防勒索”,进入文件防勒索页面。
单击“诱饵防护”模块的“设置”按钮。
在页面右侧弹出的防护设置页面,配置防护参数。
参数说明如下:
参数 说明 启用诱饵防护 自动在系统关键位置投放诱饵文件,实时捕捉勒索行为并进行阻断。 病毒处置方式 支持手动处理和自动隔离。
- 手动处理:检测出勒索病毒文件后,仅产生告警。需手动在控制中心对勒索告警进行处理,支持隔离、删除、信任。
自动隔离:检测出勒索病毒文件后产生告警,并自动隔离病毒文件。
说明
自动隔离后,若出现误报,可在告警列表中对文件进行恢复。
指定防护目录 根据用户的特定防护场景,可自定义创建勒索诱饵文件。 设置生效范围 自定义选择需要开启诱饵防护的服务器。 配置完成后,单击“确认”。
数据备份/恢复
注意
数据备份/恢复属于增值服务,请先购买备份存储库,才能正常使用。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“文件安全 > 文件防勒索”,进入文件防勒索页面。
安装备份Agent。
在“备份与恢复”页面,选择需要进行数据备份的服务器,单击操作列的“安装备份Agent”,Agent状态为“已激活”则安装成功。创建备份计划。
在“备份与恢复”页面,选择需要进行数据备份的服务器,单击操作列的“备份计划”,按照设置的策略进行周期性数据备份。
备份目录:可指定全部目录或自定义目录进行数据备份。
备份周期:可选择每小时、每天、每周或每月设置备份周期。
保留规则:可设置备份计划生效时间,支持永久保留和自定义设置时间。
绑定存储库:选择一个可用状态的存储库,备份数据大小应小于存储库剩余容量。
开启告警通知
登录服务器安全卫士(原生版)控制台。
在左侧导航栏选择“设置中心 > 告警通知”,进入告警通知页面。
根据您的使用场景进行告警通知配置。
配置项 说明 告警开关 自定义开启需要通知的事件类型。 告警时间 事件发生时实时发送告警通知。 通知方式 通过邮件方式发送告警通知。 告警项 根据威胁等级自定义发送通知。 配置完成后单击“保存配置”,界面弹出“保存告警设置成功”提示信息,则说明告警通知配置成功。
订阅报表
登录服务器安全卫士(原生版)控制台。
在左侧导航栏选择“设置中心 > 报表管理”,进入报表管理页面。
在“报表管理”页面右上角,单击“报表配置”,进入报表配置页面。
报表配置参数说明如下:
参数名称 说明 报表生成 支持生成日报、周报、月报。根据需要进行开启,可多选。 报表订阅 该页面自动列出当前账号及其全部子账号。
勾选需要订阅报表的账号,报表生成后,系统会自动发送报表至订阅账号的邮箱。
单击“确认”,完成报表配置。
