购买企业版

新购

基础版用户点击“升级为企业版”可以进入新购页面进行企业版主机安全产品的购买。

升级为企业版:

续期

企业版用户可以点击“续期”按钮进行主机安全产品的续期,仅可针对已购买的配额进行全量续期,暂不支持减配或扩容续期。

扩容

企业版用户可以点击“扩容”按钮进行主机安全产品的配额扩容。扩容会根据距离到期时间的天数*天单价计算费用。

安全首页

在该页面可查看相关统计数据,点击各数据可进入相应的功能模块。并可以进行“升级为企业版”或“续期”“扩容”操作。

资产清点

该页面可查看所有安装了Agent的主机信息,包括IP、状态、主机名、操作系统、资产等级、备注等。

风险发现

安全补丁

(1)“安全补丁”指针对软件系统在使用过程中暴露的问题(一般由黑客或病毒设计者发现)而发布的解决问题的小程序。安全补丁是由软件的原作者制作的,可以访问网站下载补丁。
各种应用的漏洞已经成为大规模网络与信息安全事件和重大信息泄露事件的主要原因之一,针对计算机漏洞带来的危害,安装相应的补丁是最有效、也是最经济的防范措施。但打补丁是比较被动的方式,对于企业来说,收集、测试、备份、分发等相关的打补丁流程仍然是一个颇为繁琐的过程,甚至补丁本身就有可能成为新的漏洞。
基于当前现状,安全补丁模块是针对混乱的补丁管理问题而建立的一个自动化补丁管理库,拟实现帮助运维人员检测需要打的补丁、自动化打补丁、进行补丁管理。有风险视图/主机视图两种查看模式。
补丁分类说明:
.png)
补丁检测逻辑:

(2)风险视图:该视图可以从风险角度查看用户所有资产面临的安全补丁风险情况,对危险等级、补丁名称、是否有业务影响、风险特征及影响的主机数进行查看和管理。
①我们每天凌晨设置了自动的扫描任务进行信息更新,用户也可以随时通过手动点击“立即扫描”按钮进行手动扫描更新数据。

②快速查看补丁信息,将鼠标置于某一条补丁数据,点击浮现的叹号标识,可以快速查看该补丁的基本信息。
③点击“检查业务影响”按钮,可以手动触发对所有主机业务影响情况的检查,但是该操作消耗资源较大,建议在空闲时间操作。
④点击“修复历史”按钮,可以进入修复历史页面,查看已经修复的安全补丁风险信息。
⑤白名单规则,用户可以在此管理安全补丁相关的白名单规则,包括白名单规则的增加、删除、修改、查看。

编辑白名单:

④用户可以通过点击某条补丁信息的"影响主机数"来进入该主机的补丁管理页面。


⑤点击上一页面的“查看”按钮进入该补丁的详情页面,可以查看该补丁的风险描述、验证信息、修复建议、基本信息、风险信息、参考信息等。

(3)主机视图:该视图可以从主机的角度查看用户某一台主机面临的安全补丁风险情况,对主机名称、主机IP、主机状态、风险项分布等进行查看和管理。

①点击某一台主机的彩色风险分布条可进入该主机的补丁风险详情页面。 进行相应的查看和管理。

漏洞检测

(1)该功能通过poc或者exp去验证存在的漏洞,如果该漏洞已经有成熟、无危害可验证poc,就会在漏洞检测页面显示出来。漏洞检测模块可以查看用户所有资产的漏洞统计信息,可以查看最新爆发的漏洞信息,可以对主机存在的漏洞进行查看和管理。该功能模块仅支持linux系统,有风险视图/主机视图两种展示模式。

(2)风险视图:该视图可以从风险角度查看用户所有资产面临的系统漏洞的风险情况,对危险等级、漏洞名称、漏洞类型、漏洞特征及影响的主机数进行查看和管理。

①快速查看补丁信息,将鼠标置于某一条补丁数据,点击浮现的叹号标识,可以快速查看该补丁的基本信息。
②白名单规则,用户可以在此管理漏洞检测相关的白名单规则,包括白名单规则的增加、删除、修改、查看。

编辑白名单:

③点击“作业管理”按钮,可以进入相应页面。支持自定义漏洞检测作业和全局漏洞检测作业,可在该模块进行漏洞检测作业的创建、删除、修改和执行。

④用户可以通过点击某条漏洞信息的"影响主机数"进入该主机的漏洞管理页面。


⑤点击上一页面的“查看”按钮进入该漏洞的详情页面,可以查看该漏洞的漏洞描述、漏洞利用链接、引用信息、参考链接、修复建议、验证信息、基本信息 、风险信息等。


(3)主机视图:该视图可以从主机的角度查看用户某一台主机面临的漏洞风险情况,对主机IP、主机状态、主机名称、资产等级、该主机的漏洞数进行查看和管理。

①点击某一台主机的"漏洞数"可进入该主机的漏洞检测详情页面进行相应的查看和管理。

弱密码

(1)弱密码检查用于检查系统中所有弱密码问题, 该功能以一个统一的方式配置,检查,展示用户所有的弱密码问题。检查应用存在的弱密码,目前支持的应用类型有:MySQL,PPTP,VNC,SSH,OpenVPN,rsync,Redis,vsftpd,Tomcat,ProFTPD,influDB。
弱密码检查方式:
①被动检查:用户的密码可以通过一定的方式获得,直接验证账户密码是否为弱密码;验证方式存在以下几种:
a)明文密码检查:密码为明文或可解密为明文,匹配弱密码字典是否为弱密码;
b)哈希密码匹配:密码为哈希计算后保存,在获得哈希类型后,对弱密码字典进行哈希计算,匹配是否为弱密码;
②主动检查:无法直接获取密码,使用用户的登陆接口主动尝试密码,通常为在线爆破,进行弱密码检查;
(2)对检测到的弱密码信息进行汇总展示,包括主机IP、主机名、主机状态、账号状态、弱密码数量及操作按钮。同时可以手动触发检测动作、进行白名单规则管理、设置简单密码词典及组合密码词典。

①我们每天凌晨设置了自动的扫描任务进行信息更新,用户也可以随时通过手动点击“立即扫描”按钮进行手动扫描更新数据。

②白名单规则,用户可以在此管理弱密码相关的白名单规则,包括白名单规则的增加、删除、修改、查看。

编辑白名单:

③简单密码词典:
简单密码字典说明:简单密码字典,检查用户的密码设置为该密码字典中的任意密码,则判定为弱密码;
编辑字典说明:点击编辑框直接输入密码,每行为一个弱密码;
简单密码字典说明:
A.仅支持TXT格式文件导入;
B.每个弱密码以换行分割;
C.每次导入将完全覆盖原密码字典;
D.每次导入最多识别前3000个弱密码,其后将忽略;
导出字典说明:导出字典将导出所有弱密码为TXT文件,换行分隔。
④组合密码词典:

组合密码字典说明:
A.组合密码指通过组合密码特征 进行弱密码检测的字典;
B.本功能当前仅支持前缀+连接符+后缀的组合密码;
C.产品自动执行对于组合密码三部分是否为空的检测;
D.产品自动通过前缀来检测用户名;
E.前缀最多可添加8个,连接符9个,后缀19个,均使用换行符隔开;
F.例如
检测某账号: admin;
动态密码字典:前缀为abc;连接符为@;后缀为123;
则将检查如下弱密码:admin@123;admin@;admin123;admin;abc@123;abc123;abc@;@123;abc;@;123;
⑤弱密码详情页,点击某弱密码进入查看页面。可以对弱密码类型、账号状态、密码值、弱密码类型、未修改密码天数、发现时间等信息进行查询和管理。

入侵检测

暴力破解

(1)暴力破解用于阻止各类关键应用被暴力破解,尝试登陆的行为,防止登录账户被爆破。目前支持vsftpd或者sshd两个服务的检查。
可在该页面查看暴力破解的入侵信息,包括服务类型、攻击时间、攻击来源、攻击目标、累计攻击次数、封停状态等,并可对该条攻击进行封停(解封)、加入白名单等操作。
暴力破解封停条件说明:

(2)进入服务设置列表,可以根据需要选择vsftpd或者sshd两个服务的开启关闭状态。
(3)自动封停设置,开启该功能后,非内网的攻击主机会被自动封停,需要手动解封。

(4)可新建/编辑白名单规则,用户可以选择手动将一条暴力破解记录加入白名单。加入以后这条记录将成为一条规则,这条规则由该暴力破解的登录时间、登录IP、登录区域三个条件共同结合而成。该规则的适用范围为这条记录的主机IP。
选择“查看白名单”进入白名单规则列表。暴力破解白名单是为了将某些登录认定为正常登录而不是去上报,防止一些不必要的上报和封停。


白名单规则设置说明:

编辑白名单:
①对于已经保存的单条规则,用户可以选择对其进行修改。
②白名单规则修改后,同样需要重新遍历检测结果列表内的历史数据,根据更新后的规则库判断,对列表内的记录进行更新,符合更新后规则的记录将不再显示上报;被修改规则的受影响记录中不符合更新后规则的将被还原至列表,恢复显示并正常上报。
③遍历数据的限制条件同新建白名单。

删除白名单:
①对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
②白名单规则被删除后,同样需要重新遍历检测结果列表内的历史数据,根据更新后的规则库判断,对列表内的记录进行更新,符合更新后规则的记录将不再显示上报;被删除规则的受影响记录中不符合更新后规则的将被还原至列表,恢复显示并正常上报。
③遍历数据的限制条件同新建白名单。

异常登录

(1)异常登录用于发现系统成功登录的信息中,是否包含非正常IP,非正常区域,非正常时间的登录信息。

(2)可以新建/编辑正常登录规则


正常登陆规则说明:
编辑正常登录规则:对于已经保存的单条规则,用户可以选择对其进行修改。
删除正常登录规则:对于已经保存的单条或者多条规则,用户可以选择对其进行删除。删除操作要有确认提示,用户确认后方可删除。

系统后门

(1)通过黑名单比对、系统特征检测等方式,实时发现主机上存在的系统后门,并发送邮件通知。用户可以查看并处理这些后门,若需要立刻查看系统后门的最新情况,可点击检查按钮 立即运行后门检查。

(2)开始扫描:单独对系统后门进行检查

(3)通过比对扫描记录,会将已修复记录进行存档。

(4)已存在的系统后门,可以加入白名单,并在白名单界面进行删除及管理。

web后门

(1)web后门用于检查Web网站中存在的后门文件,Web后门文件为安全威胁检查中即为重要的一环。扫描分两种,触发式扫描和定时扫描。

点击web后门查看按钮,可查看该后门详情:
(2)通过比对扫描记录,会将已修复记录进行存档。

(3)功能设置,目前支持对“模式分析引擎检测”和“web后门动态监控”的开启和关闭设置。

(4)可以新建/编辑白名单

白名单规则说明:

编辑白名单规则:对于已经保存的单条规则,用户可以选择对其进行修改。
删除白名单规则:对于已经保存的单条或者多条规则,用户可以选择对其进行删除。

系统设置

Agent安装

直连

直连主机的防火墙需确保可与浪潮主机安全服务器通信。
通信要求:
(1)确保直连主机可正常解析以下域名
erhss.cloud.inspur.com
hss.cloud.inspur.com
(2)确保直连主机可与以下浪潮主机安全服务端口通信

服务功能 服务地址 服务端
产品控制台访问地址 hss.cloud.inspur.com 80/443
插件下载服务 hss.cloud.inspur.com 8002
数据服务通道 erhss.cloud.inspur.com 8443
连接分配服务 erhss.cloud.inspur.com 6677
连接验证服务 erhss.cloud.inspur.com 7788/7789
通知服务通道 hss.cloud.inspur.com 8001
错误信息上传服务 hss.cloud.inspur.com 8002

Windows安装:登陆主机安全控制台,在Agent安装模块进行windows安装文件的下载,并上传到云服务器上进行安装。安装过程中点击“生成参数”按钮,将文本框中生成的内容输入到“安装参数”栏,继续安装。
Linux安装:以root身份执行相应命令即可安装成功。


安装完毕后即可在Agent管理界面查看到安装信息,同时可以在资产清点页面查看主机资产信息。

代理

-代理连接主机需要能连通管理服务器socks5代理服务
-Sock5代理服务安装方法如下:https://github.com/inspurc/inspurcloud

agent管理

安装完毕后即可在Agent管理界面查看到Agent安装的相关信息。其中可操作重启Agent或删除Agent。

在该页面,同时可查看配额使用量、剩余量、到期时间等相关信息

主机管理

在该页面可以对主机进行资产等级修改及设置备注。