凯发k8国际娱乐官网入口-k8凯发> 态势感知 sa> 产品介绍> 功能特性
更新时间:2023-09-06 gmt 08:00

功能特性-凯发k8国际娱乐官网入口

态势感知提供全局安全态势集中管理,包括安全概览资源管理业务分析综合大屏威胁告警漏洞管理基线检查检测结果安全报告日志管理产品集成等功能。

安全概览

安全概览呈现云上整体安全评估状况,并联动其他云安全服务,集中展示云上安全。

表1 安全概览功能介绍

功能模块

功能详情

安全评分

根据版本威胁检测能力,评估整体资产安全健康得分,可快速了解未处理风险对资产的整体威胁状况。

评估得分越低,即风险值越大,则整体资产安全隐患越大。

安全监控

集中呈现未处理的威胁告警、漏洞和合规检查的风险数目,支持快速查看威胁告警、漏洞和合规风险详情。

安全趋势

呈现最近7天整体资产安全健康得分的趋势图。

威胁检测

集中呈现最近7天检测到的告警数量及类型。

资源管理

态势感知支持呈现云上资产实时安全状态。

表2 资源管理功能说明

功能模块

功能详情

同步当前帐号中所有资源的安全状态统计信息。

支持查看资源的名称、所属服务、所属区域、安全状况等,帮助您快速定位安全风险问题并提供凯发k8国际娱乐官网入口的解决方案。

目前支持查看以下资源的安全状况:

弹性云服务器 ecs、虚拟私有云 vpc、对象存储服务 obs、弹性公网ip eip、云解析服务 dns、弹性负载均衡 elb、云数据库 rds、裸金属服务器 bms、云容器引擎 cce、云容器实例 cci、web应用防火墙 waf、ssl证书管理 scm、云硬盘 evs

业务分析

业务分析全面展示云上资产的安全状态和存在的安全风险。

表3 业务分析功能说明

功能模块

功能详情

hss专项分析

关联hss云主机资产防护服务,分析并呈现主机的安全状态和存在的安全风险,需先购买hss服务

waf专项分析

关联waf网络应用防火墙服务,分析并呈现网络应用的安全状态和存在的安全风险,需先购买waf服务

dbss专项分析

关联dbss数据库安全服务,分析并呈现数据的安全状态和存在的安全风险,需先购买dbss审计服务。

综合大屏

利用ai技术将海量云安全数据的分析并分类,通过综合大屏将数据可视化展示,集中呈现云上实时动态,云上关键风险一目了然,掌握云上安全态势更简单,更直观,更高效。

综合大屏功能为额外购买的功能,在购买专业版时为选购付费项目。

表4 综合大屏功能说明

功能模块

功能详情

大屏集中展示云上综合安全态势,支持查看以下组件内容:

  • 全网安全地图

    将攻击源和受威胁资产具象化,投射到全球区域地图,动态呈现全网受威胁资产区域和攻击来源地。

  • 全网威胁度

    统计全网资产受威胁数目。

  • 今日威胁雷达图

    呈现当日检测出的威胁事件数目。

  • 威胁事件趋势

    呈现近7天的威胁事件数目的变化趋势。

  • 受威胁资产数量趋势

    呈现近7天的受威胁资产数量的变化趋势。

  • 威胁类型分布

    呈现不同威胁类型的分布状况。

  • 受攻击资产区域分布

    呈现受威胁主机的区域分布状况。

  • 威胁源主机top5

    呈现攻击次数前五的攻击源主机信息。

大屏集中呈现华为云主机安全态势,支持查看以下组件内容:

  • 风险主机地图

    将风险主机具象化,投射到各区域,动态呈现当日总主机风险数量、windows系统主机风险数量、linux系统主机风险数量。

  • 主机安全事件统计

    呈现5类威胁事件发生次数,以及受威胁资产数量,主要包括暴力破解、异地登录、恶意程序、网站后门和文件变更。

  • 资产统计

    呈现当前华为云windows系统主机和linux系统主机数量。

  • 近7天暴力破解趋势

    呈现近7天暴力破解攻击次数的变化趋势。

  • 近7天风险主机趋势

    呈现近7天风险主机被攻击次数的变化趋势。

  • top5风险云主机

    呈现被攻击次数前五的风险主机信息。

  • 暴力破解类型

    呈现5类暴力破解攻击主机的次数,以及不同类型暴力破解分布情况。

  • 漏洞检测

    呈现当日检测出的windows漏洞和linux漏洞个数,以及所占比例。

  • 基线检测

    呈现云服务基线检测出的风险数。

威胁告警

“实时监控”云上威胁攻击,提供告警通知和监控,记录近180天告警事件详情,分析威胁攻击情况,并针对典型威胁事件预置策略实施防御手段。

目前,支持检测和呈现8大类威胁告警事件,包括ddos、暴力破解、web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制,详细说明请参见威胁告警事件

表5 威胁告警功能说明

功能模块

功能详情

告警列表

列表呈现威胁告警事件统计信息,支持查看告警事件和受威胁资产详情,并支持导出全部告警事件。

威胁分析

支持从“攻击源”“被攻击资产”查询威胁攻击,统计威胁攻击次数或资产被攻击次数。

告警监控

自定义监控的威胁名单、告警类型、告警级别等,选择性呈现关注的威胁告警。

通知告警

自定义威胁告警通知,支持设置每日定时告警通知和实时告警通知,通过接收消息通知及时了解威胁风险。

威胁告警事件

默认“实时监控”并上报威胁告警事件,支持检测和呈现8大类威胁告警事件,包括ddos、暴力破解、web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。

表6 威胁告警事件说明

告警名称

威胁告警说明

ddos

“实时检测”华为云、非华为云及idc的互联网主机的ddos攻击。

共支持检测100 种子类型ddos威胁。

  • 网络层攻击

    ntp flood攻击、cc攻击等。

  • 传输层攻击

    syn flood攻击、ack flood攻击等。

  • 会话层攻击

    ssl连接攻击等。

  • 应用层攻击

    http get flood攻击、http post flood攻击等。

暴力破解

“实时检测”入侵资产的行为和主机资产内部的风险,检测ssh、rdp、ftp、sql server、mysql等账户是否遭受的口令破解攻击,以及检测资产账户是否被破解异常登录。

共支持检测22种子类型的暴力破解威胁。

  • 支持检测的暴力破解威胁

    包括ssh暴力破解(2种)、rdp暴力破解、mssql暴力破解、mysql暴力破解、ftp暴力破解、smb暴力破解(3种)、http暴力破解(4种)、telnet暴力破解。

  • 接入的hss服务上报的告警事件

    包括ssh暴力破解、rdp暴力破解、ftp暴力破解、mysql暴力破解、irc暴力破解、webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。

web攻击

“实时检测”web恶意扫描器、ip、网马等威胁。

共支持检测38种子类型的web攻击威胁。

  • 支持检测的web攻击威胁

    包括webshell攻击(3种)、跨站脚本攻击、代码注入攻击(7种)、sql注入攻击(9种)、命令注入攻击。

  • 接入的hss服务上报的告警事件

    包括webshell攻击、linux网页篡改、windows网页篡改。

  • 接入的waf服务上报的告警事件

    包括跨站脚本攻击、命令注入攻击、sql注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、ip信誉库、恶意爬虫、网页防篡改、网页防爬虫。

后门木马

“实时检测”资产系统是否存在后门木马风险,以及被后门木马程序入侵后的恶意请求行为。

共支持检测5种子类型的后门木马威胁。

  • 检测主机资产上web目录中的php、jsp等后门木马文件类型。
  • 检测资产被植入木马特性

    检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的dns解析请求、被入侵后尝试下载木马程序,被入侵后访问hfs下载服务器等。

僵尸主机

“实时检测”资产被入侵后对外发起攻击的威胁。

共支持检测7种子类型的僵尸主机威胁。

  • 对外发起ssh暴力破解
  • 对外发起rdp暴力破解
  • 对外发起web暴力破解
  • 对外发起mysql暴力破解
  • 对外发起sqlserver暴力破解
  • 对外发起ddos攻击
  • 被入侵后安装挖矿程序

异常行为

“实时检测”资产系统异常变更和操作行为。

共支持检测21种子类型的异常行为威胁。
  • 支持检测的异常行为威胁

    包括文件系统被扫描、cms v1.0漏洞、敏感文件被访问。

  • 接入的hss服务上报的告警事件

    包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹shell、异常shell、高危命令执行、异常自启动、文件提权、进程提权、rootkit程序。

  • 接入的waf服务上报的告警事件

    包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、ip黑白名单、非法访问。

  • 接入的mtd服务上报的告警事件

    包括暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为。

漏洞攻击

“实时检测”资产被尝试使用漏洞进行攻击。

共支持检测2种子类型的漏洞攻击威胁。

  • smbv1漏洞攻击
  • webcms漏洞攻击

命令控制

“实时检测”资产可能被命令与控制服务器(c&c,command and control server)远程控制,访问与恶意软件或建立与恶意软件之间的链接。

共支持检测3种子类型的命令控制威胁。

  • 监控主机存在访问dga域名行为
  • 监控主机存在访问恶意c&c域名行为
  • 监控主机存在恶意c&c通道行为

漏洞管理

通过实时获取业界热点安全漏洞讯息,同步主机漏洞扫描和网站漏洞扫描结果,全面掌握云上资产漏洞风险状况,并提供相应漏洞修复建议。

表7 漏洞管理功能说明

功能模块

功能详情

主机漏洞

通过授权主机,并一键扫描主机漏洞,呈现主机漏洞扫描检测信息,支持查看漏洞详情,并提供相应漏洞修复建议。

  • linux软件漏洞扫描

    通过比对国际通用漏洞库,检测系统和官方软件(非绿色版、非自行编译安装版,例如:ssh、openssl、apache、mysql等)存在的漏洞,识别linux系统存在的漏洞风险。

  • windows软件漏洞扫描

    通过同步国际通用补丁源,识别并告警提醒windows系统潜在漏洞风险。

  • web-cms漏洞扫描

    通过对web目录和文件进行检测,识别出web-cms漏洞,提升web服务安全性。

网站漏洞

通过自动同步漏洞管理服务的扫描结果,分类呈现网站漏洞扫描详情,支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布,并提供相应漏洞修复建议。

  • web常规漏洞扫描

    提供owasp top10和wasc的漏洞检测能力,支持扫描30多种常见漏洞。包括xss、sql注入等。

  • 网站弱密码扫描

    全方位的os连接,涵盖90%的中间件,支持标准web业务弱密码检测、操作系统、数据库等弱口令检测;比对丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测。

  • 网站端口扫描

    扫描服务器端口的开放状态,检测出容易被黑客发现的端口。

  • cve网站漏洞扫描

    同步国际通用漏洞库,扫描网站安全状况。

  • 网页内容合规检测

    对网站文字和图片规范性进行检测。

  • 网站挂马检测

    检测网站是否被上传木马,避免网站运行时自动执行木马程序,而被黑客控制。

  • 网站链接健康检测

    检测网站的链接地址健康性状态,避免网站出现死链、暗链、恶意链接。

应急漏洞公告

针对业界披露的热点安全漏洞,支持每5分钟抓取一次安全漏洞讯息,获取最新应急漏洞公告详情。

基线检查

通过执行云服务基线扫描,检查基线配置风险状态,告警提示存在安全隐患的配置,并提供基线加固建议。

表8 基线检查功能说明

功能模块

功能详情

云服务基线

通过一键扫描或,分类呈现云服务配置检测结果,提示不合格检测项,并提供相应配置加固建议和帮助指导。

支持检测“安全上云合规检查1.0”“等保2.0三级要求”“护网检查”风险类别,了解云服务风险配置的所在范围和风险配置数目。

  • 安全上云合规检查

    针对上云用户服务产品身份与访问管理、检测、基础设施防护、数据保护、事件响应风险检查。

  • 护网检查

    云战区产品团队安全风险排查及加固指导。

  • 等保2.0三级要求

    国家2.0等保通用三级合规检查。

检测结果

通过集成安全防护产品,接入安全产品检测数据,管理全部检测结果。

表9 全部结果功能说明

功能模块

功能详情

通过呈现多种结果类型,支持标记、导出检测结果,并支持自定义结果列表。

  • 结果类型

    威胁告警、漏洞、风险、合规检查、违法违规、舆情、安全公告。

安全报告

为统计全局安全攻击态势,通过开启安全报告,态势感知以邮件形式向指定的收件人发送安全报告,反映阶段性安全概况、安全风险趋势。

表10 安全报告功能说明

功能模块

功能详情

安全分析报告支持以多种报告形式呈现报告内容,支持选择自动或手动触发发送报告,并支持管理报告列表和历史报告。

  • 报告内容

    包括安全评分、资产风险、威胁告警、基线风险、资产漏洞,以及可自定义小结。

  • 报告形式
    • 周期报告:按一定周期(按月或按周),自动生成并发送报告,包括周报和月报。
    • 单次报告:可自选时间范围编辑报告内容,生成一次性报告,可生成季度报、周报、日报等形式。
  • 报告发送方式

    包括自动发送和手动触发发送。

日志管理

通过授权对象存储服务(object storage service,obs)存储态势感知日志,帮助用户轻松应对安全日志存储、导出场景,满足日志存储180天及集中审计的要求。

表11 日志管理功能说明

功能模块

功能详情

通过obs存储日志,满足sa日志审计和容灾需求。

为应对sa日志的容灾恢复,将存储到obs桶的日志,通过数据接入服务(data ingestion service)传输到线下siem系统,恢复和离线管理sa日志数据。同时,可将线下siem系统日志数据,通过dis重新传输上云进行分析和存储。

dis支持通过以下几种方式上传和下载数据:kafka adapter、dis agent、dis flume plugin、dis flink connector、dis spark streaming、dis logstash plugin等,详细说明请参见。

产品集成

通过集成安全防护产品,接入安全产品检测数据,管理检测结果的数据来源。

表12 产品集成功能说明

功能模块

功能详情

通过集成安全防护产品,接入安全产品检测数据,管理检测结果的数据来源,支持查看传输数据量,管理数据上报健康状态。

  • 已接入的华为云产品/服务

    企业主机安全(hss)、web应用防火墙(waf)、antiddos流量清洗(antiddos)、云堡垒机(cbh)、容器安全服务(cgs)、漏洞管理服务(codearts inspector)。

    企业主机安全(hss)支持接入主机告警、主机基线、主机漏洞类型的检测数据。

  • 支持接入数据源产品

    华为产品、第三方服务商产品、线下自有产品等。

  • 支持威胁情报溯源

    安天威胁情报综合分析平台(tid)
分享:
网站地图