Apsara Stack SecuritySecurity Center提供基礎版、企業版和進階版3個版本,不同版本的功能參見本文的功能列表。

  • 基礎版免費為您提供基礎安全強化能力,可檢測主機異常登入及DDoS攻擊、伺服器漏洞和應急漏洞、以及雲產品安全配置。您在購買ECS執行個體時選擇安全強化 即可開通基礎版。
    说明 2018年12月20日起,Security Center基礎版只支援異常登入DDoS型別安全警示。
  • 進階版按照訂用帳戶方式收取服務費用,提供安全警示、漏洞檢測及修複、日誌分析等安全服務。
  • 企業版按照訂用帳戶方式收取服務費用,提供安全警示、漏洞檢測及修複、基準檢查、資產指紋等全面的安全服務。

Security Center基礎版、進階版和企業版功能對比

下表羅列了Security Center的功能詳情3個版本之間的功能差異,其中用到的標識:

  • ×:表示不包含在服務涵蓋範圍中。
  • √:表示包含在服務涵蓋範圍中。
  • 增值:表示需要在購買服務時單獨勾選,才包含在服務涵蓋範圍中。
功能 功能項 功能詳情 基礎版 進階版 企業版
安全警示 異常登入檢測 【基礎登入檢測】
  • 【非常用登入地登入】系統自動記錄ECS常用登入地(支援手動添加),若在非常用登入地進行登入,則觸發警示。
  • 【暴力破解】檢測ECS在多次嘗試登入失敗後最終登入成功的情況,這類情形很有可能是密碼被暴力破解。
【進階登入監控】
  • 【非合法IP登入】開啟後,允許使用者配置ECS合法登入IP(如Bastion HostIP、辦公網IP等);若使用非指定的IP登入,則觸發警示。
  • 【非合法帳號登入】開啟後,允許使用者配置ECS合法登入帳號;若使用非合法帳號登入,則觸發警示。
  • 【非合法時間登入】開啟後,允許使用者配置合法登入時間(如工作時間);若在非合法登入時間登入,則觸發警示。
 X
異常賬戶 基於使用者行為分析,對異常可以帳號登入系統進行檢測。 X
網站後門查殺 【Webshell檢測】主機+網路雙重檢測機制,檢測PHP、ASP、JSP等類型的網站指令檔。
  • 主機檢測:即時監控主機上網站目錄檔案變化。
  • 網路檢測:通過還原後門檔案及分析網路通訊協定進行檢測。
 X
【Webshell查殺】支援在控制台一鍵隔離檢測出來的Webshell檔案。已隔離檔案在30天內可以恢複。 X
惡意進程(雲查殺) 【病毒檢測】定期掃描進程並監控進程啟動事件,通過雲查殺機制檢測惡意病毒和木馬進程。

【病毒查殺】支援在控制台一鍵中止進程和隔離惡意檔案。

【病毒查殺範圍】
  • 勒索病毒:WanaCry、CryptoLocker等加密檔案型勒索軟體。
  • 惡意攻擊:對外DDoS攻擊木馬、對外惡意掃描木馬、垃圾郵件發送木馬等。
  • 挖礦軟體:佔用伺服器非法挖掘虛擬貨幣的資源消耗型軟體。
  • 肉雞程式:中控木馬、惡意中控串連、駭客工具等。
  • 其他病毒:蠕蟲、Mirai病毒、感染型病毒等。
【病毒庫】
  • 更新機制:病毒版本部署在雲端,由阿里雲統一控制,即時更新,用戶端本地無檢測引擎。
  • 病毒樣本能力:基本覆蓋全種類病毒,在雲端整合國內外主流殺毒引擎、阿里雲自研沙箱和機器學習引擎等。
 X
進程異常行為 【異常行為檢測】通過雲上真實的攻防情境對入侵鏈路還原,建立進程行為白名單,對於進程的非法行為、駭客的入侵過程進行警示。
【異常行為檢測範圍】
  • 反彈Shell:檢測Bash進程執行可疑指令,伺服器被遠端控制執行任意命令等。
  • 資料庫異常指令執行:檢測MySQL、PostgreSQL、SQLSserver、Redis、Oracle等資料庫的異常指令。
  • 應用進程非法操作:檢測Java、FTP、Tomcat、Docker容器、Lsass.exe等應用進程的非法操作。
  • 系統進程非法行為:檢測Powershell、SSH、RDP、SMBD共用、SCP檔案拷貝等系統進程的非法行為。
  • 其他可疑進程行為:檢測Vbscript、Host被訪問、crontab被寫入、Webshell寫入等。

【異常行為檢測能力】為數百個進程建立了近千個行為模型,通過比對模型分析異常行為。

 X
敏感檔案篡改 【篡改檢測】即時監控敏感目錄及檔案,對於異常的讀取、寫入、刪除等敏感操作進行警示。
【檔案篡改檢測範圍】
  • 系統檔案篡改:檢測Bash、ps命令進程被惡意替換,隱藏的非法進程運行等。
  • 網站核心檔案刪除:檢測駭客非法登入伺服器後,惡意刪除網站檔案。
  • 網站掛馬篡改:檢測網站被加入惡意代碼,造成訪問者自動下載木馬病毒。
  • 其他可疑事件:檢測Linux、MysqlDB等被勒索軟體篡改登入介面、留下郵箱或比特幣錢包地址等情形。
 X
異常網路連接 【異常串連】在主機層和網路層對網路連接進行監控,識別非法的串連行為,並進行警示。
【異常串連檢測範圍】
  • 主動外連:可疑shell反彈、Bash主動外連等主動外連到可疑IP。
  • 惡意攻擊:被種植惡意軟體,對外發動SYN-Flood、UDP-Flood、ICMP-Flood等惡意攻擊。
  • 可疑通訊:檢測後門程式通訊、可疑Webshell通訊行為等。
 X
雲產威脅檢測 基於使用者行為分析,對雲產品的異常使用進行檢測。 X X
應用事件檢測 對通過應用入侵的行為進行檢測,如:SQLServer。 X
自動化攻擊溯源 支援多類攻擊自動化攻擊溯源,溯源出攻擊IP和主機中的入侵弱點。 X X
其他 DDoS攻擊行為檢測。 X X
漏洞管理 Linux軟體漏洞 【Linux軟體漏洞檢測】對標CVE官方漏洞庫,採用OVAL匹配引擎進行軟體版本比對,對當前使用的軟體版本中存在的漏洞進行警示。
【漏洞修複】支援一鍵運行update升級命令修複漏洞,以及產生漏洞修複命令,用於手動修複。 X
Windows系統漏洞 【Windows系統漏洞檢測】同步微軟官網補丁源,對高危及有影響的漏洞進行檢測和提醒。
【漏洞修複】支援一鍵下載補丁檔案並靜默安裝更新,需要重啟的漏洞會進行提醒。 X
Web-CMS漏洞 【Web-CMS漏洞檢測】監控網站目錄,識別通用建站軟體,通過漏洞檔案比對方式檢測建站軟體中的漏洞。
【漏洞修複】自研漏洞補丁,支援一鍵修複,通過檔案替換、修改等方式從原始碼層級修複漏洞。 X
應用漏洞 提供系統服務弱口令、系統服務和應用服務的漏洞檢測及修複服務。 X X
基準配置核查 主機基準 【主機基準檢查】通過任務下發模式,對主機進行安全配置掃描,對未符合標準的項目進行提醒。
【主機基準檢查範圍】
  • 帳號安全:檢測密碼原則合規、系統及應用弱口令等。
  • 系統配置:檢測組策略、登入基準策略、註冊表配置等存在的風險。
  • 資料庫風險:檢測Redis資料庫高危配置等。
  • 合規對標要求:檢測是否符合CIS-Linux Centos7等系統基準要求。

【自訂檢測策略】支援自訂檢測策略,設定檢測項目、檢測周期、應用的伺服器組等。暫不支援自訂檢測指令碼。

 X X
攻擊分析 攻擊分析 【攻擊分析】支援查看系統遭受的Web攻擊詳情和ECS遭受的暴力破解攻擊等攻擊資訊。 X X
AK和帳號密碼泄露 AK和帳號密碼泄露 即時監控Github等第三方代碼託管網站,捕獲並判定被公開的原始碼(包含企業員工私自上傳並不小心公開的原始碼)中是否含有ECS、RDS、Redis、MySQL等資產的登入名稱和密碼資訊。 X X
日誌分析 全量日誌分析 基於SLS日誌,提供主機處理序啟動、對外網路連接、系統登入、五元組、DNS請求、安全日誌和警示日誌等量原始日誌檢索和分析。
说明 進階版支援主機日誌和安全日誌,不支援部落格;企業版支援主機日誌、安全日誌和部落格。
X 增值 增值
資產指紋 資產指紋 【連接埠】收集和呈現連接埠監聽資訊,記錄變動曆史,便於清點開放的連接埠資訊。

【帳號】收集帳號及對應許可權資訊,可清點特權帳號,檢測提權行為。

【進程】收集和呈現進程快照資訊,便於自主清點合法進程,檢測異常進程。

【軟體】清點軟體安裝資訊,在高危漏洞爆發時可快速定位到受影響資產。

【網站後台】識別網站後台資產,監控是否有撞庫和異常網站後台登入行為。

 X X
應用市場 自訂警示 支援使用者自訂警示規則,即時檢測威脅,支援第三方日誌匯入進行即時分析。 X 增值 增值
應用市場 網頁防篡改 可即時監控網站目錄並通過備份恢複被篡改的檔案或目錄,保障重要系統的網站資訊不被惡意篡改,防止出現掛馬、黑鏈、非法植入恐怖威脅、色情等內容。 X 增值 增值
應用市場 微步威脅情報 提供第三方威脅情報源。 X 增值 增值
設定 設定 支援對Security Center病毒查殺、網站後門查殺、Agent防護模式進行配置。 X
通知 對警示通知進行自訂設定,通過警示設定調整Security Center向您發送警示通知的方式和要關注的風險等級。 X
安全日報 對安全日報進行配置。開啟安全日報後,Security Center以郵件形式向您指定的收件者發送每日安全統計資訊。 X
安裝/卸載外掛程式 支援Agent外掛程式的安裝和卸載。 X