云安全中心提供了防病毒、防勒索、网站后门连接防御等安全能力,您可以通过设置相应的安全能力为您的服务器开启安全防护。本文介绍主机防护设置支持的功能及如何设置相应功能。
主动防御
功能介绍
云安全中心的主动防御能力为您自动拦截常见病毒、恶意网络连接和网站后门连接,并设置诱饵捕获勒索病毒。以下表格是各功能的详细介绍。
功能 | 支持的版本 | 描述 |
---|---|---|
防病毒 | 防病毒版、高级版、企业版、旗舰版 | 防病毒能够帮助您自动隔离并查杀常见网络病毒,包括主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等。
说明
|
防勒索(诱饵捕获) | 高级版、企业版、旗舰版 |
重要 开启防勒索(诱饵捕获)开关前,您需要先购买并开通防勒索服务。更多信息,请参见开通防勒索服务。
|
网站后门连接防御 | 企业版、旗舰版 | 开启该功能后,云安全中心会自动拦截黑客通过已知网站后门进行的异常连接行为,并隔离相关文件。您可以在安全告警处理页面查看相应告警和被隔离的文件。更多信息,请参见查看和处理告警事件和文件隔离箱。
说明 您购买了企业版或旗舰版后,云安全中心默认为您开启网站后门连接防御功能,并将您的所有服务器添加到网站后门连接防御的检测范围内。
|
恶意网络行为防御 | 企业版、旗舰版 | 开启该功能后,云安全中心将拦截您的服务器和已披露的恶意访问源之间的网络行为,为您的服务器增强安全防护。 |
主动防御体验优化 | 企业版、旗舰版 | 开启该功能后,如果服务器异常关机或安全防御能力缺失时,云安全中心将采集服务器Kdump数据进行安全防护分析,不断提升云安全中心的安全防御能力。 |
开启防御能力
后续步骤
网站后门查杀
网站后门查杀功能使用自主查杀引擎检测常见后门文件,支持定期查杀和实时防护,并提供一键隔离功能。网站后门查杀功能会定期检测网站服务器、网页目录中的网站后门及木马程序。只有为服务器开启网站后门查杀后,云安全中心安全告警功能才会触发网站后门检测,并向您展示相关告警记录。以下是检测内容的相关说明:
- Web目录中文件发生变动会触发动态检测,每日凌晨扫描整个Web目录进行静态检测。
- 支持针对网站后门检测的资产范围配置。
- 对发现的木马文件支持隔离、恢复和忽略。
版本限制
仅云安全中心的企业版和旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心和升级与降配。为服务器开启网站后门查杀
- 登录云安全中心控制台。在左侧导航栏,选择 。
- 在设置页签的主机防护设置 子页签下,单击网站后门查杀区域的管理。
- 在网站后门查杀范围面板,选中需要开启网站后门查杀的服务器,并单击确定。
后续步骤
为服务器开启网站后门查杀后,您可以在安全告警处理页面查看告警类型为网站后门的告警。未处理的网站后门告警可能会对您的资产安全造成严重威胁,建议您及时处理此类告警。具体操作,请参见查看和处理告警事件。
自适应威胁检测能力
开启自适应威胁检测能力后,如果服务器发生高危入侵事件,云安全中心会自动为您服务器的Agent开启重大活动保护模式。该模式开启所有安全防护规则和安全引擎,可以更全面地检测黑客的入侵行为。
自适应威胁检测能力默认为关闭状态,您需要手动开启该功能。开启该功能后,如果云安全中心在您的服务器中检测到高危风险(即高危告警),会自动为您的服务器Agent开启期限为7天的重大活动保护模式。重大活动保护模式会对任何可疑的入侵行为和潜在的威胁进行告警。重大活动保护模式的更多信息,请参见防护模式管理。
说明 云安全中心自动为您的服务器开启了期限为7天的重大活动保护模式时,如果您在这7天中,手动设置了该服务器的防护模式,7天到期后云安全中心将不会自动为该服务器关闭重大活动保护模式,该服务器会一直保持您手动设置的防护模式。
版本限制
仅云安全中心的企业版和旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心和升级与降配。
开启自适应威胁检测能力
防护模式管理
云安全中心Agent是云安全中心提供的本地插件,您必须在服务器操作系统上安装云安全中心Agent插件才能使用云安全中心提供的安全防护服务。防护模式管理功能提供多种Agent运行模式,可以满足您不同应用场景下的安全需求。关于Agent插件的更多信息,请参见Agent概述。
支持的防护模式
Agent插件在服务器上运行时,会占用少量服务器资源。您可以调整Agent的运行模式,限制其资源占用量。为服务器选择适合的防护模式,可以获得更好的安全防护效果。以下表格描述了Agent支持的运行模式。
防护模式 | 最高内存或CPU占用 | 支持的版本 | 应用场景 |
---|---|---|---|
基础防护模式 |
|
所有版本 | 基础防护模式适用于所有业务场景,极低的资源消耗对业务零影响。
说明 新购买的ECS默认开启基础防护模式。
|
高级防护模式 |
|
防病毒版、高级版、企业版、旗舰版 | 高级防护模式适用于关键业务的安全防护场景。该模式开启大数据分析引擎、机器学习、深度学习引擎,可以挖掘更多可疑的入侵行为和潜在的威胁。 |
重大活动保护模式 |
|
企业版、旗舰版 | 重大活动保护模式适用于重大活动的安全保障。该模式开启所有安全防护规则和安全引擎,通过智能化的规则提升告警检测引擎的敏感度,对任何可疑的入侵行为和潜在的威胁都会进行告警。 |
说明 选择任一防护模式时,当Agent占用资源超过限制峰值(具体峰值,请参见以上表格最高内存或CPU占用列)时,Agent将会暂停工作,直至CPU使用率或内存占用下降到合理范围内,Agent会自动重启。