云安全中心提供了恶意主机行为防御、防勒索、网站后门连接防御等安全能力,您可以通过设置相应的安全能力为您的服务器开启安全防护。本文介绍主机防护设置支持的功能及如何设置相应功能。
主动防御
功能介绍
云安全中心的主动防御能力为您自动拦截常见病毒、恶意网络连接和网站后门连接,并设置诱饵捕获勒索病毒。以下表格是各功能的详细介绍。
| 功能 | 支持的版本 | 描述 |
|---|---|---|
| 恶意主机行为防御 | 防病毒版、高级版、企业版、旗舰版 | 恶意主机行为防御功能能够自动拦截并查杀常见网络病毒,包括主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等。 购买云安全中心防病毒版及以上版本后,云安全中心默认开启恶意主机行为防御功能,并将您所有服务器添加到该功能的检测范围内。 以下是不同版本支持的功能差异:
说明 感染型病毒是一类高级恶意程序,由病毒本体将恶意代码写入正常程序文件执行,因此往往有大量原本正常程序被感染后作为宿体被检出。感染型病毒可能会危害系统进程,终止系统进程会造成系统稳定性风险。因此云安全中心不会自动隔离感染型病毒,您需要手动处理此类病毒。 |
| 防勒索(诱饵捕获) | 高级版、企业版、旗舰版 | 防勒索(诱饵捕获)提供了捕捉新型勒索病毒的诱饵,并通过病毒行为分析,自动启动新型勒索病毒的防御。 云安全中心在您服务器中设置的勒索捕获诱饵文件仅用于捕获新型勒索病毒,不会对您的业务产生任何影响,请您放心使用该功能。您可以在安全告警处理页面,将告警类型设置为精准防御,查看云安全中心为您隔离的防勒索病毒。 |
| 网站后门连接防御 | 企业版、旗舰版 | 开启该功能后,云安全中心会自动拦截黑客通过已知网站后门进行的异常连接行为,并隔离相关文件。您可以在安全告警处理页面查看相应告警和被隔离的文件。更多信息,请参见查看和处理告警事件和文件隔离箱。 说明 您购买了企业版或旗舰版后,云安全中心默认为您开启网站后门连接防御功能,并将您的所有服务器添加到网站后门连接防御的检测范围内。 |
| 恶意网络行为防御 | 企业版、旗舰版 | 开启该功能后,云安全中心将拦截您的服务器和已披露的恶意访问源之间的网络行为,为您的服务器增强安全防护。 |
| 主动防御体验优化 | 企业版、旗舰版 | 开启该功能后,如果服务器异常关机或安全防御能力缺失时,云安全中心将采集服务器Kdump数据进行安全防护分析,不断提升云安全中心的安全防御能力。 |
说明 如果您主动防御区域的所有功能都为关闭状态,云安全中心将以安全告警的形式向您展示在您服务器上检测出的病毒,您需要在控制台手动处理病毒相关告警。建议您开启主动防御区域所有的功能,加固服务器安全防线。处理安全告警的具体操作,请参见查看和处理告警事件。
开启防御能力
- 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
- 在左侧导航栏,选择。
- 在设置页签的主机防护设置 子页签,打开主动防御区域恶意主机行为防御、防勒索(诱饵捕获)、网站后门连接防御和恶意网络行为防御开关。打开主动防御区域的所有开关后,云安全中心将从恶意主机行为防御、防勒索、防网站后门异常连接和防恶意源访问等多方位为您的服务器提供安全防护。
- 单击恶意主机行为防御、防勒索(诱饵捕获)、网站后门连接防御或恶意网络行为防御右侧的管理,管理恶意主机行为防御、防勒索(诱饵捕获)、网站后门连接防御或恶意网络行为防御拦截病毒或恶意行为生效的服务器范围。
- 在主动防御-恶意主机行为防御、主动防御-防勒索(诱饵捕获)主动防御-网站后门连接防御或主动防御-恶意网络行为防御面板,选中需要检测的服务器。
- 单击确定。开启恶意主机行为防御、防勒索(诱饵捕获)、网站后门连接防御和恶意网络行为防御服务后,云安全中心将自动拦截病毒运行的相关程序、进程等,同时阻断异常连接。
- 可选:选中主动防御体验优化复选框。选中主动防御体验优化有助于云安全中心获取服务器异常情况下安全防护数据,为您提升安全防护能力。建议选中该项。
后续步骤
网站后门查杀
网站后门查杀功能使用自主查杀引擎检测常见后门文件,支持定期查杀和实时防护,并提供一键隔离功能。网站后门查杀功能会定期检测网站服务器、网页目录中的网站后门及木马程序。只有为服务器开启网站后门查杀后,云安全中心安全告警功能才会触发网站后门检测,并向您展示相关告警记录。以下是检测内容的相关说明:
- Web目录中文件发生变动会触发动态检测,每日凌晨扫描整个Web目录进行静态检测。
- 支持针对网站后门检测的资产范围配置。
- 对发现的木马文件支持隔离、恢复和忽略。
版本限制
仅云安全中心的企业版和旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心和升级与降配。为服务器开启网站后门查杀
- 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
- 在左侧导航栏,选择。
- 在设置页签的主机防护设置 子页签下,单击网站后门查杀区域的管理。
- 在网站后门查杀范围面板,选中需要开启网站后门查杀的服务器,并单击确定。
后续步骤
为服务器开启网站后门查杀后,您可以在安全告警处理页面查看告警类型为网站后门的告警。未处理的网站后门告警可能会对您的资产安全造成严重威胁,建议您及时处理此类告警。具体操作,请参见查看和处理告警事件。
自适应威胁检测能力
开启自适应威胁检测能力后,如果服务器发生高危入侵事件,云安全中心会自动为您服务器的Agent开启重大活动保护模式。该模式开启所有安全防护规则和安全引擎,可以更全面地检测黑客的入侵行为。
自适应威胁检测能力默认为关闭状态,您需要手动开启该功能。开启该功能后,如果云安全中心在您的服务器中检测到高危风险(即高危告警),会自动为您的服务器Agent开启期限为7天的重大活动保护模式。重大活动保护模式会对任何可疑的入侵行为和潜在的威胁进行告警。重大活动保护模式的更多信息,请参见防护模式管理。
说明 云安全中心自动为您的服务器开启了期限为7天的重大活动保护模式时,如果您在这7天中,手动设置了该服务器的防护模式,7天到期后云安全中心将不会自动为该服务器关闭重大活动保护模式,该服务器会一直保持您手动设置的防护模式。
版本限制
仅云安全中心的企业版和旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心和升级与降配。
开启自适应威胁检测能力
- 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
- 在左侧导航栏,选择。
- 如果您之前未授权云安全中心访问您的云资源,在设置页签主机防护设置 子页签的自适应威胁检测能力区域,单击立即授权。该操作是授权云安全中心访问您的云资源。授权成功后,访问控制服务会自动创建RAM角色:AliyunServiceRoleForSas,云安全中心使用此角色访问您其他产品中的云资源,为其他云资源提供安全防护。更多信息,请参见云安全中心服务关联角色。
- 打开动态自适应威胁检测开关。
防护模式管理
云安全中心Agent是云安全中心提供的本地插件,您必须在服务器操作系统上安装云安全中心Agent插件才能使用云安全中心提供的安全防护服务。防护模式管理功能提供多种Agent运行模式,可以满足您不同应用场景下的安全需求。关于Agent插件的更多信息,请参见Agent概述。
支持的防护模式
Agent插件在服务器上运行时,会占用少量服务器资源。您可以调整Agent的运行模式,限制其资源占用量。为服务器选择适合的防护模式,可以获得更好的安全防护效果。以下表格描述了Agent支持的运行模式。
| 防护模式 | 最高内存或CPU占用 | 支持的版本 | 应用场景 |
|---|---|---|---|
| 基础防护模式 |
| 所有版本 | 基础防护模式适用于所有业务场景,极低的资源消耗对业务零影响。 说明 新购买的ECS默认开启基础防护模式。 |
| 高级防护模式 |
| 防病毒版、高级版、企业版、旗舰版 | 高级防护模式适用于关键业务的安全防护场景。该模式开启大数据分析引擎、机器学习、深度学习引擎,可以挖掘更多可疑的入侵行为和潜在的威胁。 |
| 重大活动保护模式 |
| 企业版、旗舰版 | 重大活动保护模式适用于重大活动的安全保障。该模式开启所有安全防护规则和安全引擎,通过智能化的规则提升告警检测引擎的敏感度,对任何可疑的入侵行为和潜在的威胁都会进行告警。 |
说明 选择任一防护模式时,当Agent占用资源超过限制峰值(具体峰值,请参见以上表格最高内存或CPU占用列)时,Agent将会暂停工作,直至CPU使用率或内存占用下降到合理范围内,Agent会自动重启。
设置防护模式
- 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
- 在左侧导航栏,选择。
- 在设置页签的主机防护设置 子页签,单击防护模式管理区域高级防护模式或重大活动保护模式处的管理。
- 在高级防护模式或重大活动保护模式面板,选中需要配置高级防护模式或重大活动保护模式的服务器,单击确定。说明 每台服务器Agent的运行模式只能选择高级防护模式或重大活动保护模式中的一种。例如某服务器当前是高级防护模式,如果您将该服务器设置为重大活动保护模式,该服务器的防护模式会变为重大活动保护模式。
- 可选:在重大活动保护模式区域,在CPU阈值右侧设置CPU占用的阈值。重大活动保护模式支持设置CPU占用的阈值,阈值越高,防护更精准。可设置范围:5%~60%。默认取值5%。说明 重大活动保护模式下告警检测类型多并且检测引擎的敏感度更高,会检测出更多的告警,可能会导致误报率增加。建议您及时关注并处理告警。