注意:以下文档只适用于TOP接口,请谨慎使用!
注意:以下文档只适用于TOP接口,请谨慎使用!
态势感知基线检查功能自动检测您服务器和云产品上存在的风险配置项,并为您提供修复建议。该功能分为主机基线检查和云产品基线检查。
主机基线检查自动检测您服务器上系统、账号、数据库、弱密码、合规性配置中存在的风险点,并针对所发现的问题项为您提供修复建议。本文介绍了使用主机基线检查来检测并修复您服务器上不安全配置的操作方法。关于云产品基线检查,请参考云产品基线检查。
主机基线检查功能在启用后,自动检测服务器上的系统、账号、数据库、弱密码、合格性配置中存在的风险点,并提供修复建议。具体检查内容,参见文末主机基线检查检测内容。
主机基线检查的默认策略为每一天进行一次全面自动检测,在凌晨0到6点间完成。您可以自行添加和维护检测策略模板,自定义需要检查的项目、生效的服务器、检查周期、和触发时间。
| Note | |
| 某些检测项(例如,MySQL弱密码检测、SQLServer弱密码检测),可能采用尝试登录的方式进行检查,从而会占用一定的服务器资源,生产较多的登录失败记录。这些检查项目默认是关闭。如果您需要这些功能,请确认上述风险后,自定义主机基线检查策略模板,并勾选这些项目。 |
主机基线检查也支持白名单设置,允许您彻底忽略某些主机基线检查项目,态势感知不会检测主机基线检查白名单中的项目。加入白名单或忽略操作支持填写备注,以便后续查看。
参照以下步骤,查看并修复您服务器上的风险配置项:
1. 登录云盾态势感知控制台。
2. 在左侧导航栏,单击基线检查。
3. 在主机基线分页下,查看您服务器上存在的配置风险项。您可以使用风险搜索和页签筛选功能,快速定位到具体风险。
如果您不希望收到特定风险的告警信息,您可以勾选该风险项,单击风险列表下方的忽略,忽略该风险告警;如果您想彻底忽略特定风险,即不希望态势感知去检测该风险,您可以勾选该风险,单击风险列表下方的加入白名单,系统不会去检测白名单中的风险。
4. 选择一个风险项,单击其名称,进入风险详情页面,查看该风险的详细信息和受影响的资产。
5. 参照风险详情 > 更多 下的加固建议,在对应服务器上进行修复。
| Note | |
| 您可以勾选一个或多个受影响资产,使用影响资产列表下方的批量操作按钮进行批量操作。 |
1)修复风险后,您可以单击操作列中的验证,一键验证该风险是否已修复成功。如果您未进行手动验证,风险修复成功后 72 小时内态势感知会进行自动验证。
2)如果您不希望收到该风险项的告警,您可以单击操作列中的忽略,忽略该风险,态势感知将不再上报并告警此服务器上的这个风险项。
3)如果您希望彻底忽略该风险项,不再对其进行检测,您可以单击页面右上角的加入白名单,并添加备注信息。添加进白名单中的风险项可在主机基线检查设置中进行恢复。
如果您需要自定义扫描策略和检测项目,您可以参照以下步骤,新建一个扫描策略模板:
1. 登录 云盾态势感知控制台。
2. 在左侧导航栏,单击基线检查。
3. 单击添加策略模板,新建一个扫描策略模板,完成以下配置:
1)输入一个用于识别该模板的名称。
2)勾选需要检测的项目,在合规性检测、弱密码检测、系统、账号、数据库下勾选具体检测内容,详情参见文末主机基线检查检测内容。
3)选择检测周期(每1天/3天/7天/30天检测一次)和检测触发时间(0-6点、6-12点、12-18点、18-24点)。
4)勾选应用上述设置的分组资产。
| Note | |
| 新创建的服务器默认归属在分组资产 > 未分组,如需对新创建资产自动应用该模板,请勾选未分组。 |
5)单击提交,完成创建。
4. 已添加策略模板自动生效,按照配置的周期和触发时间自动执行扫描任务。您也可以在主机基线分页下,单击策略模板下的立即检测,立即执行该扫描任务。
5. 对于已添加的模板,您可以单击基线检查页面右上角的基线检查设置;然后在扫描策略下,选择相应模板,单击编辑修改其内容,或单击删除移除该模板。
主机基线检查设置也支持以下设置:
1)选择失效风险自动删除周期:7天、30天、90天。
| Note | |
| 对检测出来的风险项不做任何处理的话,该风险项默认失效,并在指定的周期后被自动删除。 |
2)维护基线白名单:单击一个风险项下的移除,将其从白名单中移除,系统将重新对其进行检测和告警。
3)勾选提醒风险等级范围:
① 严重:极不安全的配置,需要立刻修复。
② 高危:高风险配置,如密码太弱等,极易被黑客利用。
③ 中危:中风险配置,如Web容器用root权限运行等,存在被恶意利用的风险。
④ 低危:低风险配置,如密码长度不足32位等,不太容易被黑客利用,但某些合规性检查中会规定该内容。
| 分类 | 检测项 | 说明 |
| 系统 | ||
| 系统自启动项检测(Windows) | 检测 Windows 系统服务器中的注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit中的键值是否包含可疑的可执行文件。 | |
| 系统共享配置检测(Windows) | 检测 Windows 系统服务器中的注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous中的键值,查看该键值控制是否允许远程操作注册表。 | |
| 组策略检测(Windows) | 检测 Windows 系统服务器中以下账号相关的安全策略: 1)账号密码长度最小值 2)密码复杂度(数字、大小写字母、特殊字符组合) 3)密码更新时必须与原密码不同 4)登录框是否显示上次登录账号 5)登录事件记录是否开启 6)登录过程中事件记录是否开启 |
|
| SSH 登录基线检测 | 检测 Linux 系统服务器中以下 SSH 登录安全策略配置: 1)登录端口是否为默认 22 端口 2)root 账号是否允许直接登录 3)是否使用不安全的 SSH V1 协议 4)是否使用不安全的 RSH 协议 5)是否运行基于主机身份验证的登录方式 |
|
| 弱密码检测 | Linux 系统登录弱口令检测 | 检测 Linux 系统服务器的登录账号的密码是否为常见弱口令,及 SSH 登录的密码是否常见弱口令。 |
| SQLServer 登录弱口令检测 | 检测服务器上 SQLServer 登录账号的密码是否为常见弱口令。 | |
| Windows 系统登录弱口令检测 | 检测 Windows 系统服务器中系统登录账号的密码是否为常见弱口令,及 RDP 登录的密码是否为常见弱口令。 | |
| FTP 匿名登录检测 | 检测服务器上的 FTP 服务是否开启匿名登录。 | |
| MySQL 弱口令检测 | 检测服务器上的 MySQL 服务的登录账号是否为常见弱口令。 | |
| PostgreSQL 登录弱口令检测 | 检测服务器中 PostgreSQL 登录账号的密码是否为常见弱口令。 | |
| 账号 | ||
| 风险账号扫描 | 检测服务器系统中可疑的隐藏账号、及克隆账号。 | |
| 密码策略合规检测 | 检测 Linux 系统服务器中的以下账号密码策略: 1)账号密码最大使用期限 2)密码修改最小间隔时间 3)密码最小长度 4)密码到期开始通知时间 |
|
| 空密码账号检测 | 检测服务器中密码为空的账号。 | |
| Linux 账号完整性检测 | 检测 Linux 系统服务器中新增账号的完整性。 | |
| 数据库 | Redis 配置漏洞被利用和可疑文件检测 | 检测服务器上的 Redis 服务是否存在未授权访问漏洞被利用,并向系统关键文件写入异常数据的情况。 |
| Redis 配置漏洞检测 | 检测服务器上的 Redis 服务是否对公网开放。 | |
| CIS基线检测(参考链接) | Linux-Tomcat7基线检测 | 按照CIS-Tomcat7最新基线标准进行中间件层面基线检测。 |
| Linux-Centos7基线检测 | 按照CIS-Linux Centos7最新基线标准进行系统层面基线检测。 |
