主机安全产品使用教程

滴滴云技术支持发表于:2018年04月17日 17:02:17更新于:2019年07月18日 16:56:48

快速入门

    主机安全产品的简要使用流程如下所示

     图片.png

     步骤1:  安装主机安全客户端(DC2创建时会默认安装), 安装方式参考客户端安装指导

     步骤2: 可选步骤,如果需要更全面的主机安全防护,可开启专业防护功能(专业版和基础版的差别请参考主机安全专业版介绍);

     步骤3: 成功安装主机安全客户端的的DC2处于安全防护状态。


详细说明

安装主机安全客户端

       使用主机安全产品,必须在DC2上安装主机安全客户端(Agent)才能生效。

        在DC2创建时会默认加载主机安全客户端,为主机提供基础安全防护。

        如果在DC2运行过程中,不小心卸载了主机安全客户端,则可按以下说明重新安装主机安全客户端。

CentOS和Ubuntu安装说明;

SSH登录DC2主机,执行如下Shell命令:
curl -sL http://mirrors.intra.didiyun.com/secure_source/agent_install.sh | sudo bash -

 详细的安装步骤请参考:主机安全客户端安装指导


开启或关闭专业防护

        已经成功安装Agent的DC2主机,可以在滴滴云控制台上,根据业务情况,开启或关闭某一台主机的专业防护功能(只有开启专业防护功能,才会计费)。

        进入主机安全主页,选择资产管理,如下所示

image.png

        根据服务器IP/主机名,选择需要操作的主机,点击开启或关闭专业防护。

        也可以选择列表最左侧的复选框,然后点击左上角的开启专业防护、关闭专业防护按钮,执行批量操作。

        注:控制台上的操作和实际的开启或关闭生效有短暂的时间延迟,如果状态更新延迟,请耐心等待。

查看主机安全详情

        已成功安装主机安全防护Agent的主机,可以点击最右侧的“安全详情”查看主机安全详情。

image.png

image.png

        详情包括主机威胁风险总览、主机基本信息和具体的威胁风险信息,还可以对威胁进行处理。

        威胁风险信息一共十项,包括:系统漏洞、Web漏洞、账号弱口令、基线弱点、异地登陆、暴力破解、网站后门、主机异常、病毒查杀、文件篡改。

        其中系统漏洞、账号弱口令可在详情中查看“修复建议”。

image.png

       Web漏洞、基线弱点、网站后门、主机异常、文件篡改可在详情中进行“修复、回滚、验证、忽略”操作。

image.png

       病毒查杀可在详情中进行“隔离、忽略”操作。

image.png

资产管理

        已有主机开启主机安全防护,可在资产管理中进行账户、端口和进程的查看。

image.png

image.png

image.png

风险发现和入侵检测

        已有主机开启主机安全防护,可查看所有已开启防护的主机的风险发现和入侵检测情况,并进行相应的操作。

image.png

image.png

卸载主机安全客户端

        不建议用户自行卸载主机安全客户端,如果需要关闭安全防护功能,可以通过控制台关闭一台或多台主机专业防护功能。

        目前只提供通过滴滴云控制台进行卸载,进入主机安全主页,选择资产管理,如下所示

image.png

        选择需要卸载客户端的主机,点击最右边的三个点(...),弹出操作菜单,选择“卸载”,填写卸载原因

        图片.png

        注:对于已经卸载客户端的主机,无法在“资产管理”的主机列表中看到,如果需要启用主机安全防护,则必须重新安装主机安全客户端。


设置常用登陆地

        系统会自动记录并学习主机的常用登陆地,当发现某次登陆来源不是常用登陆地时,会进行异地登陆告警。

        对于需要多地登录的主机,可通过手工设置常用登录地,避免误报。

        进入主机安全主页,选择“设置”,如下所示

image.png

        点击右上角的“添加常用地”,出现登录地设置页面

        图片.png

        可以选择一个或多个常用地,并且应用的主机列表,点击添加,设置完成。

        注:如果主机设置了常用登录地,则后续的所有登录和设置的常用地不一致,均认为是异地登录。