主机安全客户端

登录管理

百度智能云主机安全客户端率先应用百度智能云先进的AI技术算法,通过采集用户日常登录日志,在云端自动分析用户正常的主机登录习惯。当发生暴力破解或异常登录时,百度智能云安全能快速识别并封禁攻击源IP。同时,当检测到云服务器被暴力破解成功或有异常登录地址时,会第一时间触发安全告警。告警通知设置参见报警设置

前提条件

登录管理功能依赖百度主机安全组件,如下图所示,如果云服务器安全组件显示“离线”,则说明云服务器内部的安全组件不能正常工作,具体操作请参考安全组件使用指南

操作步骤

  1. 登录百度智能云管理控制台。

  2. 选择“产品服务->安全和管理->主机安全客户端”,进入登录管理页面。

  3. 在左侧导航点击“设置”,选择“登录管理设置”页签。

  4. 点击“添加白名单”,完成如下两个事情:

    • 填写IP地址。
    • 勾选所填写IP地址要适配的云服务器。

  5. 返回“登录管理”页面,可以查看:

    云服务器最近7天的暴力破解拦截次数检测异地次数查看详情

登录事件详情

  1. 在“管理登录”页面,对需要检测的云服务器实例,点击“查看详情”。

  2. 在“登录详情”页面查看登录事件的趋势详情

  3. 对登录“事件”的操作:

    • 云端策略自动封禁暴力破解的来源IP,可点击“解除封禁”按钮解禁。
    • 普通登录或异地登录,可点击“来源IP一键加白”按钮加入IP白名单库。

网站后门

百度智能云安全客户端应用百度自研Webshell查杀引擎,结合百度智能云安全海量的安全数据分析能力,构建了“云+端”的查杀体系,支持检测包括Apache、IIS、Nginx、Tomcat在内的多种Web服务。

前提条件

依赖百度主机安全组件,具体操作请参考安全组件使用指南

操作步骤

  1. 登录百度智能云管理控制台。

  2. 选择“产品服务->安全和管理->主机安全客户端”,进入主机安全客户端服务。

  3. 在左侧导航点击“设置”,选择“网站后门设置”页签。

  4. 点击“编辑”,完成如下两个事情:

    • 添加WEB路径,此路径当前支持系统自动识别和用户手动添加两种方式。
    • 打开云查杀功能,此功能默认是关闭的。

  5. 编辑完成后,点击“确定”。

  6. 返回“网站后门” 页面,查看已发现的网站后门情况。

  7. 对已发现的后门文件,操作处理有如下几种:

    • 忽略:百度智能云安全客户端将不会再上报该后门文件。
    • 隔离:将该后门文件转移至隔离区(注:不是删除该后门文件)。
    • 恢复:如果误操作将某文件隔离,可通过此操作将文件恢复。

安全基线

百度智能云安全基线检查,支持检查云服务器上系统配置、Web服务配置、数据库配置及账号密码配置存在的风险情况,并针对检查出的风险项,给出修复建议。支持手动立即下发检查任务或自定义配置定时扫描任务。系统自带默认检查规则,用户也可根据云服务器类型,自定义配置检查规则,精准检查,灵活可控。

前提条件

依赖百度主机安全组件,具体操作请参考安全组件使用指南

操作步骤

  1. 登录百度智能云管理控制台。

  2. 选择“产品服务->安全和管理->主机安全客户端”,进入主机安全客户端服务。

  3. 在左侧导航点击“设置”,选择“基线检查设置”页签。

    说明:

    安全基线功能初始自带默认检查规则及检查时间,且支持用户自定义配置检查规则及检查时间。

    • 系统默认检查规则:支持查看、编辑,不支持删除的操作。
    • 自定义创建检查规则:支持查看、编辑及删除的操作。

  4. 点击“创建检查规则”按钮,完成如下事情:

    • 自定义配置规则名称
    • 检查项
    • 生效服务器

    说明:一台云服务器只能生效一个基线检查规则。初始状态下,所有云服务器已生效默认检查规则,若要云服务器绑定自定义检查规则,则需在默认检查规则中解绑云服务器。

    编辑完成后,点击“确定”。

  5. 在“基线检查设置”页签,可以查看创建的检查规则。

触发检测

系统默认开启基线检查。触发检测分为:周期检测和手工下发检测。

检查结果包括:风险描述、影响服务器数量、风险等级、规则类型及最后发现时间。

说明:检查结果列表中为上次检查结果,下次检查时结果将被覆盖。

  • 周期检测:在“基线检查设置”页,点击“检查时间设置”按钮,可进行周期检查配置。

  • 手工下发检测:在左侧导航栏点击“安全基线”,进入安全基线页面,点击“立即检查”按钮即可下发检查任务。

风险详情

  1. 在“安全基线”页,点击风险描述列表中的风险项。
  2. 在详情页,支持查看该风险的如下信息:
    • 基本详情:包括该风险项的规则描述、风险等级、最后发现时间、修复建议
    • 风险关联的服务器列表