本文主要介绍如何快速使用主机安全（HOSTEYE）产品对用户的云主机系统进行防护。HOSTEYE具备病毒查杀、入侵检测、漏洞扫描、基线核查等能力，可以全面评估云主机资产的安全风险，帮助用户快速建立云主机的安全防护体系，助力用户满足云主机的等保测评要求。

一、进入主机安全

1.进入百度智能云官网。

2.登录百度智能云平台：

• 若没有用户名，请先完成注册，操作请参考注册。
• 若有用户名，登录操作请参考登录。

3.登录成功后，选择“产品->安全->云安全->主机安全”，进入主机安全产品主页。

二、购买主机安全

1.在主机安全产品主页，点击 立即购买 按钮，来购买主机安全。

2.在购买主机安全授权页面，选择需要购买的主机安全版本，填写需要的授权数量、适用服务器与购买时长，点击下一步，按照后续提示，依次完成订单，价格详情详见：主机安全价格。

• 请注意，若无服务器，请先购买云服务器BCC

  3.完成订单后，点击左上角的返回授权管理列表进入主机安全-授权管理页面。

4.点击订单列表的操作按钮：使用管理，可以切换云服务器的主机安全授权版本。

三、快速入门

1、概览

主机安全HOSTEYE提供主机安全事件的可视化总览与处置。

点击主机安全-概览进入概览页面，此页面自上而下的展示有：安全评分、资产状态（授权状态、防护状态），入侵、漏洞、基线、病毒四大类风险的趋势图，以及四大类风险的具体数量统计，最下方是四大类风险的主机TOP5排名。各类风险均支持点击跳转到具体风险详情处进行处置。

2、登录管理

主机安全HOSTEYE率先应用智能算法，通过识别用户的日常登录行为，在云端分析用户的登录习惯，形成用户登录模型。当发生暴力破解或异常登录时，能快速识别并封禁攻击源IP，同时发出安全告警。

在主机安全-登录管理-登录管理设置，对登录管理规则进行一些设置。

• IP黑白名单设置，为某台或某几台云服务器设置IP黑白名单。被写入IP黑名单中的IP地址，将无法对云服务器进行登录。被写入IP白名单中的IP地址，将会默认为安全可信的IP地址，各种登录防范规则将会对其放行。

• 常用登录地域设置，为全部的云服务器设置常用登录地域，该地域之外的登录行为会被认为是异地登录行为。

• 常用登录账号设置，为全部的云服务器设置常用登录账号，非常用登录账号的登录行为将会被特别关注。

• 常用登录时间设置，为全部的云服务器设置常用登录时间，非常用登录时间的登录行为将会被特别关注。

3、基线核查

主机安全HOSTEYE根据CIS与等保三级基线标准，对云主机进行基线检查，帮助用户发现基线配置问题。

用户登录主机安全控制台后，点击主机安全-基线核查-基线核查进入基线核查页面。

• 点击立即检查，可以选择使用CIS全量模板、等保三级全量模板或自定义检查模板进行基线检查。

• 可以选择查看最近20次的基线检查记录，记录内容有：检查开始/结束时间、检查主机数、整体检查项目、整体检查通过数、整体通过率。也可以在检查项维度或服务器维度的列表中详细查看基线检查结果。

4、网站后门

主机安全HOSTEYE集成了本地查杀引擎和云查杀引擎对Webshell进行查杀，双重保险更有效。

在主机安全-网站后门-网站后门查杀设置，可以对网站后门进行各种设置。

• 基础设置，支持对本地引擎和云查杀引擎、扫描结果、实时监控、Web目录等基本内容进行设置。

• 黑白名单设置，支持依据文件md5，对文件进行加黑和加白操作。

点击主机安全-网站后门-网站后门查杀进入网站后门查杀页面。此页面能够总览含网站后门的服务器数量，点击可筛选，能够总览网站后门风险的处理状态。支持对扫描结果进行隔离、加白、下载，支持对隔离区源文件进行还原或删除操作。

• 勾选服务器，点击后门扫描，即可进行网站后门扫描。

5、资产清点

主机安全HOSTEYE能够帮助用户对云主机内的信息资产进行梳理清点，杜绝未知资产，便于对全部资产进行有效防护。

点击主机安全-资产清点-资产清点进入资产清点页面。清点资产内容包含：服务器、操作系统、端口、进程、启动项、账号、应用、定时任务、Web服务、Web框架、Web站点、数据库、共享目录。可以根据服务器名称、IP进行查询，支持资产清点列表导出。

6、漏洞扫描

主机安全HOSTEYE对常见软件的官方披露安全漏洞信息，进行了收集和整理，形成了安全知识库。依据知识库进行检测，帮助客户了解自身部署的常见软件的安全漏洞情况。

点击主机安全-漏洞扫描-漏洞扫描进入漏洞扫描页面，可筛选查看各类漏洞的服务器数量、总览各类漏洞的数量。漏洞扫描列表包含：系统漏洞、Web-CMS漏洞、应用漏洞，可以根据服务器名称、IP进行查询，并支持漏洞扫描列表导出。

• 勾选服务器，点击漏洞扫描，即可对勾选的云服务器发起漏洞扫描。

• 勾选服务器，点击自定义扫描，即可对勾选的云服务器发起自定义漏洞扫描。

• 在漏洞扫描列表中，点击漏洞的数量可以进入漏洞详情页面。

7、病毒查杀

主机安全HOSTEYE集成了本地查杀引擎和云查杀引擎，双重保险更有效，可以对恶意文件、恶意进程进行强力查杀。

在主机安全-病毒查杀-病毒查杀设置中，支持查杀引擎设置、扫描设置、实时防护设置、病毒库升级设置、压缩文件设置、目录加白、扩展名加白、添加黑白名单操作。

• 基础设置，支持查杀引擎设置、扫描设置、实时防护设置。

• 高级设置，支持压缩文件设置、目录加白、扩展名加白设置。

• 黑白名单设置，支持依据文件md5，对文件进行加黑和加白操作。

点击主机安全-恶意进程-恶意进程查杀进入恶意进程查杀页面。此页面能够总览含病毒服务器的数量，点击可筛选。能够总览各类病毒的数量。支持对扫描结果进行清理或加白，对隔离区源文件进行还原或删除操作。

• 勾选服务器，即可以对恶意进程/文件进行快速扫描、全盘扫描、自定义扫描。

8、异常检测

主机安全HOSTEYE可以对云服务器上异常行为进行检测，并报警。目前支持4类异常行为检测，包括反弹shell、异常shell、进程提权、文件提权。

在主机安全-异常检测-异常检测设置，可以对异常Shell检测进行设置。

9、Web应用防护

主机安全HOSTEYE集成了Web应用防护能力（ https://rasp.baidu.com ），抛弃了传统防火墙依赖请求特征检测攻击的模式，创造性地使用RASP技术（应用运行时自我保护）。将RASP探针直接注入到被保护应用的服务中，为Web应用提供函数级别的实时防护，并可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞。尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。目前企业版支持对PHP及JAVA的应用服务进行防护。

在主机安全-Web应用防护-Web应用防护页面，您可以总览含有RASP风险的应用数量，点击可筛选。可总览各类RASP事件的数量。

进行添加应用服务器，应用服务器的添加有两种方式：

手动添加时，需要填写对应的应用名称，服务器IP，应用类型，应用所在路径。

进行RASP-Agent的安装、升级、卸载操作

• RASP-Agent安装：当Web应用防护设置中配置了组件自动安装策略，应用服务将自动安装对应组件。若未配置自动安装，则可以勾选对应的应用服务，点击Web应用防护页面的“安装”按钮进行RASP-Agent的手动安装。注意：部分应用的安装未生效时，需要重启应用服务，请合理安排安装时间。
• RASP-Agent升级：当Web应用防护设置中配置了组件自动升级策略，应用服务将自动升级对应组件。若未配置自动升级，则可以勾选对应的应用服务，点击Web应用防护页面的“升级”按钮进行RASP-Agent的手动升级。注意：部分应用的升级未生效时，需要重启应用服务，请合理安排升级时间。
• RASP-Agent卸载：可以勾选对应的应用服务，点击Web应用防护页面的“卸载”按钮进行RASP-Agent的手动卸载。注意：部分应用的卸载未生效时，需要重启应用服务，请合理安排卸载时间。

点击某服务器的攻击事件数字，可以查看攻击详情：

10、蜜罐

主机安全HOSTEYE支持创建轻量级的蜜罐实例，用于监控和诱捕各种攻击行为。

点击主机安全-蜜罐进入蜜罐页面。此页面能够总览包含异常访问的蜜罐数量，总览各类蜜罐事件的数量，点击可筛选。

• 创建蜜罐实例，支持创建Redis蜜罐、Mysql蜜罐、自定义端口蜜罐，点击确认即可创建一个蜜罐。

11、系统管理

主机安全HOSTEYE的系统设置，可以设置定时任务、告警规则与Agent资源占用模式，详细操作指南：系统管理。

四、客户端安装

百度智能云的提供的云服务器系统已经预装了主机安全客户端，不用重复安装。若您的云主机系统没有未安装主机安全客户端：

• Linux系统的主机安全客户端安装步骤，详见：Linux安装客户端。
• Windows系统的主机安全客户端安装步骤，详见：Windows安装客户端。