腾讯云主机安全试用体验

主机安全的简单应用

购买主机安全

可以在https://buy.cloud.tencent.com/yunjing下单

也可以在控制台命中每天首次登录控制台弹出的广告下单。

https://console.cloud.tencent.com/cwp

当然，也有可能是这样的。

如果你没有看到广告，恭喜你，你可以正常在控制台下单。

可以在概览页的第二屏的右侧，

选择开启防护跳转购买，最后一个入口在授权管理。

或者其他的升级菜单跳转。

购买页提供2个版本的下单，专业版和旗舰版，一般来说，小型业务专业版够用，复杂业务或者不差钱请直接锁死旗舰版。

以上就是关于购买的介绍。

控制台菜单介绍

现在进行控制台菜单功能作用和界面的说明介绍。

安全概览

这个页面提供一个简要视图，包含一些应用教程，资源信息。

以及防护开关和情况介绍。

现在可以看到我们还没有把授权操作好，那么我们去绑定一下。

点击上图右侧的升级防护跳转到授权页面。进行授权处理。

点击右侧的绑定主机，如果是持续业务，可以勾选自动续费。

在弹出的页面可以选择绑定单台或者是全部，这里我们授权够用，可以选择全部。但会对两种选择方式做图片展示。

以下展示自选主机

还可以用批量查询，但是需要对机器的id、ip或名称很熟悉。

因为这里是全字命中逻辑，所以似乎不支持模糊查询。

绑定成功以后就会刷新授权情况。

此时再点开授权想象即可看见主机状态为防护中，且支持解绑。

这里功能简单，就不再赘述了。

此时回到左侧菜单，可以看到小锁已经没有了。

由于刚授权过来没有数据，所以我们进行一下资产指纹的采集。

等待一段时间，就能看到全新的数据。

资产中心

资产概览

包括cpu内存硬盘的负载和应用的大概占用情况。

以及端口和进程，应用等。

主机列表

主机列表可以显示名下的所有主机，

包含轻量云服务器。右侧上方可以进行资产的清理和同步以及多云的管理，现在主机安全支持混合云模式，可以接入混合云。

同步资产不做赘述，点击即可同步名下的资产，我们来看下多云账号。

点击后。

填入需要的参数即可完成。

填写完成后直接接入即可，这里建议直接用快速配置。

如果需要接管云下主机，可以在安装客户端处按指引接入。

再讲下资产清理。

如上图所示，不再做多余的介绍。

规则是离线1-30天，默认7天，一般不建议开。适合批量清理用。

资产指纹

如下图所示，主要是用来展示资产的具体详情，包括应用、数据库、端口进程等多个维度。

由于涉及到敏感信息，详情部分不展开，已知右侧如果是蓝色的字体，均可展开。

安全预警

这个页面直接上图，我每次都觉得可。

安全加固

安全板块，主要是漏洞和基线安全。

漏洞管理

进去弹出一个新的更新，我们体验一下。

现在看下基本页面。

我们来进行漏洞设置。和防护的开启。

如果点开功能说明则会看见对泰石引擎的介绍，这里我们点开漏洞设置。

前面的入口页面和这里都可以打开漏洞防御

忽略则是把一些忽略的漏洞做一定的管理

漏洞扫描以后会生成报告可以下载，也可以重新扫描，刚才应该是点了某个防护菜单触发了扫描。

漏洞管理页也可以进行扫描和防御的设置，这里不再赘述。

刚才通过基线检测发现漏洞这里可能漏了，所以补充一下数据。

我们通过详情拉一下详细数据。

会显示主机列表和漏洞数据。点击漏洞数会进入机器信息。

还可以下载数据 支持pdf和excel。

excel 的样式。

以上就是报告的全部

我们尝试一下导出。

在事件调查处点开，会提示可以授权，获取机器前14天数据，

授权以后就会回溯，

新机器设置可以在授权管理页面处，看到开关。新增主机设置的开关。

点开。

这里我们展示一下事件调查有数据的样子。

这个事件授权是一次性的，授权后，无需再授权。

解绑再重新绑定检测也无法触发，解绑次数=订单授权数量*2

回到漏洞管理列表。

这里我们尝试下自动修复。

让授权

前往授权。

完成授权以后回来。

下一步让用快照。

点开始修复。

等待一下就自动修复完成了。

其余的以此类推。不能自动修复的需要手动修复。

基线管理

这里是针对主机安全的基线做一些检测和加固。

我们还是先去看右上方的设置，主要有几个板块。

点击编辑可以进行规则的灵活选择，如果有自定义规则。

选择以后可以应用到对应的资产，有全部，自选，ip三个方式来选择。

在检测规则设置菜单可以新增自定义的规则策略。

写好了以后完成就会生成新的，自定义规则支持查看、编辑、删除操作。

然后我看了下前面的逻辑是错的，点击系统默认的已有策略是无法编辑的，只能修改时间。需要新增策略，才可以随意改动。新增效果如下图：

同样的，在新增策略中才能添加新的自定义检测规则。

忽略的意思就是把其中的某些去掉，

自定义弱口令则是自己对一些密码做弱口令定义，可以自己批量粘贴，也可以利用工具。

这里需要注意在批量新增时输入2个以上，否则单个编辑就是覆盖逻辑，而不是新增。

正确做法应该是2个以上的弱口令，通过批量编辑进行修改或继续批量增加，然后删除多余。

在批量新增时，应换行来写入第二个弱口令。

新增完后提交即可。

最后补充一个关闭策略的影响。

如有必要，建议先把可下载的数据下载或通过其他方式做备份后再关闭。

这里我再检测一下看是否可以新增可下载数据。

实测只有检测的数据，可以进行导出。

我们点这里进去导出

导出到本地。

会显示任务。我们到下载中心去下载。

实测这里导出以后会导出所有的项目，会有详细的类目。

如果不选择详细类目，情况如下：

如果选择详细内容，则会将详情中的如何处理部分显示出来。

以上就是关于下载中心的相关内容。当按照建议修复了以后，可以重新检测该项。

某些可以忽略，忽略会做如下显示：

跳转后如下：

取消以后就没有了，所以是编辑，可以选择忽略其他的策略。

当我们修复好有问题的选项，重新检测并通过以后，该项就会出现在修复记录。

也可以导出。

以上，这个部分我们就基本说清楚了。

入侵防御

主要是入侵相关的控制

入侵检测&文件查杀

首先进入文件查杀的页面看下情况。

老规矩，可以检测，可以查杀设置，那我们就来搞一下。

都买了，还是定时查杀一下。

监控根据需要选择。

再看下最后一个选项。

自动隔离这个一般不开脚本，开了可能影响业务，为了展示完全，这里选的是重保模式的截图，正常按标准就可以了，以免对业务文件误伤。

保存以后，我们点检测，等待一下结果。

由于这里检测为0，所以详情页也是无数据的。

异常登录

这里其实比较简单，就是显示异常登录情况的机器和来源ip 以及白名单内容。

白名单设置如下：

不需要的可以删除。

密码破解

也就是查看机器是否被暴力破解密码。可以根据需要设定触发条件。

以及对应的安全阻断规则，按需设置。

可以看到相对来说安全程度还是比较保障的。

恶意请求

我们先把这个策略打开。

一般采用默认策略，也可以自己创建

按需填写提交即可。

高危命令

此处同上，开启即可，采用默认策略。

一般不建议创建策略。参数如下：

本地提权

该功能打开入侵防御后默认防御，可对带s以及指定的进程进行加白操作。

反弹shell

该功能打开入侵防御后默认防御，可对指定的ip、ip段及端口和进程加白，支持正则。

高级防御

到这个板块，基本就是一些更高维度的东西了。

网络攻击

我们用一个大图来展示这个页面。

还是从右上角去设置这个地方的内容。

一般打开就没有其他太多要设置的内容了。

勒索防御

我相信这个是大多数ERP用户的精准痛点，特别是涉及到企业数据资产安全。

我们来创建策略。

无论是点击策略开关还是创建策略，在默认无策略情况下，都会进入创建菜单。

去做个授权。

同意一下授权并验证MFA。

完成以后我们回来创建策略。

之后选择下一步。这里我用默认的，不新增，也不排除。

继续下一步 。

以上按需选择，然后保存即可。

之后策略开关就会开启，然后显示对应的防护情况了。

java内存马

其实就是看看有没有对应的安全隐患，首页是这样的。

不用管它，我们直接到第二个页签。

直接全选启用。

会弹出一个提示，只有关闭状态的才会启用，确认一下就可以了。

这里需要特别说明一下注入更多服务这个地方

一般非深度防御不勾选此内容。

白名单如下图：

这部分不做多余的解释，按需选择。

核心文件监控

字面意思了。看页面。

有一些默认的策略在执行。

一般不太懂这里的话，可以直接按默认，如果有一些特殊要求，如免杀，也可以考虑。

详见创建规则。

请参考上图内容说明进行规则的设定。

最多支持同时20条监控。

日志分析

没买这个部分的增值，就不展示分析了。

设置中心

授权管理

此处不赘述，见购买主机安全中的绑定授权部分。

告警设置

指的是各项细致的类目的行为进行告警通知。

站内信、短信、邮件等

涵盖，项目、状态、时间、范围几个维度。这里不赘述，根据需要设置开关和时间范围即可。

机器人通知

允许通过机器人接收，见下图。

请先在IM群（如企业微信群）中创建群机器人并获取其Webhook地址，然后在本页面添加机器人，后续安全告警将实时通知到对应IM群中，可点击查看 企微机器人创建指引。

各个IM平台有自己的告警发送频率限制，试试告警可能出现次数受限情况，达到发送频率上限后将不再进行告警，请知悉。

部分接收机器人需要对告警服务IP放行后方可进行告警通知，建议您检查并完成放行配置查看告警服务IP (最近更新：2024-08-01) 。

新建机器人，配置一下机器人的信息。

返回添加策略，选择对应的机器人即可。

保存以后，即可通过机器人接收告警。

云立体防护

指的是在云上建立三道防线来保护云上资产的安全。

腾讯云安全中心换新升级中，我们为你的云上业务带来全新的“3+1”防护体系，三道防线可以有效帮助业务建设纵深防护体系，能够发现并解决90%的云上安全问题，借助云安全中心与威胁情报等加固防线，可以充分联动各安全能力并更好提升整体防护效果。你可以点击右上角按钮一键开启免费试用，或购买套餐享受限时优惠

第一道防线，云防火墙

第二道防线，web应用防火墙

第三道防线，主机安全，容器安全

加固防线，ddos防护，云安全中心，威胁情报中心。

大致架构如下图：

也支持一站防漏洞。

一键防护后就进入流程。

主机安全容器版

没有这个，没买，给你们看个界面吧。

以上就是主机安全的控制台的全部内容了。

总结

简单总结一下这个产品吧。

之前不了解全貌，只是简单买了开关，觉得这个产品是真心比不上360和火绒之类的（免费）

包括之前出的御点也测评过，确实敏感性和防护度都差很多。

我算是看着这个产品一步步迭代的，早期一键补丁和修复都没有完全支持，包括修补漏洞和勒索防护这些都是没有的，如今从菜单看，已经完整的从服务器的角度，把安全的方方面面都考虑到了。

不但有机器本身的安全检测和加固，还有机器与外界交互的一些安全检测，事件中更是支持回溯，这相对于民间的家用杀毒有着天壤之别。

企业服务高可用，最本质的需求是维持业务的连续性和持续性，因此，避免因为攻击而导致服务端主机出现异常，就成了必须考虑的问题。对于企业安全来说，重要的不单单是设备侧的防御能力，更重要的是针对整个安全事件的来龙去脉的捕捉和分析，要的是不但知道危险在哪里，怎么处理，更要知道可能的危险在哪里，还有什么办法是可以加强和迭代的，面对未知的风险应该如何积极防御。

安全立体防护3+1板块把云上安全的紧密联系较为清晰的呈现，说清楚了业务安全的维度和防线问题，更说明了企业安全和个人PC安全的范围差异，这个点尤为重要。

希望将来产品团队可以考虑补充，主机安全视角下各种可能遇到的来源攻击和主机安全产品的动态防御手段。为用户侧修复提供更多的保障和参考。

如今的主机安全，不再是等保的附属和过关依赖品，是值得选用的服务端安全保障。