主机列表是主机安全服务的核心组成部分,提供了全面的、可视化的主机统一管控界面,帮助安全管理员更高效地响应主机安全风险。本文档将为您介绍如何接入和管理主机。
限制说明
可接入主机安全的主机范围:
|
腾讯云主机 | 云服务器 CVM、轻量应用服务器 Lighthouse、边缘计算机器 ECM、黑石物理服务器1.0 | 支持架构:x86、arm 可接入方式:VPC 网络、基础网络 | 支持架构:x86 可接入方式:VPC 网络、基础网络 |
非腾讯云主机
| 阿里云服务器、华为云服务器、Microsoft 服务器、DigitalOcean 服务器、Amazon 服务器、OracleCloud 服务器....其他云服务器、本地 IDC服
务器 | 支持架构:x86、arm 可接入方式:公网直连、公网代理、专线接入 | 支持架构:x86 可接入方式:公网直连、专线接入 |
多云账号主机资产同步范围:当前仅支持通过 AccessKey 同步阿里云账号下的 ECS 机器数据,不限操作系统。(仅同步机器数据,主机安全客户端仍需手动安装)
通过非腾讯云主机的安装方式接入的主机,更换 IP 后,主机安全会检查设备码和 Iplist,若二者均无变化,则不视为新机器,反之会产生一条新的主机数据。
腾讯云主机被销毁、非腾讯云主机被清理后,原风险数据将被清除。
防护状态说明
风险主机:主机存在安全风险。
旗舰版主机:主机已安装主机安全客户端,并绑定了旗舰版授权,处于旗舰版防护中。
专业版主机:主机已安装主机安全客户端,并绑定了专业版授权,处于专业版防护中。
基础版主机:主机仅安装主机安全客户端。
未安装客户端(无防护):主机属于腾讯云主机,但未安装主机安全客户端。
已离线:
腾讯云主机:主机的主机安全客户端处于离线状态。
非腾讯云主机:主机的主机安全客户端处于离线状态或该主机已关机。
注意:
因非腾讯云主机关机不可知,故归为客户端已离线。
已关机:主机属于腾讯云主机且处于关机状态。
主机配置
2. 在主机列表页面,可进行安装主机安全客户端、同步资产、关联标签、多云账号管理、升级版本、资产清理等配置操作。
安装主机安全客户端:主机安全客户端是腾讯云官方安全插件,是接入主机安全防护的重要前提,您可单击安装主机安全客户端,选择合适的安装方式进行安装并验证是否安装成功。
同步资产:单击同步资产,可更新主机列表最新状态。
关联标签:主机安全兼容腾讯云标签、主机安全标签两套标签,单击标签列中的图标,可针对该主机关联标签。 腾讯云标签(key:value):仅可关联腾讯云主机。
主机安全标签(value):可关联腾讯云主机、非腾讯云主机。
多云账号管理:通过同步多云账号下的主机资产可以达到简化管理、整合监控、提高风险的可见性和响应效率。
升级版本:免费的基础版防护能力较弱,您可单击升级版本或前往批量授权跳转至 授权管理 页面,您可购买高版本的防护授权并绑定基础版主机便可升级防护。 资产清理:腾讯云主机销毁后将会自动被清理,但主机安全无法知晓非腾讯云主机的销毁状态,您可针对非腾讯云主机设置清理规则,当非腾讯云主机的客户端离线一定时长则自动清理。
主机列表
在主机列表页面,您可查看每台主机的风险状态、防护状态及风险情况。
字段说明:
主机名称/实例 ID:主机的名称和实例 ID。
IP 地址:主机的公网 IP 和内网 IP 地址。
IPlist:网卡 IP 列表。
操作系统:主机的操作系统。
地域/所属网络:主机所属地理位置及网络。
风险状态:
未知:主机未安装客户端、主机仅安装客户端但未发现风险(基础版防护较弱,可能存在潜在风险)。
风险:主机已检出风险。
入侵检测:统计主机存在文件查杀、异常登录、密码破解、恶意请求、高危命令、本地提权、反弹 Shell 的风险数。
漏洞风险:统计主机存在 Linux 软件漏洞、Windows 系统漏洞、Web-CMS 漏洞、应用漏洞的风险数。
基线风险:统计主机未通过基线检测项数。
网络风险:统计主机被监测到的网络攻击数。
标签:主机已关联的标签信息。
agent 状态:
未防护:主机属于腾讯云主机,但未安装主机安全客户端。
防护中:主机已安装主机安全客户端(处于基础版及以上版本)。
已离线:腾讯云或非腾讯云主机的客户端已离线,或非腾讯云主机已关机。
已关机:腾讯云主机已关机。
防护版本:基础版、专业版、旗舰版、-(代表无防护)。
操作:
安装客户端:针对无防护主机提供安装指引入口。
重新安装:针对客户端已离线、已关机的主机提供安装指引入口。
卸载:针对防护中的主机提供快捷卸载入口。
授权管理:针对付费防护版本的主机提供授权管理入口,单击可跳转至 授权管理 页面,可进行授权换绑、解绑等操作。 备注:针对无防护的主机提供备注操作,可备注不防护该主机的原因,便于后续管理(若后续安装了客户端,则备注不可见)。
说明:
未防护主机、已离线主机满足以下4个条件,单击安装客户端或重新安装时可一键快速安装。
1. 主机为腾讯云服务器 CVM、轻量应用服务器 Lighthouse。
2. 主机处于开机状态。
3. 主机所属网络为 VPC 网络。
4. 主机已安装 tat 自动化小助手。
单击入侵检测、漏洞风险、基线风险、网络风险的数值可跳转查看风险详情。
单击事件调查,支持可视化查看攻击事件。
操作说明:
针对当前主机,选择一条告警数据,即可在画面中部展示该主机进程运行过程,并高亮展示触发告警的节点。
单击告警节点,可查看该节点相关的告警,支持查看告警详情、对待处理的告警进行处理。
若存在合并节点,可对合并节点进行查看。
本页内容是否解决了您的问题?