功能特性_态势感知 SA_产品介绍

安全评分

根据版本威胁检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况。

评估得分越低，即风险值越大，则整体资产安全隐患越大。

资产安全状况

集中呈现主机资产安全状况，以及按不同风险级别呈现资产分布情况，支持快速查看资产安全详情。

安全检测及防御能力

集中呈现当前版本支持的安全检测项和风险防御能力。

威胁告警实时监控

实时呈现当日的威胁告警事件，支持快速查看威胁告警详情。

威胁告警统计

集中呈现最近7天未被处理的威胁告警，以及按照不同告警事件类型呈现威胁分布情况。

攻击者排名

列表呈现攻击次数最多的攻击源，从高到低依次排名，支持快速查看攻击源信息。

风险预防

实时滚动通报热点安全漏洞公告。

实时呈现主机漏洞、网站漏洞和基线检查的风险数目，支持快速查看漏洞和基线风险详情。

网络安全

关联Anti-DDoS和AAD网络安全防护服务，集中呈现网络安全防护状态。

• 未购买AAD服务时，默认开启Anti-DDoS免费体验防网络攻击保护。
• 购买AAD服务后，呈现DDoS高防的网络安全防护状态。

主机安全

关联HSS云主机资产防护服务，集中呈现主机安全防护状态，需先购买HSS服务。

应用安全

关联WAF网络应用防火墙服务，集中呈现网络应用安全防护状态，需先购买WAF服务。

数据安全

关联DBSS数据库安全服务，集中呈现数据审计状态，需先购买DBSS审计服务。

综合态势感知

大屏集中展示云上综合安全态势，支持查看以下组件内容：

• 全网安全地图

  将攻击源和受威胁资产具象化，投射到全球区域地图，动态呈现全网受威胁资产区域和攻击来源地。

• 全网威胁度

  统计全网资产受威胁数目。

• 今日威胁雷达图

  呈现当日检测出的威胁事件数目。

• 威胁事件趋势

  呈现近7天的威胁事件数目的变化趋势。

• 受威胁资产数量趋势

  呈现近7天的受威胁资产数量的变化趋势。

• 威胁类型分布

  呈现不同威胁类型的分布状况。

• 受攻击资产区域分布

  呈现受威胁主机的区域分布状况。

• 威胁源主机TOP5

  呈现攻击次数前五的攻击源主机信息。

主机安全态势

大屏集中呈现华为云主机安全态势，支持查看以下组件内容：

• 风险主机地图

  将风险主机具象化，投射到各区域，动态呈现当日总主机风险数量、Windows系统主机风险数量、Linux系统主机风险数量。

• 主机安全事件统计

  呈现5类威胁事件发生次数，以及受威胁资产数量，主要包括暴力破解、异地登录、恶意程序、网站后门和文件变更。

• 资产统计

  呈现当前华为云Windows系统主机和Linux系统主机数量。

• 近7天暴力破解趋势

  呈现近7天暴力破解攻击次数的变化趋势。

• 近7天风险主机趋势

  呈现近7天风险主机被攻击次数的变化趋势。

• TOP5风险云主机

  呈现被攻击次数前五的风险主机信息。

• 暴力破解类型

  呈现5类暴力破解攻击主机的次数，以及不同类型暴力破解分布情况。

• 漏洞检测

  呈现当日检测出的Windows漏洞和Linux漏洞个数，以及所占比例。

• 基线检测

  呈现主机基线和云服务基线检测出的风险数。

主机资产

同步主机资产信息，列表统计主机整体安全状况的信息。

支持查看主机资产的防护状态、当前安全状况、风险值和被攻击次数等。

网站资产

通过添加目标网站，并一键扫描任务，检查网站安全状态和所有漏洞项目，列表呈现各网站资产的总体安全状况统计信息。

支持查看网站扫描结果详情，包括“扫描项总览”、“漏洞列表”和“站点结构”，并支持下载网站漏洞安全报告。

• 扫描项总览

  呈现当前网站漏洞扫描检查的所有项目和检测结果。呈现的检查项包括“恶意内容”、“潜在风险”和“网站安全漏洞”。

  • 恶意内容包括检测恶意外链、挖矿后门和网页木马。
  • 潜在风险包括检测网站请求头、https协议。
  • 网站安全漏洞包括检测跨站请求伪造、应急漏洞、信息泄露、注入攻击、跨站脚本攻击等。
• 漏洞列表

  扫描出的漏洞详细列表信息。

• 站点结构

  显示网站扫描监测出的漏洞，以及漏洞的具体站点位置。

告警列表

列表呈现威胁告警事件统计信息，支持查看告警事件和受威胁资产详情，并支持导出全部告警事件。

威胁分析

支持从“攻击源”或“被攻击资产”查询威胁攻击，统计威胁攻击次数或资产被攻击次数。

安全编排

着重呈现暴力破解、Web攻击、后门木马和僵尸主机四大类威胁事件，支持对各个威胁事件实施预置的安全编排策略。

告警监控

自定义监控的威胁名单、告警类型、告警级别等，选择性呈现关注的威胁告警。

通知告警

自定义威胁告警通知，支持设置每日定时告警通知和实时告警通知，通过接收消息通知及时了解威胁风险。

DDoS

“实时检测”华为云、非华为云及IDC的互联网主机的DDoS攻击。

共支持检测100+种子类型DDoS威胁。

• 网络层攻击

  NTP Flood攻击、CC攻击等。

• 传输层攻击

  SYN Flood攻击、ACK Flood攻击等。

• 会话层攻击

  SSL连接攻击等。

• 应用层攻击

  HTTP Get Flood攻击、HTTP Post Flood攻击等。

暴力破解

“实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。

共支持检测22种子类型的暴力破解威胁。

• 支持检测的暴力破解威胁

  包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。

• 接入的HSS服务上报的告警事件

  包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。

Web攻击

“实时检测”Web恶意扫描器、IP、网马等威胁。

共支持检测38种子类型的Web攻击威胁。

• 支持检测的Web攻击威胁

  包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。

• 接入的HSS服务上报的告警事件

  包括Webshell攻击、Linux网页篡改、Windows网页篡改。

• 接入的WAF服务上报的告警事件

  包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。

后门木马

“实时检测”资产系统是否存在后门木马风险，以及被后门木马程序入侵后的恶意请求行为。

共支持检测5种子类型的后门木马威胁。

• 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。
• 检测资产被植入木马特性

  检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。

僵尸主机

“实时检测”资产被入侵后对外发起攻击的威胁。

共支持检测7种子类型的僵尸主机威胁。

• 对外发起SSH暴力破解
• 对外发起RDP暴力破解
• 对外发起Web暴力破解
• 对外发起Mysql暴力破解
• 对外发起SQLServer暴力破解
• 对外发起DDoS攻击
• 被入侵后安装挖矿程序

异常行为

“实时检测”资产系统异常变更和操作行为。

• 接入的WAF服务上报的告警事件

  包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。

漏洞攻击

“实时检测”资产被尝试使用漏洞进行攻击。

共支持检测2种子类型的漏洞攻击威胁。

• SMBv1漏洞攻击
• WebCMS漏洞攻击

命令控制

“实时检测”资产可能被命令与控制服务器（C&C，Command and Control Server）远程控制，访问与恶意软件或建立与恶意软件之间的链接。

共支持检测3种子类型的命令控制威胁。

• 监控主机存在访问DGA域名行为
• 监控主机存在访问恶意C&C域名行为
• 监控主机存在恶意C&C通道行为

主机漏洞

通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。

• Linux软件漏洞扫描

  通过比对国际通用漏洞库，检测系统和官方软件（非绿色版、非自行编译安装版，例如：SSH、OpenSSL、Apache、Mysql等）存在的漏洞，识别Linux系统存在的漏洞风险。

• Windows软件漏洞扫描

  通过同步国际通用补丁源，识别并告警提醒Windows系统潜在漏洞风险。

• Web-CMS漏洞扫描

  通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。

网站漏洞

通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。

• Web常规漏洞扫描

  提供OWASP TOP10和WASC的漏洞检测能力，支持扫描30多种常见漏洞。包括XSS、SQL注入等。

• 网站弱密码扫描

  全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测；比对丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。

• 网站端口扫描

  扫描服务器端口的开放状态，检测出容易被黑客发现的端口。

• CVE网站漏洞扫描

  同步国际通用漏洞库，扫描网站安全状况。

• 网页内容合规检测

  对网站文字和图片规范性进行检测。

• 网站挂马检测

  检测网站是否被上传木马，避免网站运行时自动执行木马程序，而被黑客控制。

• 网站链接健康检测

  检测网站的链接地址健康性状态，避免网站出现死链、暗链、恶意链接。

应急漏洞公告

针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。

主机基线

通过授权主机，并一键扫描主机基线，呈现主机风险配置检测结果，并提供相应修复建议。

支持检测主机系统和关键软件含有风险的配置信息。

• 口令复杂度策略检测

  检测主机系统中的口令复杂度策略，并提供修改建议提升口令安全性。

• 配置检测

  检测常见的Tomcat配置、Nginx配置、SSH登录配置，识别不安全的配置项。

云服务基线

通过一键扫描或设置定期扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。

支持检测6类云服务基线配置，共涉及14个云服务，共包括26项子检查项目。

• 身份认证

  检测是否启用IAM用户、检测IAM用户是否启用AK/SK认证和多因素认证，以及检测是否启用秘钥对登录ECS。

• 访问控制

  检测安全组和网络ACL访问策略的风险配置，着重检测ECS、RDS、DDS、DCS、ELB等核心资源的风险访问控制配置，以及检测是否添加WAF回源IP白名单的安全防护配置。

• 日志审计

  检测CTS和OBS桶是否启用日志审计管理、日志存储安全配置。

• 数据安全

  检测OBS、RDS、DDS、DCS、EVS等核心资源的数据是否启用加密、备份和访问配置，以及检测SSL证书的有效性。

• 基础防护

  检测云资源是否启用Anti-DDoS防护配置，以及检测云主机是否启用HSS防护配置。

• 监控告警

  检测ELB监听证书的有效性，以及检测ELB是否启用健康检查配置。

检测结果

通过呈现多种结果类型，支持标记、导出检测结果，并支持自定义结果列表。

• 结果类型

  威胁告警、漏洞、风险、合规检查、违法违规、舆情、安全公告。

分析报告

安全分析报告支持以多种报告形式呈现报告内容，支持选择自动或手动触发发送报告，并支持管理报告列表和历史报告。

• 报告内容

  包括安全评分、资产风险、威胁告警、基线风险、资产漏洞，以及可自定义小结。

• 报告形式
  • 周期报告：按一定周期（按月或按周），自动生成并发送报告，包括周报和月报。
  • 单次报告：可自选时间范围编辑报告内容，生成一次性报告，可生成季度报、周报、日报等形式。
• 报告发送方式

  包括自动发送和手动触发发送。

安全产品集成

通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。

• 已接入的华为云产品/服务

  企业主机安全（HSS）、Web应用防火墙（WAF）、AntiDDoS流量清洗（AntiDDoS）、云堡垒机（CBH）、容器安全服务（CGS）、漏洞扫描服务（VSS）。

  企业主机安全（HSS）支持接入主机告警、主机基线、主机漏洞类型的检测数据。

• 支持接入数据源产品

  华为产品、第三方服务商产品、线下自有产品等。

• 支持威胁情报溯源

  安天威胁情报综合分析平台（TID）

日志管理

通过授权LTS管理日志，并可将日志转储至OBS桶，满足SA日志审计和容灾需求。