详细解答可以参考官方帮助文档

功能及版本参数

下表是服务器安全(安骑士)的功能列表和版本参数。

功能说明

安全预防

• 漏洞管理：

  • Linux软件漏洞：通过检测服务器上安装软件的版本信息，与CVE官方的漏洞库进行匹配，检测出存在漏洞的软件并给您推送漏洞信息（可检测如：SSH、OpenSSL、Mysql等软件漏洞）
  • Windows漏洞：通过订阅微软官方更新源，若发现您服务器存在高危的官方漏洞未修复，将为您推送微软官方补丁（如“SMB远程执行漏洞”，另外系统将只推送高危漏洞，安全更新和低危漏洞需要您手动更新）
  • CMS漏洞：共享阿里云安全情报源，通过目录及文件的检测方案，检出Web-CMS软件漏洞，并给您提供云盾自研补丁（可修复如：Wordpress、Discuz等软件漏洞）
  • 配置型、组件型的漏洞：无法通过版本匹配和文件判断的漏洞（如：redis未授权访问漏洞等）

• 基线检查：

  • 账户安全检测：检测服务器上是否存在黑客入侵后，留下的账户，对影子账户、隐藏账户、克隆账户，同时对密码策略合规、系统及应用弱口令进行检测
  • 系统配置检测：系统组策略、登录基线策略、注册表配置风险检测
  • 数据库风险检测：支持对Redis数据库高危配置进行检测
  • 合规对标检测：CIS-Linux Centos7系统基线合规检测

入侵检测

• 异常登录：
  • 异地登录：系统记录所有登录记录，对于非常用登录的行为进行实时提醒，可自由配置常用登录地
  • 非白名单IP登录提醒：配置白名单IP后，对非白名单IP的事件进行告警
  • 非法时间登录提醒：配置合法登录时间后，对非合法时间登录事件进行告警
  • 非法账号登录提醒：配置合法登录账号后，对非合法账号登录事件进行告警
  • 暴力破解登录拦截：对非法破解密码的行为进行识别，并上报到阿里云处罚中心进行拦截，避免被黑客多次猜解密码而入侵
• 网站后门（Webshell）查杀：
  • 自研网站后门查杀引擎，拥有本地查杀加云查杀体系，同时兼有定时查杀和实时防护扫描策略，支持常见的php、jsp等后门文件类型
• 主机异常
(含云查杀)：
  • 进程异常行为：反弹Shell、JAVA进程执行CMD命令、bash异常文件下载等
  • 异常网络连接：C&C肉鸡检测、恶意病毒源连接下载等
  • 恶意进程（云查杀）：常见DDoS木马、挖矿木马及病毒程序检测，支持云端一键隔离（自研沙箱+国内外主流杀毒引擎）
  • 敏感文件篡改：系统及应用的关键文件被黑客篡改
  • 异常账号：黑客入侵后创建隐藏账号、公钥账号等

资产指纹

• 主机管理：
  • 分组和标签：支持四级资产分组和子分组、支持资产标签管理
• 端口、账号、进程、软件：
  • 端口监听：对端口监听信息收集和呈现，对变动进行记录，便于清点端口开放
  • 账号管理：收集账户及对应权限信息，可清点特权账户，发现提权行为
  • 进程管理：进程快照信息收集及呈现，便于自主清点合法进程发现异常进程
  • 软件管理：清点软件安装信息，同时在高危漏洞爆发可快速定位受影响资产（待上线）

日志检索

• 进程相关：
  • 进程启动：进程一旦启动，则记录下该启动事件的详细信息
  • 进程快照：某一时刻的进程全量日志抓取并存储
• 网络连接：
  • 主动外联：对外网络连接的五元组相关信息实时采集
• 其他日志：
  • 系统登录：SSH、RDP的系统登录流水日志
  • 端口监听快照：某一时刻的所有对外监听端口的快照数据
  • 账号快照：某一时刻的所有账号信息的快照数据

历史版本功能（不再提供，即将下线）

• 主机访问控制：

  • TCP、UDP、HTTP：支持这三种协议的自定义访问控制
  • 协同防御：共享云盾恶意IP库，直接将恶意IP进行拦截
  • Web攻击拦截策略自定义：支持URL、Referer、User-Agent等HTTP常见字段的条件组合，自定策略可支持盗链防护等场景；
  • 记录4层和7层的策略的命中情况，支持近1个月的记录查看和数据导出。

• 安全运维：

  • 支持Shell命令（Linux）、BAT命令（Windows），非交互式命令
  • 批量下发：支持在服务器安全(安骑士)控制台一键下发脚本命令，支持运行账户切换、权限切换
  • 结果在线和导出查看：对运行结果支持在线查看和导出结果查看