本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
无代理检测功能采用Agentless技术,为您提供无需安装客户端,即可扫描云服务器ECS安全风险的能力。该功能支持对关机、空闲、高负载下的云服务器ECS提供从漏洞、基线配置、恶意样本等多方位且无入侵的安全检测,对服务器性能影响为零。本文介绍如何使用无代理检测功能。
应用场景
在不安装云安全中心客户端的情况下,对云服务器ECS的系统盘和数据盘进行全面的安全检测。
扫描服务器中的AI工具和AI服务信息。
扫描完成后,您可以在云安全中心控制台页面AI组件页签,查看无代理检测功能扫描出的AI工具和AI服务列表。
计费说明
使用限制
项目 | 限制说明 |
支持检测的资产类型 | 支持阿里云云服务器ECS、云盘快照、镜像。 |
支持的地域 |
|
支持的操作系统 |
|
加密检测 | 不支持检测已加密的系统盘或数据盘。 |
云盘限制 |
|
文件系统 |
|
检测任务 |
|
修复说明 | 仅支持检测漏洞、基线、恶意文件和敏感文件风险,不支持修复风险,您需要根据风险详情页的说明,自行处理风险项。 |
检测结果保留时间 |
|
前提条件
如需使用快照进行检测,需开通快照。具体操作,请参见开通快照。
操作步骤
以下内容将指导您完成开通服务、创建检测任务、查看检测任务进度及检测结果等操作,请参考以下步骤,以便您使用无代理检测服务。
步骤1:开通按量付费并完成授权
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在无代理检测页面,单击立即开通。
在确认对话框中,选中我已阅读并同意云安全中心(按量付费)用户协议,并单击立即开通。
如果未授权创建过服务关联角色AliyunServiceRoleForSas,您需要单击立即授权,根据页面提示完成授权操作。
授权成功后,云安全中心自动创建服务关联角色AliyunServiceRoleForSas。关于AliyunServiceRoleForSas的更多信息,请参见云安全中心服务关联角色。
步骤2:创建检测任务
创建检测任务主要分为立即检测任务、周期性检测任务及自动创建的快照和镜像说明三部分。无代理检测功能通过为服务器创建快照或镜像,然后再扫描快照或镜像中的数据,排查当前服务器是否存在漏洞、告警、基线、敏感文件等安全风险。
创建立即检测任务
创建主机安全检测任务后,云安全中心会自动创建快照或镜像,并在快照或镜像创建完成后执行扫描。需要扫描的服务器数据量越多,完成扫描任务所需的时间越长,建议您耐心等待。
主机安全检测
在页签的风险检测区域,单击立即检测。
在主机安全检测-立即检测面板,配置以下选项:
选择扫描对象,扫描范围并设置快照/镜像保存时间,取值范围为1~365,单位:天。
选择您需要检测的主机,单击确定。
说明建议您在设置扫描范围时选中数据盘,数据源越完整,漏洞、告警等检测效果越好。
创建快照或镜像会收取相关费用,快照或镜像保存天数越多收费越高。您可以根据需要选中仅保留存在风险的快照/镜像。选中该模式后,如果检测结果无风险,该快照或镜像会被立即释放,仅保留存在风险的镜像或快照,为您节省存储的费用。
在检测任务创建成功的对话框中,单击确定,您可在任务列表中查看检测进度。
说明无代理检测开启镜像扫描后,云安全中心会使用RAM角色aliyunserviceroleforsas自动去创建一个镜像。
该镜像会共享至云安全中心所属的阿里云账号下,镜像名称一般为:SAS_Agentless 开头的。
您可在操作审计控制台的事件查询中看到一条aliyunserviceroleforsas创建镜像的记录。
快照安全检测
在页签的风险检测区域,单击立即检测。
在快照安全检测-立即检测面板,选中需要检测的快照,单击确定。
自定义镜像安全检测
在页签的风险检测区域,单击立即检测。
在自定义镜像安全检测-立即检测面板,选中需要检测的镜像,单击确定。
说明若在检测任务面板中未找到所需检测的镜像,请前往页面,单击同步最新资产,待同步完成后,重新操作该步骤。
创建周期性检测任务
在无代理检测页面右上角,单击扫描配置。
在扫描配置面板,设置安全检测范围和自动化检测策略。
在安全检测范围页签,配置基线检测范围、漏洞检查范围和敏感文件检测范围。
在自动化检测策略页签,配置检测策略:
单击检测策略下主机检测,配置扫描对象、扫描周期、扫描资产、扫描范围和快照/镜像保存时间,您可以根据需要选中或取消选中仅保留存在风险的快照/镜像。
说明无代理检测开启镜像扫描后,云安全中心会使用RAM角色aliyunserviceroleforsas自动去创建一个镜像。
该镜像会共享至云安全中心所属的阿里云账号下,镜像名称一般为:SAS_Agentless 开头的。
您可在操作审计控制台的事件查询中看到一条aliyunserviceroleforsas创建镜像的记录。
单击检测策略下快照检测或自定义镜像安全检测,开启增量检测,开启开关后,将对未检测过的快照或自定义镜像进行增量自动化检测。
说明增量检测需开启操作审计数据投递。请在功能设置页面,单击设置页签下的其他配置,开启操作审计数据投递,开启后操作审计的日志会投递到云安全中心的logstore中。更多信息,请参见功能设置。
单击保存。
自动创建的快照和镜像说明
每次执行主机安全检测任务时,会为服务器自动创建快照或镜像。快照或镜像名称以SAS_Agentless_开始;创建快照或镜像后,会自动将该快照或镜像共享给云安全中心服务账号(ID为182*********0517或160*********0463),以便云安全中心对您的服务器数据进行安全检测。
共享过程不会产生费用。云安全中心仅使用共享的快照或镜像做安全扫描。当快照或镜像被删除或自动释放时,会先取消共享关系。
步骤3:查看检测任务进度
在查看检测结果前,您需要先查看检测任务的进度,确保检测目标服务器的检测任务已经完成。
主机安全检测
在无代理检测页面,单击任务管理。
在任务管理面板主机安全检测页签,查看任务的执行进度和状态。
单击目标任务操作列的详情,查看任务执行的详细信息,可通过任务详情页的信息确认目标服务器是否包含在该任务中,以及服务器的检测状态。
快照安全检测
在无代理检测页面,单击任务管理。
在任务管理面板快照安全检测页签,查看任务的执行进度和状态。
单击目标任务操作列的详情,查看任务执行的详细信息,可通过任务详情页的信息确认目标服务器是否包含在该任务中,以及服务器的检测状态。
自定义镜像安全检测
在无代理检测页面,单击任务管理。
在任务管理面板自定义镜像安全检测页签,查看任务的执行进度和状态。
单击目标任务操作列的详情,查看任务执行的详细信息,可通过任务详情页的信息确认目标服务器是否包含在该任务中,以及服务器的检测状态。
如果任务执行失败,以主机安全检测为例,您可以在任务详情页面查看失败原因(如下图所示),并参考下文处理该问题。
失败提示 | 解决方案 |
不支持当前区域 | 无。支持检测的ECS所在地域,请参见使用限制。仅调用API接口创建的检测任务可能会出现该提示信息。 |
连接磁盘失败 | 单击操作列的重试,重新尝试连接。 |
创建镜像失败 | 建议检查当前镜像数量是否超过镜像配额,如果超过了,可以删除部分历史镜像或提升镜像的配额,具体操作,请参见ECS配额管理。 |
任务处理超时 | 无。建议您重新创建检测任务。 |
步骤4:查看并处理检测结果
无代理检测页面展示所有已检测云服务器ECS的安全风险。如果同一云服务器ECS被多次检测,最近一次的检测结果会覆盖之前的检测结果。
查看风险详情
在无代理检测页面的相应页签中,选择漏洞风险、基线检查、恶意样本或敏感文件页签,单击目标风险项操作列的查看或详情。
处理风险告警
您可参考以下步骤,在相应的页签中查看和处理相关风险告警。
漏洞风险
在漏洞风险页签,选择相应页签列表,定位到需要处理的漏洞项,在操作列单击加白名单。将漏洞项加白名单后,云安全中心不会再对该风险项进行告警。
说明漏洞风险仅支持通过加白名单的方式进行处理,不支持其他操作。
在操作列设置加白名单后,系统将自动同步至页签,可在相应的页签查看已添加的白名单。
基线检查
选择基线检查页签,在检查项列表中定位至需要处理的检查项,在操作列单击加白名单。一旦将目标检查项加白后,新增服务器将不再检测此检查项。
说明基线检查项仅支持通过加白名单的方式进行处理,不支持其他操作。
在操作列设置加白名单后,系统将自动同步至页签,可在相应的页签查看已添加的白名单。
恶意样本
在恶意样本页签,在告警列表中定位到需要处理的告警项后,在操作列中单击修改状态或处理,在对话框中选择告警的处理方式,单击确定。具体处理方式,如下所示:
说明支持对相同告警进行批量处理,不同类型的告警所支持的处理方式各不相同,请以控制台页面的显示为准。
在操作列设置加白名单后,系统将自动同步至页签,可在相应的页签查看已添加的白名单。
处理方式
说明
加白名单
如果告警确认无恶意行为,您可以根据白名单规则及规则应用范围,将该告警添加至白名单。
警告一旦对告警进行加白处理,当相同告警再次发生时,该告警将自动进入已处理列表,不再进行告警通知。请谨慎操作。
手动处理
您已处理了导致该告警事件的风险问题后,再将该告警标记为手动处理。
标记误报
如果确认该告警为误报,您可以将其标记为误报,云安全中心将依据您的反馈建议,持续优化其扫描能力。
忽略
选择忽略后,仅将告警的处理状态设为已忽略,当再次检测并命中检测策略时,会再次推送告警。
未处理
告警暂未处理。
敏感文件
在敏感文件页签,在敏感文件告警列表中定位到需要处理的告警项后,在操作列中单击详情,查看详细描述和加固建议。
在详情面板风险列表的操作列,单击处理,在对话框中选择告警的处理方式,单击确定。具体处理方式,如下所示:
处理方式
说明
加白名单
如果告警确认无恶意行为,您可以设置白名单规则,将该告警添加至白名单。
执行该操作后,系统将自动同步至页签,可在相应的页签查看已添加的白名单。
MD5,通配符仅支持选择等于,然后输入文件的MD5值。
路径,通配符支持选择包含、前缀、后缀,然后输入具体路径。
警告一旦对告警进行加白处理,当相同告警再次发生时,该告警将自动进入已处理列表,不再进行告警通知。请谨慎操作。
手动处理
您已处理了导致该告警事件的风险问题后,再将该告警标记为手动处理。
标记误报
如果确认该告警为误报,您可以将其标记为误报,云安全中心将依据您的反馈建议,持续优化其扫描能力。
忽略
选择忽略后,仅将告警的处理状态设为已忽略,当再次检测并命中检测策略时,会再次推送该告警。
下载检测结果(可选)
支持下载检测任务或服务器的检测结果报告。
在无代理检测页面,单击任务管理。
如需下载检测任务结果,在任务管理面板,在主机安全检测、快照安全检测或自定义镜像安全检测页签,选择您所需要的任务类型。
单击目标任务操作列的下载报告。
如需下载单台云服务器ECS的检测任务结果,在任务管理面板,在主机安全检测、快照安全检测或自定义镜像安全检测页签中,选择您所需要的任务类型,单击目标任务操作列的详情或查看。
在任务详情面板,单击操作列的下载报告。
步骤5:设置扫描白名单(可选)
漏洞白名单
如果您判定某些漏洞合法或者风险较低,您可以通过设置漏洞白名单将此类漏洞加入检测的白名单。如果下次扫描时,云安全中心检测到加入白名单的漏洞在规则生效资产范围内出现,不会再展示相应漏洞。
针对漏洞加白名单
在无代理检测页面中主机安全检测页签的漏洞风险页签,单击目标漏洞操作列的加白名单,在加白名单对话框,输入备注信息,并单击确定。
执行该操作后,云安全中心会自动在面板创建对应的白名单规则。
新增白名单规则
在无代理检测页面,单击扫描配置。在扫描配置面板的漏洞白名单页签,单击新增规则。在新增漏洞白名单规则面板,设置漏洞类型、漏洞名称和备注信息,并单击保存。
漏洞白名单仅支持对全部资产加白名单。
恶意样本白名单
如果您确认恶意样本中检测出的文件为误报,您可以通过设置告警白名单将该文件加入检测的白名单。如果云安全中心检测到加入白名单的文件在规则生效资产范围内出现,不会提供告警。
针对告警加白名单
在无代理检测页面中主机安全检测页签的恶意样本页签,单击目标告警操作列的处理,选择处理方式为加白名单,同时支持批量处理相同告警,完成操作后,单击确定。
新增白名单规则
在无代理检测页面,单击扫描配置。在扫描配置面板中白名单管理页签的恶意样本页签,单击新增规则,参考以下说明完成配置,并单击保存。
配置项
描述
告警名称
默认为ALL,表示白名单规则对所有类型的告警生效,不支持修改。
加白字段
默认为fileMd5,表示对文件的MD5值进行加白,不支持修改。
通配符
仅支持选择相等。
规则内容
输入文件的MD5值。
恶意样本支持对全部资产加白名单,同时提供多种处理方式,包括取消加白、线下处理、忽略及标记误报等。
基线白名单
如果您判定某些基线风险项存在的风险较低,您可以通过设置基线白名单将此类检查项加入检测的白名单。如果下次扫描时,云安全中心检测到加入白名单的基线在规则生效资产范围内出现,不会再展示相应基线风险项。加入白名单后,如果未执行检测则该基线风险仍存在于风险列表中。
针对基线风险项加白名单
在无代理检测页面中主机安全检测页签的基线检查页签,单击目标风险项操作列的加白名单,在加白名单对话框,输入备注信息,并单击确定。
执行该操作后,云安全中心会自动在面板创建对应的白名单规则。
新增白名单规则
在无代理检测页面,单击扫描配置。在扫描配置面板的基线白名单页签,单击新增规则。在新建基线白名单规则面板,设置检查项类型、检查项和备注信息,并单击保存。
基线白名单支持对全部资产加白名单。
敏感文件白名单
您可以通过设置敏感文件白名单将该文件加入检测的白名单。当云安全中心检测到已加入白名单的文件在规则生效的资产范围内出现时,将不会发出告警。
针对敏感文件风险项加白名单
在无代理检测页面中主机安全检测页签的敏感文件页签,单击风险列表操作列的详情,在风险处理列表目标项的操作列单击处理,选择处理方式为加白名单,完成操作后,单击确定。
执行该操作后,云安全中心会自动在面板创建对应的白名单规则。
新增白名单规则
在无代理检测页面,单击扫描配置。在扫描配置面板的敏感文件白名单页签,单击新增规则。设置敏感文件检查项、设置加白条件及备注,单击确定。
敏感文件支持对全部资产加白名单,同时提供多种处理方式,包括加白名单、我已手工处理、忽略及标记误报等。
步骤6:删除快照或镜像(可选)
针对执行扫描时,自动创建的快照或镜像,名称以SAS_Agentless_开始,确保不再使用后请及时删除,避免产生不必要的费用。具体操作,请参见删除快照、删除自定义镜像。
支持的检测项说明
漏洞风险
支持检测Linux软件漏洞、Windows系统漏洞和应用漏洞。
基线检查项
基线分类 | 基线检查项名称 |
国际通用安全最佳实践 |
|
等保合规 |
|
最佳安全实践 |
|
恶意样本
恶意样本分类 | 说明 | 支持的检测项 |
恶意脚本 | 检测资产的系统功能是否受到恶意脚本的攻击或篡改,将可能的恶意脚本攻击行为展示在检测结果中。 恶意脚本分为有文件脚本和无文件脚本。攻击者在拿到服务器权限后,使用脚本作为载体来达到进一步攻击利用的目的。利用方式包括植入挖矿程序、添加系统后门、添加系统账户等操作。 | 支持检测的语言包括Shell、Python、Perl、PowerShell、Vbscript、BAT等。 |
WebShell | 检查资产中的Web脚本文件是否是恶意的,是否存在后门通信、管理功能。攻击者植入WebShell后,可以控制服务器,作为后门载体来达到进一步攻击利用的目的。 | 支持检测的语言包括PHP、JSP、ASP、ASPX等。 |
恶意软件 | 检查资产中的二进制类型文件是否是恶意的,是否存在对资产造成破坏、持久化控制的能力。攻击者植入恶意二进制文件后,可以控制服务器,用于挖矿、DDoS攻击,或者加密资产文件等。恶意二进制按功能主要包括挖矿程序、木马程序、后门程序、黑客工具、勒索病毒、蠕虫病毒等。 | 被污染的基础软件 |
可疑程序 | ||
间谍软件 | ||
木马程序 | ||
感染型病毒 | ||
蠕虫病毒 | ||
漏洞利用程序 | ||
自变异木马 | ||
黑客工具 | ||
DDoS木马 | ||
反弹Shell后门 | ||
恶意程序 | ||
Rootkit | ||
下载器木马 | ||
扫描器 | ||
风险软件 | ||
代理工具 | ||
勒索病毒 | ||
后门程序 | ||
挖矿程序 |
敏感文件
支持检测常见敏感文件,包括但不限于:
包含敏感信息的应用配置
通用的证书密钥
应用认证或登录凭证
云服务器厂商的相关凭证
常见问题
无代理检测和病毒查杀功能有什么区别?
无代理检测和病毒查杀是云安全中心提供的两种不同的安全能力,具体区别如下:
项目 | 无代理检测 | 病毒查杀 |
检查范围 | 更全面,支持检测漏洞、基线、恶意样本和敏感文件。 | 病毒扫描,支持一键查杀病毒并隔离病毒文件。 |
检查方式 | 通过将服务器已创建的快照或镜像数据共享给云安全中心服务账号,云安全中心再对共享数据进行扫描,实现静态风险检测。 | 在服务器运行时,检测系统中存在的顽固病毒。 |
开通方法 | 需开通无代理检测按量计费。 | 需购买云安全中心防病毒版及以上版本,并为服务器安装云安全中心客户端。 |
无代理检测部分告警为何不显示资产IP?
在使用无代理方式检测时,通常告警信息会记录对应的资产IP。然而,在某些情况下,资产IP可能会显示为空。这通常发生在资产实例已经释放的场景。以下是该情况的具体说明:
实例已释放
当告警对应的资产实例被释放后,云安全中心将无法获取该实例的IP信息,因为该实例已经不再存在于系统中,因此无法继续追踪或显示其IP地址。
数据清理机制
云安全中心可能会清理已经释放的实例的记录,导致相关信息无法加载。