文档

无代理检测

更新时间:

无代理检测功能采用Agentless技术,为您提供无需安装客户端,即可扫描云服务器ECS安全风险的能力。该功能支持对关机、空闲、高负载下的云服务器ECS提供从漏洞、基线配置、安全告警多方位且无入侵的安全检测,对服务器性能影响为零。本文介绍如何使用无代理检测功能。

应用场景

在不安装云安全中心客户端的情况下,对云服务器ECS的系统盘和数据盘进行全面的安全检测。

计费说明

  • 无代理检测采用按量计费模式,按照已扫描的数据量计费,系统会根据您每天实际扫描的数据量,在次日生成账单。更多信息,请参见计费概述

  • 创建检测任务会为服务器创建对应快照或镜像,快照和镜像会按照使用容量和使用时长收取相应的费用,此费用由云服务器ECS收取。更多信息,请参见快照计费镜像计费

防护限制

项目

限制说明

支持检测的服务器

仅支持阿里云云服务器ECS。

支持的地域

华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华南1(深圳)、华北3(张家口)、中国香港、新加坡、美国(弗吉尼亚)

支持的操作系统

仅FreeBSD不支持。

加密检测

不支持检测已加密的系统盘或数据盘。

云盘限制

  • 单个系统盘或数据盘支持检测的最大容量为1 TiB,容量超出1 TiB的云盘不支持检测。

  • 单个系统盘或数据盘检测文件数量上限为20,000,000个,超出部分不会被检测。

文件系统

  • 压缩文件仅支持检测JAR文件,只解压一层进行检测。

  • 支持检测的文件系统包括ext2、ext3、ext4、XFS、NTFS,其中NTFS不支持依赖文件权限信息的检测项。

  • 不支持检测使用了LVM(逻辑卷管理)、RAID(磁盘阵列)和ReFS(复原文件系统)的数据盘。

检测任务

  • 每台服务器最多支持检测15个云盘(包括系统盘和数据盘)。如果ECS中挂载的云盘超过15个,多出部分不支持检测。

  • 在同一时刻,每个阿里云账号最多支持运行一个检测任务。

修复说明

仅支持检测漏洞、基线、恶意文件和敏感文件风险,不支持修复风险,您需要根据风险详情页的说明,自行处理风险项。

检测结果保留时间

  • 如果同一云服务器ECS被多次检测,最近一次的检测结果会覆盖之前的检测结果。

  • 服务器的检查结果最多保存30天,距最近一次检测日期超过30天的风险数据会被清除。

前提条件

如需使用快照进行检测,需开通快照。具体操作,请参见开通快照

步骤一:开通按量付费并完成授权

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择防护配置 > 主机防护 > 无代理检测

  3. 无代理检测页面,单击立即开通

  4. 在确认对话框中,选中我已阅读并同意云安全中心(按量付费)用户协议,并单击立即开通

  5. 如果未授权创建过服务关联角色AliyunServiceRoleForSas,您需要单击立即授权,根据页面提示完成授权操作。

    授权成功后,云安全中心自动创建服务关联角色AliyunServiceRoleForSas。关于AliyunServiceRoleForSas的更多信息,请参见云安全中心服务关联角色

步骤二:创建检测任务

检测任务通过为服务器创建快照或镜像,然后再扫描快照或镜像中的数据,排查当前服务器是否存在漏洞、告警、基线、敏感文件等问题。

创建立即检测任务

  1. 无代理检测页面,单击创建检测任务

  2. 创建检测任务面板,选中要检测的主机,并单击下一步

  3. 选择扫描范围并设置快照/镜像保存时间,单击下一步

    建议您在设置扫描范围时选中数据盘,数据源越完整,漏洞、告警等检测效果越好。

    创建快照或镜像会收取相关费用,快照或镜像保存天数越多收费越高。您可以根据需要选中仅保留存在风险的快照/镜像。选中该模式后,如果检测结果无风险,该快照或镜像会被立即释放,仅保留存在风险的镜像或快照,为您节省存储的费用。

  4. 单击前往任务列表,查看检测任务的进度。

    创建任务后,云安全中心会自动创建快照或镜像,并在快照或镜像创建完成后执行扫描。需要扫描的服务器数据量越多,完成扫描任务所需的时间越长,建议您耐心等待。

创建周期性检测任务

  1. 无代理检测页面,单击扫描配置

  2. 扫描配置面板,设置扫描对象、扫描周期、扫描资产、扫描范围、基线检测范围、漏洞检查范围和镜像保存时间,您可以根据需要选中或取消选中仅保留存在风险的快照/镜像

  3. 单击保存

自动创建的快照和镜像说明

每次执行检测任务时,会为服务器自动创建快照或镜像。快照或镜像名称以SAS_Agentless_开始;创建快照或镜像后,会自动将该快照或镜像共享给云安全中心服务账号(ID为182*********0517),以便云安全中心对您的服务器数据进行安全检测。

共享过程不会产生费用,云安全中心仅使用共享的快照或镜像做安全扫描。当快照或镜像被删除或自动释放时,会先取消共享关系。

image

步骤三:查看检测任务进度

在查看检测结果前,您需要先查看检测任务的进度,确保检测目标服务器的检测任务已经完成。

  1. 无代理检测页面,单击任务管理

  2. 任务管理面板,查看任务的执行状态。

  3. 单击目标任务操作列的详情,查看任务执行的详细信息,可通过任务详情页的信息确认目标服务器是否包含在该任务中,以及服务器的检测状态。

    如果任务执行失败,您可以在任务详情页面查看失败原因(如下图所示),并参考下文处理该问题。

    image.png

    失败提示

    解决方案

    不支持当前区域

    无。支持检测的ECS所在地域,请参见防护限制。仅调用API接口创建的检测任务可能会出现该提示信息。

    连接磁盘失败

    单击操作列的重试,重新尝试连接。

    创建镜像失败

    建议检查当前镜像数量是否超过镜像配额,如果超过了,可以删除部分历史镜像或提升镜像的配额,具体操作,请参见查看和提升资源配额

步骤四:查看检测结果

无代理检测页面展示所有已检测云服务器ECS的安全风险。如果同一云服务器ECS被多次检测,最近一次的检测结果会覆盖之前的检测结果。

查看风险详情

  1. 无代理检测页面漏洞风险基线检查安全告警敏感文件页签下,单击目标风险项操作列的查看

  2. 建议您根据风险详情页的说明及时处理对应风险项。

下载检测结果

支持下载检测任务或服务器的检测结果报告。

  1. 无代理检测页面,单击任务管理

  2. 如需下载检测任务结果,在任务管理面板,单击目标任务操作列的下载报告

  3. 如需下载单台云服务器ECS的检测任务结果,在任务管理面板,单击目标任务操作列的详情;然后在任务详情面板,单击操作列的下载报告

(可选)步骤五:白名单设置

设置漏洞白名单

如果您判定某些漏洞合法或者风险较低,您可以通过设置漏洞白名单将此类漏洞加入检测的白名单。如果下次扫描时,云安全中心检测到加入白名单的漏洞在规则生效资产范围内出现,不会再展示相应漏洞。加入白名单后,如果未执行检测则该漏洞仍存在于漏洞列表中。

  • 针对漏洞加白名单

    无代理检测页面的漏洞风险页签,单击目标漏洞操作列的加白名单,在加白名单对话框,输入备注信息,并单击确定

    执行该操作后,云安全中心会自动在扫描配置 > 漏洞白名单面板创建对应的白名单规则。

  • 新增白名单规则

    无代理检测页面,单击扫描配置。在扫描配置面板的漏洞白名单页签单击新增规则。在新增漏洞白名单规则面板,设置漏洞类型、漏洞名称、规则应用范围和备注信息,并单击确定

说明

针对漏洞加白名单方式仅支持对全部资产加白名单,新增白名单规则方式支持对全部资产或部分资产加白名单规则。如果您需要对部分资产加白指定的漏洞,您只能使用新增白名单规则方式。

设置基线白名单

如果您判定某些基线风险项存在的风险较低,您可以通过设置基线白名单将此类检查项加入检测的白名单。如果下次扫描时,云安全中心检测到加入白名单的基线在规则生效资产范围内出现,不会再展示相应基线风险项。加入白名单后,如果未执行检测则该基线风险仍存在于风险列表中。

  • 针对基线风险项加白名单

    无代理检测页面的基线页签,单击目标风险项操作列的加白名单,在加白名单对话框,输入备注信息,并单击确定

    执行该操作后,云安全中心会自动在扫描配置 > 基线白名单面板创建对应的白名单规则。

  • 新增白名单规则

    无代理检测页面,单击扫描配置。在扫描配置面板的基线白名单页签单击新增规则。在新建基线白名单规则面板,设置检查项类型、检查项、规则应用范围和备注信息,并单击确定

说明

针对基线风险项加白名单方式仅支持对全部资产加白名单,新增白名单规则方式支持对全部资产或部分资产加白名单。如果您需要对部分资产加白指定的基线,您只能使用新增白名单规则方式。

设置告警白名单

如果您确认安全告警中检测出的文件为误报,您可以通过设置告警白名单将该文件加入检测的白名单。如果云安全中心检测到加入白名单的文件在规则生效资产范围内出现,不会提供告警。

  • 针对告警加白名单

    无代理检测页面的安全告警页签,单击目标告警操作列的加白名单,在加白名单对话框,输入备注信息,并单击确定

  • 新增白名单规则

    无代理检测页面,单击扫描配置。在扫描配置面板的告警白名单页签单击新增规则,参考以下说明完成配置,并单击确定

    配置项

    描述

    告警名称

    默认为ALL,表示白名单规则对所有类型的告警生效,不支持修改。

    加白字段

    默认为fileMd5,表示对文件的MD5值进行加白,不支持修改。

    通配符

    仅支持选择相等

    规则内容

    输入文件的MD5值。

    规则应用范围

    选择规则生效的主机范围。

说明

针对告警加白名单方式仅支持对全部资产加白名单,新增白名单规则方式支持对全部资产或部分资产加白名单规则。如果您需要对部分资产加白指定的文件,您只能使用新增白名单规则方式。

支持的检测项说明

漏洞风险

支持检测Linux软件漏洞、Windows系统漏洞和应用漏洞。

基线检查项

基线分类

基线检查项名称

国际通用安全最佳实践

  • 国际通用安全最佳实践-CentOS Linux 6安全基线检查

  • 国际通用安全最佳实践-CentOS Linux 7安全基线检查

  • 国际通用安全最佳实践-Ubuntu 16/18/20 安全基线检查

  • 国际通用安全最佳实践-Ubuntu 14安全基线检查

  • 国际通用安全最佳实践-Debian Linux 8安全基线检查

  • 国际通用安全最佳实践-Windows Server 2008 R2安全基线检查

  • 国际通用安全最佳实践-Windows Server 2012 R2安全基线检查

  • 国际通用安全最佳实践-Windows Server 2016/2019 R2安全基线检查

  • 国际通用安全最佳实践-Alibaba Cloud Linux 2/3安全基线检查

  • 国际通用安全最佳实践-CentOS Linux 8安全基线检查

  • 国际通用安全最佳实践-Windows Server 2022 R2安全基线检查

  • 国际通用安全最佳实践-Ubuntu 22安全基线检查

  • 国际通用安全最佳实践-Rocky 8安全基线检查

等保合规

  • 等保三级-SUSE 15合规基线

  • 等保三级-Windows 2008 R2合规基线

  • 等保三级-CentOS Linux 7合规基线

  • 等保三级-CentOS Linux 6合规基线

  • 等保三级-Windows 2012 R2合规基线

  • 等保三级-Ubuntu 16/18/20合规基线

  • 等保三级-Debian Linux 8/9/10合规基线

  • 等保三级-Windows 2016/2019 合规基线

  • 等保三级-Alibaba Cloud Linux 2合规基线

  • 等保三级-Redhat Linux 7合规基线

  • 等保三级-Ubuntu 14合规基线

  • 等保三级-SUSE 12合规基线

  • 等保三级-SUSE 11合规基线

  • 等保三级-SUSE 10合规基线

  • 等保三级-Redhat Linux 6合规基线

  • 等保三级-CentOS Linux 8合规基线

  • 等保三级-Alibaba Cloud Linux 3合规基线

  • 等保三级-Anolis 8合规基线

  • 等保三级-Ubuntu 22合规基线

  • 等保二级-Windows 2008 R2合规基线

  • 等保二级-CentOS Linux 7合规基线

  • 等保二级-CentOS Linux 6合规基线

  • 等保二级-Windows 2012 R2合规基线

  • 等保二级-Ubuntu16/18合规基线

  • 等保二级-Debian Linux 8合规基线

  • 等保二级-Windows 2016/2019 合规基线

  • 等保二级-Alibaba Cloud Linux 2合规基线

  • 等保二级-Redhat Linux 7合规基线

  • 等保二级-Ubuntu 14合规基线

  • 等保三级-Uos合规基线

  • 等保三级-麒麟合规基线

最佳安全实践

  • 阿里云标准-CentOS Linux 6安全基线检查

  • 阿里云标准-CentOS Linux 7/8安全基线检查

  • 阿里云标准-Windows 2008 R2安全基线检查

  • 阿里云标准-Windows 2012 R2安全基线检查

  • 阿里云标准-Ubuntu安全基线检查

  • 阿里云标准-Debian Linux 8/9/10/11安全基线检查

  • 阿里云标准-Windows 2016/2019 安全基线检查

  • 阿里云标准-Alibaba Cloud Linux 2/3安全基线

  • 阿里云标准-Redhat Linux 7/8安全基线检查

  • 阿里云标准-Redhat Linux 6安全基线检查

  • 阿里云标准-Windows 2022 安全基线检查

  • 阿里云标准-SUSE Linux 15安全基线检查

  • 阿里云标准-Uos安全基线检查

  • 阿里云标准-麒麟安全基线检查

  • 阿里云标准-Anolis 7/8安全基线检查

  • 阿里云标准-Alma Linux 8安全基线检查

  • 阿里云标准-Rocky Linux 8安全基线检查

安全告警

安全告警分类

说明

支持的检测项

恶意脚本

检测资产的系统功能是否受到恶意脚本的攻击或篡改,将可能的恶意脚本攻击行为展示在检测结果中。

恶意脚本分为有文件脚本和无文件脚本。攻击者在拿到服务器权限后,使用脚本作为载体来达到进一步攻击利用的目的。利用方式包括植入挖矿程序、添加系统后门、添加系统账户等操作。

支持检测的语言包括Shell、Python、Perl、PowerShell、Vbscript、BAT等。

WebShell

检查资产中的Web脚本文件是否是恶意的,是否存在后门通信、管理功能。攻击者植入WebShell后,可以控制服务器,作为后门载体来达到进一步攻击利用的目的。

支持检测的语言包括PHP、JSP、ASP、ASPX等。

恶意软件

检查资产中的二进制类型文件是否是恶意的,是否存在对资产造成破坏、持久化控制的能力。攻击者植入恶意二进制文件后,可以控制服务器,用于挖矿、DDoS攻击,或者加密资产文件等。恶意二进制按功能主要包括挖矿程序、木马程序、后门程序、黑客工具、勒索病毒、蠕虫病毒等。

被污染的基础软件

可疑程序

间谍软件

木马程序

感染型病毒

蠕虫病毒

漏洞利用程序

自变异木马

黑客工具

DDoS木马

反弹Shell后门

恶意程序

Rootkit

下载器木马

扫描器

风险软件

代理工具

勒索病毒

后门程序

挖矿程序

常见问题

无代理检测和病毒查杀功能有什么区别?

无代理检测和病毒查杀云安全中心提供的两种不同的安全能力,具体区别如下:

项目

无代理检测

病毒查杀

检查范围

更全面,支持检测漏洞、基线、安全告警和敏感文件,不支持处理。

病毒扫描,支持一键查杀病毒并隔离病毒文件。

检查方式

通过将服务器已创建的快照或镜像数据共享给云安全中心服务账号,云安全中心再对共享数据进行扫描,实现静态风险检测。

在服务器运行时,检测系统中存在的顽固病毒。

开通方法

需开通无代理检测按量计费。

需购买云安全中心防病毒版及以上版本,并为服务器安装云安全中心客户端。

相关文档

  • 本页导读 (1)