资产指纹调查

云安全中心提供资产指纹调查功能,支持采集服务器资产的11种资产指纹数据。本文介绍如何使用资产指纹调查功能采集及查看服务器的资产指纹数据。

背景信息

首次使用资产指纹调查功能时,建议您通过设置资产指纹的采集频率,自动采集您所有资产的指纹数据。资产指纹调查的内容,请参见资产指纹调查的内容

版本限制

企业版旗舰版支持该功能,其他版本用户需要升级到企业版旗舰版才可使用该功能。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

采集方式

云安全中心不会自动采集资产指纹数据,您需要设置自动周期性采集或手动立即采集来获取最新的资产指纹数据。

采集方式

描述

周期性自动采集

云安全中心支持自动采集所有资产的资产指纹数据。您可按需求配置自动采集资产指纹的频率。具体操作,请参见设置周期性自动采集资产指纹

采集所有资产最新指纹数据

如果您想立即查看所有资产的资产指纹数据,您可使用采集最新数据功能一键采集所有资产的最新资产指纹数据。具体操作,请参见手动采集所有资产最新指纹数据

采集单个资产最新指纹数据

如果您想立即查看单个资产的资产指纹数据,您可使用立即采集数据功能一键采集该资产的最新资产指纹数据。具体操作,请参见手动采集单个资产最新指纹数据

采集资产指纹

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择资产中心 > 主机资产

  3. (可选)在主机资产页面,单击IDC探针发现页签,将服务器加入IDC探针发现检测的白名单。

    如果您使用IDC探针功能创建了探针,您可以在IDC探针发现页签下查看探针扫描出的其他IDC服务器信息。关于IDC探针功能的更多信息,请参见管理IDC探针

    如无需探针检测指定服务器,您可以参考以下步骤将该服务器加入白名单。

    1. IDC探针发现页签下的扫描结果列表中,单击需要加入白名单的服务器扫描结果的操作列的加白名单

      服务器加入白名单后,系统将不会再扫描并记录该服务器的信息。

    2. IDC探针发现页签下,单击扫描结果列表右上方的白名单,可以查看已加入白名单的扫描结果列表。

  4. 主机资产页面,选择以下方式,采集资产指纹数据。

设置周期性自动采集

  1. 账户页签下,单击配置管理

  2. 配置管理对话框,设置各个资产指纹的采集频率,然后单击确定

    说明
    • 云安全中心不会自动触发采集任务获取对应资产指纹的最新数据。所有资产指纹的刷新频率均默认为关闭。不同的资产指纹可以设置不同的刷新频率。

    • 中间件数据库以及Web服务资产指纹的采集频率,统一以配置项中间件的采集频率为准。

      如果您正在使用资产暴露分析功能,中间件的数据采集频率需要设置为每1小时采集一次每3小时采集一次每12小时采集一次每天采集一次,不能设置为关闭每7天采集一次更多信息,请参见资产暴露分析

完成采集频率设置后,云安全中心会按照设定的采集频率自动触发资产指纹采集任务,并将资产指纹数据更新至各资产指纹页签,您可以在各资产指纹页签下查看最新指纹数据。更多信息,请参见查看资产的资产指纹数据

手动采集所有资产最新指纹数据

  1. 账户页签下,单击采集最新数据

  2. 采集最新数据对话框中,选中需要采集的资产指纹数据,然后单击确定

    说明

    大约需要1~5分钟可以完成数据采集,请您耐心等待。

手动采集单个资产最新指纹数据

  1. 服务器页签下的服务器列表中,单击需要采集资产指纹的服务器操作列的查看

  2. 在该资产详情页面,单击资产指纹调查页签,然后单击要采集的资产指纹的对应页签。

    重要

    仅购买了企业版旗舰版服务的云安全中心的控制台显示资产指纹调查页签。

    image

  3. 单击右上方的立即采集数据,在采集任务下发成功对话框中,单击确定

说明

大约需要1~5分钟可以完成数据采集,请您耐心等待。

查看资产的资产指纹数据

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择资产中心 > 主机资产

  3. 主机资产页面,查看资产指纹数据。

    • 查看所有资产的资产指纹

      主机资产页面,单击要查看的资产指纹页签,查看对应的资产指纹数据。

      查看资产指纹数据

      • 图示①:资产指纹列表,主要包括所有资产指纹及其应用的服务器数量。

      • 图示②:资产指纹的详情列表,在左侧资产指纹列表中单击目标指纹(如单击某个端口号),页面右侧的资产指纹列表中会展示目标指纹对应的指纹详情。

      • 图示③:资产指纹搜索功能组件,您可在搜索框中输入相应信息,搜索目标指纹信息,支持模糊搜索。

    • 查看单个资产的资产指纹

      1. 服务器页签下的服务器列表中,单击需要查看资产指纹的服务器操作列的查看

      2. 在该资产详情页面,单击资产指纹调查页签,然后单击要查看的资产指纹页签,查看资产指纹数据。

        重要

        仅购买了企业版旗舰版服务的云安全中心的控制台显示资产指纹调查页签。

资产指纹调查的内容

资产指纹类型

描述

账户

服务器的账户。定期采集服务器的账户信息,具体包括以下内容:

  • 服务器信息:账户所属的服务器。

  • 账号:账号的名称。

  • ROOT权限:账户是否有root权限。

  • 用户组:账户所属的用户组的信息。

  • 到期时间:账户密码的到期时间。

  • 密码是否过期:账户密码是否已过期。

  • 密码是否锁定:账户密码是否已锁定。

  • 用户是否过期:账户状态是否已过期。

  • 是否sudo账号:账户是否拥有sudo权限。

  • 是否交互登录账号:账户是否具备login权限。

  • 上次登录:当前账户上一次登录服务器的时间。

  • 最新扫描时间:云安全中心最近一次采集服务器信息的时间。

端口

监听端口。定期采集服务器的对外端口监听信息,具体包括以下内容:

  • 服务器信息:端口所在的服务器信息,包括服务器名称和IP地址。

  • 端口:监听端口号。

  • 网络协议:监听端口使用的网络协议。

  • PID:监听端口对应服务器的运行进程的标识符。

  • 对应进程:监听端口对应服务器的运行进程。

  • IP:监听端口绑定的网卡的IP。

  • 最新扫描时间:云安全中心最近一次采集监听端口信息的时间。

进程

运行进程信息。定期采集服务器的进程信息,具体包括以下内容:

  • 服务器信息:进程所在的服务器信息,包括服务器名称和IP地址。

  • 进程名:进程的名称。

  • 进程路径:进程的启动路径。

  • 启动参数:进程的启动参数。

  • 启动时间:进程的启动时间。

  • 运行用户:进程的启动用户。

  • 运行权限:进程启动用户的权限。

  • PID:进程的ID。

  • 父进程PID:进程启动的父进程的ID。

  • 文件MD5:进程文件的MD5值。

  • 是否安装包进程:是否使用安装包内的进程。

  • 进程状态:进程的当前状态。

  • 最新扫描时间:云安全中心最近一次采集服务器信息的时间。

中间件

定期采集服务器的中间件信息。中间件是指可独立运行的系统组件,例如MySQL(数据库)、Docker(容器组件)等。具体采集以下内容:

  • 服务器信息:中间件所在的服务器信息,包括服务器名称和IP地址。

  • 中间件:中间件的名称。

  • 类型:中间件的所属类型。

  • 运行时环境版本:中间件运行时的环境的版本。

  • 版本:原中间件的版本号。

  • PID:中间件的启动进程的ID。

  • 启动路径:中间件的启动路径。

  • 版本验证信息:中间件版本的获取方式。

  • 父进程PID:中间件启动的父进程的ID。

  • 运行用户:中间件的启动用户。

  • 监听IP:中间件启动监听的IP地址。

  • 监听端口:中间件启动监听的端口。

  • 监听状态:中间件当前的监听状态。

  • 监听端口协议:中间件当前监听端口的网络协议。

  • 启动时间:中间件的启动时间。

  • 进程命令行:中间件启动执行命令的参数。

  • 容器名称:中间件所在的容器的名称。

  • 镜像名称:中间件所在的镜像的名称。

  • 配置路径:中间件启动配置所在的绝对路径。

  • 最新扫描时间:云安全中心最近一次采集服务器信息的时间。

数据库

数据库信息。定期采集服务器上的数据库的信息,具体包括以下内容:

  • 服务器信息:数据库所在的服务器信息,包括服务器名称和IP地址。

  • 数据库名:数据库的名称。

  • 类型:数据库的类型。

  • 版本:数据库的版本号。

  • PID:数据库的启动进程的ID。

  • 启动路径:数据库的启动路径。

  • 版本验证信息:获取数据库版本的方式。

  • 父进程PID:数据库启动的父进程的ID。

  • 运行用户:数据库的启动用户。

  • 监听IP:数据库启动监听的IP地址。

  • 监听端口:数据库启动监听的端口。

  • 监听状态:数据库当前的监听状态。

  • 监听端口协议:数据库当前监听端口的网络协议。

  • 启动时间:数据库的启动时间。

  • 启动命令行:数据库启动执行命令的参数。

  • 容器名称:数据库所在的容器的名称。

  • 镜像名称:数据库所在的镜像的名称。

  • 配置路径:数据库启动配置所在的绝对路径。

  • 最新扫描时间:云安全中心最近一次采集服务器信息的时间。

Web服务

Web服务信息。定期采集服务器上的Web服务的信息,具体包括以下内容:

  • 服务器信息:所在的服务器信息,包括服务器名称和IP地址。

  • Web服务名:Web服务名称。

  • 类型:Web服务的类型。

  • 运行时环境版本:Web服务运行时JDK环境的版本。

  • 版本:Web服务的版本号。

  • PID:Web服务启动进程的ID。

  • 启动路径:Web服务的启动路径。

  • 版本验证信息:版本的获取方式。

  • 父进程PID:Web服务启动的父进程的ID。

  • 运行用户:Web服务的启动用户。

  • 监听IP:Web服务启动监听IP的地址。

  • 监听端口:Web服务启动监听的端口。

  • 监听状态:Web服务当前的监听状态。

  • 监听端口协议:Web服务当前监听端口的网络协议。

  • 启动时间:Web服务的启动时间。

  • 启动命令行:Web服务启动执行命令的参数。

  • 容器名称:Web服务所在的容器的名称。

  • 镜像名称:Web服务所在的镜像的名称。

  • 配置路径:Web服务启动配置所在的绝对路径。

  • Web目录:Web配置网页的路径。

  • 最新扫描时间:云安全中心最近一次采集服务器信息的时间。

软件

软件资产。定期采集服务器的软件信息,具体包括以下内容:

  • 服务器信息:软件所在的服务器,包括服务器名称和IP地址。

  • 软件名称:软件的名称。

  • 版本:软件的版本号。

  • 软件启动路径:软件启动的路径。

  • 软件更新时间:软件版本的更新时间。

  • 最新扫描时间:云安全中心最近一次采集软件信息的时间。

计划任务

定期采集您服务器上周期性执行的任务路径信息。具体采集任务的以下信息:

  • 服务器信息:计划任务所在的服务器信息,包括服务器名称和IP地址。

  • 执行命令:计划任务执行的命令行。

  • 任务周期:计划任务的定时周期。

  • MD5:计划任务进程的HASH。

  • 账户名称:启动任务的账号。

  • 最新扫描时间:云安全中心最近一次采集服务器信息的时间。

启动项

启动项信息。定期采集服务器的启动项信息,具体包括以下内容:

  • 服务器信息:启动项所在的服务器信息,包括服务器名称和IP地址。

  • 启动项路径:启动服务所在的路径。

  • 最新扫描时间:云安全中心最近一次采集服务器信息的时间。

内核模块

内核模块信息。定期采集服务器的内核模块信息,具体包括以下内容:

  • 服务器信息:内核模块所在的服务器信息,包括服务器名称和IP地址。

  • 模块名称:内核模块的名称。

  • 模块大小:内核模块文件的大小。

  • 模块文件路径:内核模块所在的路径。

  • 被模块依赖数目:其他依赖模块的数量。

  • 最新扫描时间:云安全中心最近一次采集服务器信息的时间。

Web站点

Web站点信息。定期采集服务器的Web站点信息,具体包括以下内容:

  • 服务器信息:Web站点所在的服务器信息,包括服务器名称和IP地址。

  • 域名:Web站点配置的域名。

  • 站点类型:Web服务使用软件的类型。

  • 端口:Web服务的监听端口。

  • Web路径:WebHome目录的路径。

  • Web根路径:Web配置中根目录的路径。

  • 用户:Web服务的启动用户。

  • 目录权限:Web目录的权限。

  • 监听协议:Web启动的监听协议。

  • PID:进程的ID。

  • 启动时间:Web服务的启动时间。

  • 镜像名称:Web站点所在的镜像的名称。

  • 容器名称:Web站点所在的容器的名称。

  • 最新扫描时间:云安全中心最近一次采集服务器信息的时间。

IDC探针发现

IDC探针扫描到的服务器结果信息,具体包括以下内容:

  • 启动时间:扫描到该服务器的时间。

  • IP/端口/网段:扫描到的服务器的IP地址、端口和所在网段。

  • IDC机房:扫描到的服务器所在的IDC机房名称。

  • 客户端:扫描到的服务器的云安全中心客户端状态。

  • 资产判断:扫描到的服务器的操作系统类型。

  • 探针:探针所在服务器的名称、公网IP和私网IP。