资产清点
主机发现通过设置检查规则,系统自动检查已安装探针主机。针对不同网络状况,提供多种探查方法,包括“ARP 缓存分析”、“Ping 扫描”、“Nmap 扫描”等,客户可灵活选择。
应用清点
自动化清点进程、端口、账号、中间件、数据库、大数据组件、Web 应用等十余类安全资产。根据每个服务器业务特点,系统有针对性识别应用。每个应用在风险发现与入侵检测中,均提供对应安全防护策略。
资产快速检索
对于每类业务资产,系统提供“主机视角”和“资产视角”两种通用维度,聚合展示数据。每个数据表格支持搜索与排序,并提供大量可选列,供客户灵活选择需展示的数据。同时,支持横跨多种资产联合搜索,系统已提供关键资产全系统关联。
资产面板
在获得资产信息后,结合业务情况形成“概览视图”与“分级视图”,展示企业整体资产状况。针对特定业务资产,提供“分析板”功能,多维度剖析单一资产,详细分析内部情况。
报表导出与 API 支持
所有数据均提供报表导出功能,可任意选择导出的数据列与数据行,形成自定义报表。所有资产均提供基础 API,可结合自身业务情况,获得清点的数据,进行二次开发。
风险分析
发现未安装的重要补丁持续更新的补丁库以及 Agent 探针式的主动扫描,能及时、精准发现系统需要升级更新的重要补丁,时间帮助用户发现潜在可被攻击的危险。
发现应用配置缺陷导致的安全问题
自动识别应用配置缺陷,通过比对攻击链路上的关键攻击路径,发现并处理配置中存在的问题,大大降低可被入侵的风险。
快速发现系统和应用的新型漏洞
基于 Agent 的持续监测与分析机制,能迅速与庞大的漏洞库进行比对,精准高效地检测出系统漏洞。拥有30000+的高价值漏洞库,包括系统 / 应用漏洞、EXP/POC 等大量漏洞,覆盖全网 90% 安全防护。
智能化的弱口令检测,支持多种应用
精准检测几十种应用弱密码,覆盖企业常用应用如 SSH、Tomcat、MySQL、Redis、OpenVPN 等。结合企业特征,智能识别更多组合弱口令,支持用户自定义口令字典以及组合弱口令字典,能有效预防被定向破译的风险。
发现服务器上的违规操作
Agent会实时监控用户的操作命令,并结合的攻击手段,持续检测并暴露这些可能存在威胁的安全隐患,及时通知给相关人员进行处理。
发现资产暴露性风险
监测暴露在外的资产风险 ,建立多维分析模型,结合资产重要程度及资产上所有风险进行关联分析,综合分析出最易受攻击的资产。
入侵检测
暴力破解监控通过实时监控登录行为,及时且自动化地发现使用不同服务器尝试暴力破解用户登录密码的攻击行为,并进行自动化封停处理,使得不能进行更多的尝试。
Web后门监控
通过自动化地监控关键路径,结合正则库、相似度匹配、沙箱等多种检测方法,实时感知文件变化,从而能够及时发现Web后门,并对后门影响部分进行清洗标注。
反弹Shell
对用户进程进行实时监控,结合行为的识别方法,及时发现进程的非法Shell连接操作产生的反弹Shell行为,有效感知“0Day”漏洞利用的行为痕迹,并提供反弹Shell的详细进程数。
本地提权监控
通过对用户进程行为实时监控,结合行为识别及私塾,我们能及时发现进程的提权操作并通知用户,并提供提权操作的详细信息。
系统后门监控
通过对进程关联信息的分析,结合模式识别和行为检测,提供了不依赖Bash的自动化系统后门检测方式,能够实现在多系统中进行多维度、高准度、快速度的后门发现。
微蜜罐
H3C的微蜜罐可以简易灵活的配置,让主机对各端口进行,从而扩大监控范围。通过这样消耗小而覆盖面广的蜜罐配置,发现端攻击行为的概率就会大大提升。
病毒查杀
多引擎检测能力采⽤“云端+客户端”双重检测机制,实时地监控⽤户各类进程的运⾏状态,在客户端检测和云端分布式检测引擎的加持下,⼀旦判定为恶意后端,⽴即进⾏上报,并⽀持隔离、删除、修复验证等处理⽅式。
覆盖全面的检测规则
拥有10w+的检测规则,涵盖以下多种恶意后端。
合规基线
支持等保/CIS等多重标准、覆盖各类系统/应用基线安全研究人员持续研究国家等级保护政策、CIS基线标准,不断推进更多基线标准的支持。产品目前支持Centos、Debian、RedHat、SUSE、Windows Server 2008、Windows Server 2012等常用操作系统、同时覆盖apache mongoDB mysql等10余种数据库类、Web服务类应用。
结合资产清点,自动识别服务器需检查的基线
在资产细粒度清点的基础上,根据所选服务器的操作系统、软件应用等信息,自动筛选出该服务器上需要检查的系统、应用基线。同时支持一键批量创建基线任务,操作简单易用。
一键任务化检测,基线检查结果可视化呈现
合规基线功能设计了灵活可配置的任务式的扫描机制。用户可快捷创建基线扫描任务,根据检测需要,自行选择需要扫描的主机和基线,检测完成后,基线检查结果将分为检查项视图和主机视图可视化呈现,满足企业个性化的检测需求。
开放企业自定义基线检查项能力
企业可根据实际的使用场景,自行定义基线的检查项,如定义检查阈值、自定义检查目录、自定义检查结果展现模板、自定义检查项整改方案等等,以满足企业多样化的内部监管要求。
安全日志
操作审计日志详细的主机Bash操作日志,满足主机操作行为回溯需求,提供操作者IP,操作终端,操作用户,操作详情等关键信息。
账号&登录日志
提供登录成功、失败、登出等所有登陆日志记录;同时监控账号与账号组变化,包括增加,删除,修改,密码与权限变化等。
软件功能规格
H3C SecPath SSMS 软件规格表:| 系统架构 | 采用自适应安全架构,采集C/S模式,管理B/S模式;支持分散安装。 | |
| 支持至少5种Linux 64位国际发行版,支持国产64位Linux操作系统,支持Windows NT6.0以上内核64位操作系统, | ||
| 支持快速安装,支持分组安装;Windows支持交互式安装和静默式安装;支持代理模式 | ||
| Agent管理 | 支持在线、离线、停用、删除Agent数据统计 | |
| Agent CPU利用率小于3%,内存使用率小于80MB | ||
| 资产清点 | 可视化 | 支持分级视图、概览视图;支持视角切换 |
| 支持对单个主机整理详细数据,包括但不限于主机信息、硬件配置、系统账号、开放端口、运行进程、软件应用等 | ||
| 主机资产 | 支持对操作系统、主机类型、硬件配置、Agent安装等信息进行清点 | |
| 支持按照普通、重要、核心资产等级进行查询、筛选 | ||
| 进程端口 | 支持进程、端口清点,识别僵尸进程、等待进程 | |
| 支持根据进程名识别常见应用和服务 | ||
| 系统账号 | 支持系统账号的发现、用户组、启用账号、禁用账号、登录信息等 | |
| 支持根据登录时间、账号状态、账号名等进行查询、筛选 | ||
| 软件应用 | 支持140多种应用识别,支持应用名进行查询 | |
| 支持自定义应用识别 | ||
| Web清点 | 支持Linux下的Apache、Nginx、Tomcat、WebLogic、JBoss、WildFly、Jetty应用服务,且显示详细路径 | |
| 支持识别300多种Web app应用,支持Web站点检测,自动识别域名 | ||
| 支持自动识别Web框架开发语言,包括但不限于PHP、JavaScript、Python、Java、.net | ||
| 数据库清点 | 支持MySQL、Redis、MongoDB、MemCache、PostgreSQL、Hbase等数据库的检测,包括但不限于版本、端口、配置文件路径、运行用户等 | |
| 支持数据库名查询、筛选,显示数据库详情。 | ||
| 风险发现 | 可视化 | 支持风险图形化展示,包含风险概况、风险分布、风险趋势、应用风险项统计、易受攻击列表、危急风险项、业务组风险项统计等 |
| 安全补丁 | 按风险项统计展示风险分析的过程和内容 | |
| 支持清点主机中需要安装的安全补丁,根据补丁信息列出:补丁名称、危险程度、风险特征、影响主机数。 | ||
| 支持补丁的详细信息包括:补丁描述、验证信息、修复方法、基本信息、风险信息、参考信息 | ||
| 支持补丁修复条件和影响如:是否需要重启操作系统、影响的应用范围等。 | ||
| 漏洞检测 | 支持统计展示每台服务器中通过POC验证检测到的软件漏洞 | |
| 弱口令检查 | 应可以精准分析系统及软件漏洞,包括漏洞发现、影响范围、修复建议等,支持对漏洞进行多维度的筛选;支持检测漏洞修复对系统影响情况诊断。 | |
| 检测内容包括但不限于:弱密码账户、账号状态、密码值、弱密码类型、未修改密码天数。 | ||
| 支持mysql、ssh、pptp、VNC、OpenVPN、rsync、Redis、vsftpd等应用弱口令检测 | ||
| 支持自定义弱口令字典库,支持自动组合账号和口令字典, | ||
| 对外访问性 | 支持展示Redis、Telnet、Rsync、Mysql等应用的对外服务,并提示服务应用存在的风险。 | |
| 应用风险 | 支持应用风险检查,包括但不限于vcftp、redis、apache、apache2、mysql、ssh、ntp、rsync、nginx、mongoDB等应用,检查结果包括:风险描述、验证信息、修复建议等 | |
| 系统风险 | 支持检测系统存在的风险,例如Grub密码设置、路由转发、Ssh协议版本检测、特定文件权限检查等 | |
| 账号风险 | 支持检测账号设置相关风险,例如UID重复、GID重复、存在数字账号、Shadow文件权限有问题等 | |
| Web风险文件 | 支持检测Web风险文件,包括但不限于:后门文件、临时文件、压缩文件、phpinfo文件、备份文件、数据文件、配置文件、日志文件、脚本文件、office文档、可导致源码泄漏文件、系统文件等。 | |
| 安全基线 | 支持远程检测范围内虚拟机的系统及应用安全基线,并提供结果导出; 支持国际CIS检测模版及国内等级保护检测模版; | |
| 安全基线应至少覆盖CentOS6/7、RedHat6/7、Ubuntu12/14/16、Windows2008/2012; | ||
| 应用安全基线应至少覆盖Apache/Mysql/MongoDB/Nginx; | ||
| 提供国际CIS的Level 1和Level 2检测模版及国内等级保护检测模版,支持检测模版定制化; | ||
| 入侵检测 | 反弹shell检测 | 支持实时发现行为中反弹shell的入侵情况并及时告警通知。 |
| 操作命令审计 | 支持实时记录每台服务器命令,可以自定义审计规则,支持实时报警与事后回溯分析。 | |
| 提权检测 | 支持系统关键位置的权限诊断,详细列出系统存在的提权行为的问题。 | |
| 系统登录 | 支持实时监控系统登录情况,应支持黑、白名单机制监控系统登录,拦截暴力破解;支持自动将暴力破解IP加入黑名单。 | |
| 蜜罐系统 | 支持蜜罐功能,快速建立系统内部蜜罐系统,诱导并检测内网入侵攻击。 | |
| 后门检测 | 支持进行多层次rootkit、bootkit检测;支持已知特征检测、应用替换检测、后门目录文件检测、后门进程检测。 | |
| Webshell检测 | 支持特征、文件相似度、沙箱多层次检测;应支持实时检测。 | |
| 细粒度检测项 | 支持每一个漏洞、每一个主机风险单独下发检测项快速检测。 | |
能够应对“大数据量、高并发”的业务环境,利用云计算和大数据技术的结合,该平台可支持上万台云节点的计算能力(计算能力的大小取决于硬件设备的性能)。并且支持集群部署,虚拟化部署、独立硬件部署等多种部署方式,供客户合理选择适。
