租户端 安全 主机安全(CWP) 租户端操作指南

基线管理

最近更新时间: 2024-06-12 15:06:00

本文档将介绍如何使用基线管理功能,帮助您管理服务器中的基线安全。

背景信息

云平台主机安全支持对基线检测项进行定期检测和一键检测,支持对指定主机上的指定基线项进行检测,支持通过检测策略了解基线通过率及风险情况,提供基线和检测项的风险等级和修复建议,提供腾讯云金融专区默认基线策略,有助于您更好的管理服务器中的基线安全。

主机安全版本

  • 基础版:首次使用时,支持对默认策略内的全量主机进行检测,只展示5条结果。不支持对基线策略的管理、对策略的一键检测及周期检测。

  • 专业版:支持基线策略的管理,支持用户自己新建或编辑策略,支持对基线策略的周期检测与一键检测功能。

操作指南

  1. 登录主机安全控制台,在左侧导航栏中,选择基线管理 > 安全基线,进入安全基线页面。

  2. 在安全基线页面提供基线策略的设置、周期性检测和指定策略的一键检测功能,支持查看基线策略的通过率和风险状况,以及基线检测结果列表,并可查看基线和检测项详情信息及修复方案,可对指定服务器检测项进行忽略。

基线策略

基线策略是基于用户自定义设置的基线检测项的集合,基于策略维度了解基线的通过率及风险情况。

  • 云平台默认基线策略:云平台主机安全根据网络安全主流的基线检测内容为您提供默认基线检测策略,包括:等保二级策略、等保三级策略、弱密码策略、CIS 基线策略、云平台最佳安全实践策略。您可以增加默认基线策略中的检测项和需要检测的服务器,该策略默认每隔7天,第7天晚上0点检测全量专业版服务器。

    说明:

    策略的通过率 = 已通过该策略下全部检测项的服务器数 / 该策略下全部检测的服务器数

  • 新增基线策略

  1. 在基线检测结果展示模块右上角,单击基线设置

  2. 在设置页面的基线策略设置页面,单击新增策略。

  3. 在新增基线策略页面,输入策略项名称(不允许与现存策略名称重复)、选择检测周期、基线选项及应用资产,单击保存并更新。

    说明:

    • 主机安全最多支持创建20个基线策略,达到20个后则不允许再创建,但您可以删除现有基线后,再次创建。
    • 云平台默认策略会存在“系统策略”标签内。

基线检测

云平台主机安全支持对基线检测项的定期检测一键检测,支持对指定云服务器上的指定基线项进行检测。

说明:

若非首次基线检测,需开通 主机安全专业版 才可进行基线检测。

  • 一键检测

    • 首次检测:当您首次使用基线检测功能时,我们为您免费提供一次全量基线策略和全服务器的检测服务,协助您发现基线安全风险,并展示其中5条基线风险。若您所需更多的基线安全功能,建议 升级专业版

      基线检测结果展示模块,单击试用检测

      a.在“检测提示”弹窗中:

      • 操作1:选择需要检测的基线策略,单击开始检测(检测一般持续2 - 5分钟),检测完成后,检测结果会以可视化图表的方式显示在漏洞管理页面。

      • 操作2:单击立即升级,跳转至主机安全升级界面,将云服务器升级为专业版。

    • 非首次检测:当您非首次使用基线检测时,选择需要检测的基线策略后,单击一键检测(检测一般持续2 - 10分钟)若您尚未存在专业版服务器,建议立即 升级专业版

  • 周期检测

  1. 基线检测结果展示模块右上角,单击基线设置。

  2. 在基线策略设置页签,可以进行周期检测设置并进行忽略检测项管理。

    • 周期检测设置:在“设置”弹窗中的“基线策略设置”标签内,您可以新建或编辑策略,设置检测周期,同时可以开启或关闭定期检测策略,支持对用户自定义策略的删除。

    • 忽略检测项管理:在“设置”弹窗中的“忽略检测项管理”标签内,查看已忽略的检测项及其详情,并可进行取消忽略操作。

基线数据可视化

当您选择基线策略并检测完成后,您可以在 安全基线 页面,查看本次检测服务器的数量、检测项数量、该基线策略的通过率、基线检测项 TOP5 及服务器风险 TOP5,并按照威胁等级来进行划分。

基线结构列表

安全基线 页面下方,可查看基线检测结果列表,支持查看基线详情,支持对单个基线进行模糊搜索和状态筛选,并支持对所有表格进行下载。

字段说明

  • 基线名称:基线包名称,包含若干相同类别的检测项。

  • 威胁等级:根据基线的危险程度,将其划分为严重、高危、中危和低危四个等级。

  • 基线检测项:该基线包下所有的检测项合计数量。

  • 影响服务器数:表示在该策略所选服务器和检测项下,被检测服务器未全部通过该基线包下的检测项数量,即该基线包影响服务器的数量。

  • 最后检测时间:取最近一次某台服务器检测出该基线包下的检测项的时间。

  • 处理状态:分为“已通过”、“未通过”、 “检测中”

  • 操作:支持查看基线详情并对未通过检测的基线重新检测。

    • 重新检测

      • 方式1:选择需要检测的基线,在列表左上角单击重新检测,将批量对基线进行重新检测。

      • 方式2:在目标基线右侧,单击重新检测,将重新对该基线进行检测。

    • 查看详情

      a.在基线检测结果列表中,找到目标基线,在右侧操作栏,单击查看详情,进入基线详情页。

      b.在基线详情页面,可查看该基线的描述信息和威胁等级,同时可查看影响服务器的列表。 服务器列表支持对单个服务器模糊搜索、支持状态筛选、支持批量对服务器进行“重新检测”、支持查看单个服务器详情,在目 标服务器右侧操作栏,单击详情,进入检测详情页。

      c.在检测详情页可查看基本信息,包括基线名称、服务器名称和检测项详情列表。

      • 列表支持对多个检测项“重新检测”和“忽略”,忽略后的检测项可进入 “忽略风险项管理” 页面进行查看。

      • 支持对检测项的威胁等级筛选和处理状态筛选。

      • 鼠标停留在检测项时,为您提供该检测项的详细描述和处理建议。