阿里雲安騎士是什麼?有什麼作用?對阿里云云盾產品有一定了解的運維都知道,阿里雲安騎士是一款服務器安全運維的管理產品。主要作用可以實時感知雲服務器ECS防禦和入侵事件,達到實時保障服務器的安全。
安騎士是一款經受百萬級主機穩定性考驗的主機安全加固產品,擁有自動化實時入侵威脅檢測、病毒查殺、漏洞智能修復、基線一鍵核查等功能,是構建主機安全防線的統一管理平臺。
安騎士的架構圖如下:
安騎士的優勢
全局監控
集網絡、主機、雲產品安全於一體,對雲上系統的所有安全進行風險監控。
輕量級
經受百萬級Windows、Linux主機穩定性驗證,對業務影響小,資源消耗約1%CPU、50MB內存。
操作簡便
一鍵開通,即開即用。服務器上無軟件操作界面,所有數據展示和操作均在雲盾安騎士控制檯中完成,天然支持批量管理。
跨平臺支持
支持所有Linux和Windows主流操作系統、支持阿里雲經典網絡環境、阿里雲VPC環境、混合雲環境、傳統IDC環境。
覆蓋漏洞範圍廣
覆蓋Windows、Linux、Web、Web-CMS、配置、組件漏洞和基線管理,並支持一鍵處置。
多引擎實時檢測
實時全量採集數據。採用多病毒檢測引擎、機器學習算法和150+關聯檢測模型來提升主機入侵檢測效率。
大數據防禦
全網最大惡意攻擊源、惡意文件庫、漏洞補丁庫,每天共攔截數億次攻擊,防禦模型精準快速。
安騎士的功能亮點及對比分析
注意:2018年12月20日起,安騎士基礎版將不支持主機異常檢測功能,基礎版用戶將無法查看主機異常檢測事件。
模塊 | 功能點 | 功能詳情 | 基礎版 | 企業版 |
---|---|---|---|---|
安全預防 | 漏洞管理 | Linux軟件漏洞:對標CVE官方漏洞庫,自動檢測並提供修復方案。 | 只檢測 | √ |
Window漏洞:同步微軟官網補丁,自動檢測並支持一鍵修復。 | 只檢測 | √ | ||
Web-CMS漏洞:自研漏洞補丁,支持一鍵修復0 day漏洞。 | 只檢測 | √ | ||
檢測週期:漏洞隔一天自動檢測一次。其他漏洞:如軟件配置型漏洞、系統組件型漏洞,都支持自動檢測。 | √ | √ | ||
基線檢測(需開通企業版) | 賬號安全檢測:檢測服務器上是否存在黑客入侵後留下的賬戶、對影子賬戶、隱藏賬戶、克隆賬戶,同時對密碼策略合規、系統及應用弱口令進行檢測。 | X | √ | |
系統配置檢測:組策略、登陸基線策略、註冊表配置風險。 | X | √ | ||
數據庫風險檢測:Redis數據庫高危配置。 | X | √ | ||
合規對標檢測:CIS-Linux Centos7系統基線。 | X | √ | ||
檢測週期:可自定義檢測1天、3天、7天和30天內的基線數據。 | X | √ | ||
入侵檢測 | 異常登錄 | 異地登錄提醒:對非常用登錄地的事件進行告警。 | √ | √ |
非白名單IP登錄提醒:配置白名單IP後,對非白名單IP的事件進行告警。 | X | √ | ||
非法時間登錄提醒:配置合法登錄時間後,對非合法時間登錄的事件進行告警。 | X | √ | ||
非法賬號登錄提醒:配置合法登錄賬號後,對非合法登錄賬號事件進行提醒。 | X | √ | ||
暴力破解登錄攔截:對密碼進行暴力破解的行為進行聯動防禦。 | √ | √ | ||
網站後門查殺 | Webshell查殺:自研網站後門查殺引擎,擁有本地查殺加雲查殺體系,同時兼有定時查殺和實時防護掃描策略,支持常見的php、jsp等後門文件類型。。 | 只檢測 | √ | |
主機異常(含雲查殺) 基礎版用戶不支持主機異常檢測和修復。 | 進程異常行為:反彈Shell、JAVA進程執行CMD命令、bash異常文件下載等。 | X | √ | |
異常網絡連接:C&C肉雞檢測、惡意病毒源連接下載等。 | X | √ | ||
病毒木馬雲查殺:常見DDoS木馬、挖礦木馬及病毒程序檢測,支持雲端一鍵隔離(自研沙箱+國內外主流殺毒引擎)。 | X | √ | ||
敏感數據篡改 | 系統及應用的關鍵文件被黑客篡改。 | X | √ | |
異常賬號 | 黑客入侵後創建隱藏賬號、公鑰賬號等。 | X | √ | |
資產指紋 | 主機管理 | 分組和標籤:支持四級資產分組和子分組、支持資產標籤管理。 | X | √ |
資產清點:端口、賬號、進程、軟件 | 端口監聽:對端口監聽信息收集和呈現,並對變動進行記錄、便於清點端口進行開放。 | X | √ | |
賬號管理:收集賬戶及對應權限信息,可清點特權賬戶、發現提權行為。 | X | √ | ||
進程管理:收集和呈現進程快照信息,便於自主清點合法進程及發現異常進程。 | X | √ | ||
軟件管理:清點軟件安裝信息,同時在高危漏洞爆發時可快速定位受影響資產。 | X | √ | ||
日誌檢索 | 進程相關 | 進程啟動:進程啟動後記錄該啟動事件的詳細信息。 | X | √ |
進程快照:抓取某一時刻的進程全量日誌並存儲 | X | √ | ||
網絡連接 | 主動外聯:對外網絡連接的五元組相關信息實時採集。 | X | √ | |
其他日誌 | 系統登錄:SSH、RDP的系統登錄流水日誌。 | X | √ | |
端口監聽快照:某一時刻的所有對外監聽端口的快照數據。 | X | √ | ||
賬號快照:某一時刻所有賬號信息的快照數據。 | X | √ | ||
病毒自動查殺 | 勒索病毒 | 利用各種加密算法對文件進行加密,感染此病毒一般無法解密等。 | X | √ |
DDOS木馬 | 控制肉雞對目標發動攻擊,佔用本機帶寬攻擊其他服務器,影響用戶業務的正常運行,如XorDDoS、BillGates等。 | X | √ | |
網頁防篡改 | 網頁防篡改(增值服務,需單獨購買,價格詳見包年包月計費方式。) | 可實時監控網站目錄並通過備份恢復被篡改的文件或目錄,保障重要系統的網站信息不被惡意篡改,防止出現掛馬、黑鏈、非法植入恐怖威脅、色情等內容。 | X | √ |