-
代维方式介绍 MSP(Managed Service Provider,管理服务供应商),一般是指为普通租户提供网络部署、管理、安全检测、安全防御以及运维等一系列工作的机构。MSP通常具备较为专业的业务管理和维护能力。 当普通租户购买华为乾坤后,发现本身不具备完备的网络建设、业务管理、安全运维能力时,可以委托专业的MSP管理,以降低企业人力和资金的投入。租户委托MSP后,MSP可以对委托业务进行日常状态管理、定期巡检,发现并处理业务运行中存在的异常和问题,同时给出风险评估和事件处置方法。 一个租户账号可与多个MSP账号建立委托关系,一个MSP账号可代维多个租户账号下的服务。 MSP支持以下两种代维方式: 以租户维度进行代维:MSP直接以租户身份进入租户页面进行操作。 以服务维度进行代维:MSP对单服务下所有代维租户进行管理和操作。 父主题: MSP代维指导
-
操作步骤 威胁事件支持“按事件类型”和“按终端”查看和处置。对于事件处置,两者入口不同,此处以“按事件类型”入口为例,介绍处置方法。 参考操作入口介绍选择一种操作入口,进入“病毒文件”的威胁事件列表。 本章节以“安全运营中心(威胁事件)”入口为例。 筛选待处置事件,即“事件处置状态”为“未处置”、“处置失败”和“事件超时关闭”的事件。 图1 病毒文件待处置事件 单击待处理事件的“事件名称”列,查看威胁事件详情,根据“处置建议”并结合实际情况,处置病毒威胁事件。 完成处置后,可以在“处置记录”页签查看处置记录。 图2 病毒文件威胁事件详情 快速处置 隔离:将相关恶意文件移至该终端的隔离区,30天后自动清理。在此之前,您可以在终端详情界面的隔离区中恢复隔离文件。 恢复:对于特定类型病毒(如:宏病毒)感染过的源文件,可恢复至感染前状态。执行恢复操作后,相关恶意文件先移至该终端的隔离区。如果源文件恢复成功,“事件处置状态”确认为“处置成功”;如果源文件恢复失败,“事件处置状态”确认为“处置失败”,并将隔离区相关恶意文件的文件名称加上“-restore”后,恢复至原路径。 网络隔离:对存在风险的终端进行网络隔离。在智能终端安全服务首页概览页面单击“隔离终端”,在隔离终端列表可以执行“恢复”操作。(只在服务首页入口的威胁事件列表中可操作) 标记状态 忽略:经过排查后发现事件无需处理或者是误报时,可以将此事件标记为“忽略”。标记为“忽略”后,后续无需再关注此事件。除打上“忽略”标记外不进行任何处理。 已修复:您已根据具体的事件采取人工处置,比如对异常主机执行病毒查杀,并确认此主机已无安全风险。确认风险主机中已清除病毒文件后,将事件标记为“已修复”。除打上“已修复”标记外不进行任何处理。 未处置:除打上“未处置”标记外不进行任何处理。 威胁分析:呈现与该病毒文件有关的威胁信息。 (可选)单击事件名称,可进入事件详情页面。 事件详情页面包含以下模块: 事件详情:展示严重级别、事件类型、攻击阶段、攻击次数、终端名称、最近发生时间、最近更新时间、首次处置时间等具体数据。 处置建议&处置记录:提供处置建议,并可通过单击“处置明细”查看处置记录。 安全分析:展示该事件的检测原理及风险危害。 威胁信息:若该病毒文件命中威胁信息库,展示具体数据;否则为空。 取证信息:检出该病毒文件时的终端信息和行为信息。 图3 病毒文件事件详情
-
相关操作 病毒文件事件支持导出,单次最多可导出10万条数据,具体导出方法如下所示。 在病毒文件事件列表中,按需筛选并导出病毒文件。 导出全部病毒文件:单击“导出”,选择“导出全部”。 导出部分病毒文件:勾选部分数据,单击“导出”,选择“导出选中”。 在风险提示窗口,勾选“我已仔细阅读操作提示并充分理解此操作的业务影响”,单击“确定”。 导出完成后,单击导出提示框的“下载中心”进入详情页面,在需要下载的文件的操作列,单击“下载”即可。
-
背景信息 病毒文件是指终端上的病毒文件,包括木马病毒、灰色软件等,会破坏用户文件、影响系统运行。 租户需要对“未处置”病毒威胁事件进行处置,处置方法包括“快速处置”、“标记状态”等。 快速处置:使用系统推荐的快速处置方式,租户需核实确认并进行处置下发。处置过程中病毒文件事件显示为“处置中”,处置成功则返回状态“处置成功”,处置失败则返回状态“处置失败”。 标记状态:租户可手动对病毒文件事件进行标记,标记后处置状态分别显示为“忽略”、“已修复”。 网络隔离:对存在风险的终端进行网络隔离。在智能终端安全服务首页概览页面单击“隔离终端”,在隔离终端列表可以执行“恢复”操作。(只在服务首页入口的威胁事件列表中可操作)
-
搜索和关注租户 以MSP账号登录华为乾坤控制台,选择右上角菜单栏的“租户”。 在左侧租户列表执行相关操作。 搜索租户 在搜索框输入租户名称,单击左侧图标或者按回车键直接搜索。 查看租户信息 选择目标租户,租户列表右侧显示对应的用户信息,如名称、手机号码、邮箱。 特别关注 单击“特别关注”,列表中租户名会以标星展示,如果不需要继续关注,单击“取消关注”即可。 打标签 单击“打标签”,列表中租户名下方会显示标签详情,如果需要删除标签,单击标签后的×号即可。 过滤租户 单击租户列表右上方的按钮,支持按标签筛选租户。
-
安全设备 以华为防火墙为例,说明安全设备的配置方法。 输入管理员账号和密码,登录防火墙设备。 进入系统视图。 system-view 执行以下命令。 [Huawei] info-center enable // 启用日志服务
[Huawei] info-center loghost 10.1.1.1 port 514 // 配置日志发送到天关/防火墙,10.1.1.1为天关/防火墙侧与安全设备通信的内网IP地址 (可选)当安全设备存在多个IP地址与天关/防火墙通信时,还需要执行以下命令。 [Huawei] info-center loghost source Vlanif 1000 // 指定发送日志的接口 其中,“Vlanif 1000”需要根据实际查询结果修改,通过执行display ip interface brief命令,找到实际通信的IP地址(即添加审计资产中录入资产时配置的IP地址)对应的Interface值(如图中的Vlanif1000)。 父主题: 配置资产
-
防病毒场景 计算机病毒是指会破坏终端功能或数据的一组指令或代码,通常附着在文件上以病毒文件的形式出现。近年来,网络病毒攻击日趋频繁,终端安全面临着前所未有的挑战。 计算机病毒可对企业造成如下危害: 企业系统瘫痪,生产线控制紊乱,无法开展正常业务。 企业数据遭遇破坏或丢失,蒙受巨大损失。 智能终端安全服务针对计算机病毒,可以实现: 对全磁盘目录进行实时防护,阻止病毒文件以浏览器下载、U盘转移等方式入侵。 检测病毒文件运行产生的恶意进程,进行自动化处置。 针对病毒文件,提供病毒查杀功能,进行隔离操作。
-
防挖矿场景 挖矿木马是指非法入侵终端并持续驻留,利用终端计算能力挖矿来为攻击者谋取利益的一种恶意软件。挖矿木马潜伏时间长,隐蔽性高,挟持大量计算资源,对企业终端安全造成巨大威胁。 挖矿木马对企业可造成如下危害: 企业消耗大量电力资源,遭受重大经济损失。 企业终端CPU被持续占用,系统业务响应变慢,设备寿命减短。 企业终端存在恶意连接,重要信息面临泄露风险。 智能终端安全服务针对挖矿木马,可以实现: 对全磁盘目录进行实时防护,阻止挖矿木马以浏览器下载、U盘转移等方式入侵。 通过HiSec Endpoint Agent上报的DNS请求数据,与威胁信息矿池库做对比,检测是否存在向挖矿矿池请求的恶意连接,及时发现威胁事件。 针对挖矿木马,提供病毒查杀功能,检出挖矿文件并将其隔离。
-
防无文件攻击场景 无文件攻击是一种不向磁盘写入可执行文件的攻击方法,难以被基于文件扫描的传统防病毒方案检测到,隐蔽性强,入侵成功率高。 无文件攻击可对企业造成如下危害: 企业终端CPU被持续占用,系统业务响应变慢,设备寿命减短。 企业终端存在恶意连接,重要信息面临泄露风险。 智能终端安全服务针对无文件攻击,可以实现: 提供威胁检测功能,识别无文件攻击产生的恶意进程,并进行自动阻断。 针对使用不可执行文件进行攻击的场景,提供病毒查杀功能,隔离相应文件。 自动关闭无文件攻击的计划任务,防止其定期攻击终端。
-
防勒索场景 勒索软件是不法分子通过加密文件等方式劫持用户文件,借此索要钱财的一种恶意软件。勒索软件变种多,更新快,难以防范,攻击目标一般是终端上的文件,会在企业内部的终端上进行横向扩散,给企业的终端安全带来很大的风险和挑战。 勒索软件对企业可造成如下危害: 企业遭遇勒索,直接导致大额经济损失。 企业重要文件被加密,业务被迫中断,生产力遭遇冲击,间接影响企业经济。 企业重要数据遭遇篡改或公开,声誉受损,大众对企业信任度降低。 智能终端安全服务针对勒索软件,可以实现: 对全磁盘目录进行实时防护,阻止勒索软件以浏览器下载、U盘转移等方式入侵。 提供诱饵捕获功能,针对勒索病毒特征设置诱饵文件,及时捕获异常事件。 针对勒索病毒特征,提供文件防篡改功能,支持重点文件访问权限控制,及时上报加密行为。 围绕勒索攻击过程,检测各个攻击场景的威胁事件,自动下发威胁处置策略。 针对勒索病毒文件,提供病毒查杀功能,隔离相关文件。
-
背景信息 为了更好地排查解决故障根因,消减威胁风险,当您在使用本服务的故障分析功能时,您可以选择授权我们收集和上传终端设备生成的故障定位数据,以帮助我们定位故障并提供相关支持。故障定位数据包括已安装软件列表、全量进程列表、系统错误日志、软件错误日志、蓝屏Dump采集以及位于Agent安装目录下的文件。为生成故障定位数据,需要修改系统注册表的对应设置。 华为乾坤将为故障定位数据采取必要的安全措施。您享有删除故障定位数据的权利。对于您权利的行使,如有疑问请通过工单联系我们。
-
注册账号 在开通服务前,您需要注册华为乾坤账号。 华为乾坤控制台是使用华为乾坤的界面,登录前需要先注册华为乾坤账号。 如果您已有华为乾坤MSP(渠道服务商)创建的租户账号,可跳过本节内容。 访问华为乾坤控制台华为乾坤控制台。 在登录页面单击“立即注册”。 图1 控制台登录页面 默认进入“快速注册”页面,可单击“快速注册”页面上“常规注册”跳转常规注册。 快速注册。 输入手机号和验证码,勾选“我已阅读并同意隐私政策声明和华为乾坤云服务用户协议”,单击“注册并登录”。 图2 快速注册页面 如果该号码已经注册华为乾坤账号,将提示注册失败,点击弹窗中“返回登录”,使用该手机号或者绑定该手机号的用户名直接登录控制台。 设置密码,单击“确定”后登录到华为乾坤控制台。 图3 设置密码 常规注册。 设置租户名、用户名、手机号和验证码,勾选“我已阅读并同意隐私政策声明和华为乾坤云服务用户协议”,单击“注册并登录”。 图4 注册页面 为提高安全性,密码设置要求如下,如果设置的密码不符合要求,请按照界面提示修改: 字符串形式,长度不小于8个字符,不超过32个字符。 至少包含1个字母和1个数字。 不能含用户名、用户手机号码和电子邮箱等敏感信息。 不建议使用密码强度低或常见的密码。 注册成功后,您将自动登录到华为乾坤控制台,同时您的手机将收到注册账号信息。 父主题: 服务开通
-
试用套餐申请说明 智能终端安全服务试用套餐目前仅支持线上申请方式,提供终端防护服务试用版、终端防护服务试用版(PC专业版)、终端防护服务试用版(服务器版)等套餐规格,各试用套餐对应的产品功能分别与标准版、专业版、Windows Server服务器版一致,操作系统要求请参见表3。 用户需在华为乾坤商城向华为乾坤运营人员进行试用套餐申请,具体操作请参见《服务开通》的“购买与开通服务”章节。 表3 试用套餐规格介绍 套餐名称 套餐规格 操作系统支持 终端防护服务试用版 资产数:100 Windows 7 专业版、旗舰版、企业版 (32/64位) Windows 10(32位/64位) Windows 11(64位) 终端防护服务试用版(PC专业版) 终端防护服务试用版(服务器版) 资产数:20 Windows 7 专业版、旗舰版、企业版 (32/64位) Windows 10(32位/64位) Windows 11(64位) Windows Server 2012 R2及以上(64位) Linux Server版 资产数:10 CentOS 7及以上 RedHat 8及以上 Euler 2.0及以上 Debian 10及以上 SUSE 12/15 Ubuntu16/18/20/22(X86/ARM) Huawei Cloud EulerOS 2.0 标准版(64位) 信创PC版 资产数:10 银河麒麟桌面操作系统V10及以上 统信桌面操作系统V20以上
-
后续处理 HiSec Endpoint Agent安装完成后,在线状态下会周期性检查云端是否有版本更新并自动升级。租户也可自行访问华为安全智能中心,对HiSec Endpoint Agent进行升级。升级完成后,HiSec Endpoint Agent自动启动,与云端保持连接,且HiSec Endpoint Agent的相关配置不会丢失。 HiSec Endpoint Agent的相关使用操作请参考《HiSec Endpoint Agent x.x.xx.xxx 用户指南》。
-
前提条件 已确认待安装HiSec Endpoint Agent的终端满足安装要求,具体要求如表1所示。 表1 终端约束与限制 硬件要求 操作系统要求 CPU 内存 硬盘 2核CPU 4GB及以上 可用磁盘空间不少于10GB Windows 7 专业版、旗舰版、企业版 (32/64位) Windows 10(32位/64位) Windows 11(64位) Windows Server 2012 R2及以上(64位) 2核CPU 4GB及以上 可用磁盘空间不少于10GB 银河麒麟桌面操作系统V10及以上 统信桌面操作系统V20以上 CentOS 7及以上 Euler 2.0及以上 RedHat 8及以上 SUSE 12/15 UOS Server 20 Debian 10及以上 Ubuntu16/18/20/22(X86/ARM) 2核CPU 4GB及以上 可用磁盘空间不少于10GB macOS 11及以上
