2.2.1.1 资产详情简介

您可以在资产详情页同步资产信息、查看资产信息，资产包括物理服务器资产、容器资产。

• 在服务器页签可查看物理服务器资产名称、资产在线状态、IP 地址、操作系统类型、授权状态、风险状态、查看单个资产指纹信息等。还可以为物理服务器资产切换授权、配置资产归属信息、更换资产分组等操作。

• 在容器页签可查看集群名称、集群类型、集群的服务器数量、集群运行状态、保护状态、风险状态等信息、存在风险的容器列表等信息。

2.2.1.2 同步资产

任务简介

用于同步现有的服务器，保证物理服务器资产、集群资产在线状态、客户端保护状态为最新状态。

限制与指导

• 资产同步功能默认 2 小时自动同步一次，如用户想尽快得到最新结果，可手动单击“同步资产”。

• 您可以在统一管理平台选择租户侧账号查看资产，但不能对其进行配置操作，如分组、换版本等。

• 同步资产会全局同步所有资产。

操作步骤

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”进入云工作负载安全 CWP 控制台页面。

(3) 单击左侧导航栏的“资产中心 > 资产详情”，进入资产详情页。

(4) 单击“同步资产”。

2.2.1.3 管理物理服务器资产

在资产详情页的服务器页签可执行如下操作：

• 切换资产授权：单击目标资产操作列的“更多 > 换规格”，为该资产切换授权。可根据需求为资产切换基础服务授权、授权网页防篡改服务。

• 查看资产风险告警：若资产风险状态为“存在风险”，则可单击“存在风险”查看风险告警。

• 查看资产指纹：单击目标资产操作列的“详情”，查看该资产的指纹信息。

• 编辑资产：单击目标资产操作列的“编辑”，编辑该资产信息。可以为资产设置资产等级、归属人信息、资产来源、固定资产变化等信息。

• 更换资产分组

 单个资产更换分组：单击目标资产操作列的“换组”，为该资产更换分组。

 批量更换分组：勾选多个目标资产，单击页面下方的“换组”，为所选资产批量更换分组。

2.2.1.4 管理服务器资产分组

新建分组

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台页面。

(3) 单击左侧导航栏的“资产中心 > 资产详情”，进入资产详情页面。

(4) 单击“新建分组”，弹出新建分组对话框。

(5) 根据需要设置分组名称与描述信息。

(6) 单击“确定”，完成新建分组操作。

添加子分组

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台页面。

(3) 单击左侧导航栏的“资产中心 > 资产详情”，进入资产详情页面。

(4) 单击分组名称后的。

(5) 单击“添加子分组”，弹出新建分组对话框。

(6) 设置子分组名称与描述信息，完成后单击“确定”完成子分组创建。

删除分组

单击目标分组名称后的“> 编辑分组”，编辑该分组信息。

修改分组

单击目标分组名称后的“> 删除分组”，删除该分组。

2.2.1.5 管理容器资产

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台页面。

(3) 单击左侧导航栏的“资产中心 > 资产详情”，进入资产详情页面。

(4) 单击容器页签，进入容器资产页面。

 可以在此页面查看容器镜像资产信息。

 在页面左侧区域筛选存在风险的集群或容器资产。

 单击风险状态列“存在风险”查看告警信息。

 单击容器资产操作列的“详情”查看改资产指纹信息。

2.2.2.1 资产指纹简介

根据客户端上报的资产，聚合展示全网资产指纹，服务器收集资产指纹包括进程、端口、软件、账号、计划任务、中间件（Web 服务器、数据库、Jar 包）；容器资产指纹包括进程、端口、软件、数据挂载、中间件（Web 服务器、数据库、Jar 包）。

2.2.2.2 采集配置

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台页面。

(3) 单击左侧导航栏的“资产中心 > 资产指纹”，进入资产指纹页面。

(4) 单击“采集配置”，弹出采集配置对话框。

(5) 可根据需要设置收集频率，完成后单击“确定”。

2.2.2.3 导出资产指纹

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台页面。

(3) 单击左侧导航栏的“资产中心 > 资产指纹”，进入资产指纹页面。

(4) 根据需要搜索资产指纹。

(5) 单击，可导出当前筛选出来的资产指纹。

也可以单击左侧信息快速筛选。

2.3.1.1 异常进程行为简介

您可以新建进程链规则，进程链规则包括自定义规则与系统规则，系统规则为系统内置的，无法选择是否启用，但您可以选择是否启用自定义规则，当规则触发告警后，将在威胁检测展示，类型为进程异常行为。

2.3.1.2 新建进程链规则

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“策略中心 > 检测规则 > 进程链规则”，进入进程链规则列表页面。

(4) 单击“新建规则”，进入新建规则页面。

(5) 根据下表中的参数说明配置参数，完成后单击“确认”。

2.3.1.3 管理进程链规则

在进程链规则页：

• 单击下拉框选择查询条件，包括规则名称、规则 ID、策略类型，输入对应信息查询规则。

• 单击目标自定义规则操作列的“编辑”，可对此自定义规则进行修改。

• 单击目标自定义规则操作列的“删除”，删除该定义规则。

• 单击策略状态栏的控制策略的启用或停用。

 停用状态：

 启用状态：

2.3.2.1 新建域名规则

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“策略中心 > 检测规则 > 域名规则”，进入域名规则列表页。

(4) 单击“新建规则”，进入新建规则页面。

(5) 根据下表中的参数说明配置参数，完成后单击“确认”。

2.3.2.2 管理域名规则

在域名规则页：

• 单击下拉框选择查询条件，包括规则名称、规则 ID，输入对应信息查询规则。

• 单击目标自定义规则操作列的“编辑”，可对此自定义规则进行修改。

• 单击目标自定义规则操作列的“删除”，删除该定义规则（注意只能在策略关闭状态下删除策略）。

• 单击全局策略状态的控制全局策略启用或停用。

 停用状态：

 启用状态：

• 单击策略状态栏的控制单条策略的启用或停用，注意启用单条策略前请先开启全局策略状态。

 停用状态：

 启用状态：

2.3.3.1 合规基线简介

您可以使用合规基线创建基线扫描策略，发现服务器风险点并根据修复建议加固服务器并满足安全合规要求。基线类型包括国际标准-kubernetes、CECloudLinux 操作系统最佳实践、Linux 操作系统等保三级、Linux 操作系统等保二级，基线扫描完成后可以在合规基线查看基线扫描结果，支持定时扫描策略。

2.3.3.2 新建基线扫描策略

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“策略中心 > 检测规则 > 基线扫描”，进入基线扫描列表页面。

(4) 单击“新建”，弹出新建策略窗口。

(5) 根据下表中的参数说明配置参数信息，完成后单击“确定”。

2.3.3.3 管理基线扫描策略

• 单击目标策略状态的，开启或关闭该策略。

• 单击目标策略对应操作列的“编辑”，修改该策略。

• 单击目标策略对应操作列的“删除”，删除该策略（策略关闭后才可以删除）。

2.3.4.1 镜像仓库扫描配置

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“策略中心 > 检测规则 > 镜像仓库扫描”，进入镜像仓库扫描页面。

(4) 单击“设置”，弹出扫描设置窗口。

(5) 根据下表中的参数说明配置参数，完成后单击“确定”。

2.3.4.2 新建凭证

(1) 在镜像仓库扫描页面，单击“新建凭证”，弹出新建凭证窗口。

(2) 根据下表中的参数说明配置参数信息，完成后单击“连通性测试”，成功后单击“确定”。

2.3.5.1 全局扫描设置

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“策略中心 > 检测规则 > 自定义扫描”，进入全局扫描设置页面。

(4) 单击“设置”，弹出扫描设置窗口。

(5) 根据下表中的参数说明配置参数，完成后单击“确定”。

2.3.6.1 批量开启端口

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“策略中心 > 检测规则 > 自定义蜜罐”，进入自定义蜜罐列表页面。

(4) 单击“批量开启端口”，弹出批量开启端口对话框。

(5) 根据下表中的参数说明配置参数，完成后单击“确定”。

2.3.6.2 批量关闭端口

(1) 在自定义蜜罐列表页面，单击“批量关闭端口”，弹出批量关闭端口对话框。

(2) 根据下表中的参数说明配置参数，完成后单击“确定”。

2.3.6.3 一键清理

在自定义蜜罐列表页面，单击“一键清理”，清理启动失败的蜜罐端口。

2.3.7.1 添加爆破规则

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台页面。

(3) 单击左侧导航栏的“策略中心 > 检测规则 > 爆破规则”，进入暴破规则列表页面。

(4) 单击“添加”，弹出新建策略对话框。

(5) 根据下表中的参数说明配置参数，完成后单击“确定”。

2.3.7.2 管理爆破规则

• 单击可开启或关闭暴力破解功能。至少添加一条暴力破解检测策略，才可开启该功能。

• 单击爆破规则操作列的“编辑”，编辑该爆破规则。

• 单击爆破规则操作列的“删除”，删除该爆破规则。

2.3.7.3 合法登录设置

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台页面。

(3) 单击左侧导航栏的“策略中心 > 检测规则 > 合法登录设置”，进入合法登录设置页面。

 常用地址设置：在常用地址设置区域，单击“添加”，设置完成后，单击“确定”

 常用 IP 设置：在常用 IP 设置区域，单击“添加”，设置完成后单击“确定”。

 常用时间段设置：在常用时间段设置区域，单击“添加”，设置完成后单击“确定”。

 常用账号设置：在常用账号设置区域，单击“添加”，设置完成后单击“确定”。

2.3.7.4 管理合法登录设置

• 根据需要单击每项设置中的，开启或关闭对应检测。

• 单击目标设置操作列的“编辑”，可对该设置进行修改。

• 单击目标设置操作列的“删除”，可删除该设置。

2.3.8.1 策略白名单简介

云工作负载安全 CWP 支持设置策略白名单，将告警加入到策略白名单后，当再次发生相同告警时将不再告警，您也可以在威胁检测中进行加白操作。

2.3.8.2 新增策略白名单

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“策略中心 > 策略白名单”，进入策略白名单页面。

(4) 单击“新增”，弹出新建策略对话框。

(5) 根据下表中的参数说明配置参数后，单击“确定”。

2.3.8.3 删除策略白名单

单击处于关闭状态的目标策略操作列的“删除”，可删除该策略。

2.4.1.1 漏洞管理简介

云工作负载安全产品支持对服务器、容器镜像存在的高危系统漏洞、应用漏洞进行检测和识别，并提供漏洞修复方案。

2.4.1.2 服务器漏洞

1. 执行扫描任务

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“安全防范 > 漏洞管理”，进入漏洞管理页面。

 单击“Linux 系统漏洞”页签，并单击“立刻扫描”执行 Linux 系统漏洞扫描任务。

 单击“应用漏洞”页签，并单击“立刻扫描”执行应用漏洞扫描任务。

2. 管理扫描结果

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“安全防范 > 漏洞管理”，进入漏洞管理页面。

• 在 Linux 系统漏洞页签下查看 Linux 系统漏洞扫描结果。

 在漏洞维度页签可进行如下操作：

− 您可以通过漏洞公告、CVE 编号、漏洞等级、漏洞特征等条件快速筛选。

− 漏洞公告详情：单击漏洞公告名称，进入漏洞公告详情页面，您可以在此页面进行漏洞描述、漏洞详情、修复建议查看以及对此漏洞影响的资产进行修复、验证、详情查看等操作。

− 加入漏洞公告白名单：您可以批量勾选漏洞公告，单击“加入漏洞公告白名单”。

− 漏洞公告白名单：您可以单击“漏洞公告白名单”管理白名单列表，可以在漏洞公告白名单列表删除已加入的漏洞白名单。

− 修复：您可以单击漏洞公告对应操作列的“修复”，修复此漏洞。此操作是针对重要业务服务器进行内核漏洞修复，请做好备份后，再执行。

− 批量修复：您可以批量勾选漏洞公告，单击“批量修复”，可实现批量修复漏洞。此操作是针对重要业务服务器进行内核漏洞修复，请做好备份后，再执行。

− 导出：单击可导出漏洞列表。

 在服务器维度页签可进行如下操作：

− 您可以通过资产名称、资产 ID 等条件快速筛选。

− 影响资产详情：单击资产 ID 链接，进入影响资产详情页面，您可以在此页面查看此资产中存在的漏洞。可对此资产扫描到的漏洞进行修复或批量操作。

− 加入服务器白名单：您可以批量受影响的资产，单击“加入服务器白名单”。

− 服务器白名单：您可以单击“服务器白名单”管理白名单列表，可以在服务器白名单添加或删除服务器白名单。

− 修复：您可以单击受影响资产对应操作列的“修复”，修复此服务器上的漏洞。此操作是针对重要业务服务器进行内核漏洞修复，请做好备份后，再执行。

− 批量修复：您可以批量勾选受影响资产，单击“批量修复”，可实现批量修复漏洞。此操作是针对重要业务服务器进行内核漏洞修复，请做好备份后，再执行。

− 验证：单击受影响资产对应操作列的“验证”可进行验证操作。

− 导出：单击可导出漏洞列表。

• 在应用漏洞页签下查看应用漏洞扫描结果。

 您可以通过漏洞公告、CVE 编号、漏洞等级、漏洞特征等条件快速筛选。

 导出：单击可导出应用漏洞列表。

2.4.1.3 容器漏洞

1. 执行扫描任务

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“安全防范 > 漏洞管理”，进入漏洞管理页面。

(4) 单击“容器漏洞”页签，进入容器漏洞页面。

 单击“系统漏洞”页签，并单击“立刻扫描”执行系统漏洞扫描任务。

 单击“应用漏洞”页签，并单击“立刻扫描”执行应用漏洞扫描任务。

2. 管理扫描结果

扫描完成后，在“容器漏洞”页签查看容器镜像漏洞扫描结果。

• 在系统漏洞页签下可以从漏洞、镜像两个维度查看系统漏洞扫描结果。

 漏洞维度可进行如下操作：

− 您可以通过漏洞公告、漏洞 ID、漏洞等级、漏洞特征等条件快速筛选。

− 漏洞公告详情：单击漏洞公告对应操作列的“详情”进入漏洞公告详情页面，您可以在此页面查看漏洞描述、漏洞详情、修复建议，以及查看此漏洞影响的镜像、容器。

在漏洞公告详情页面，单击影响资产对应操作列“详情”查看软件包版本详情。

− 导出：在漏洞列表单击可导出漏洞列表。

 镜像维度可进行如下操作：

− 您可以通过镜像名称、镜像 ID 等条件快速筛选。

− 漏洞公告详情：单击镜像对应操作列的“详情”进入漏洞公告详情页面，您可以在此页面查看此镜像描述、影响漏洞、影响分层。

在漏洞公告详情页面，单击影响漏洞对应操作列“详情”查看软件包版本详情。

− 导出：单击可导出漏洞列表。

• 在应用漏洞页签下查看应用漏洞扫描结果。

 您可以通过漏洞公告、漏洞 ID、漏洞等级、漏洞特征等条件快速筛选。

 漏洞公告详情：单击漏洞公告对应操作列的“详情”进入漏洞公告详情页面，您可以在此页面查看此镜像描述、影响漏洞。

在漏洞公告详情页面，单击影响漏洞对应操作列“详情”查看软件包版本详情。

− 导出：单击可导出漏洞列表。

任务简介

您可以通过合规基线查看基线合规情况，包括检查结果、检查项列表、检查项详情等。

前提条件

已完成基线扫描。

操作步骤

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“安全防范 > 合规基线”，进入合规基线页面。

(4) 单击下拉列表选择基线扫描策略名称。

(5) 单击“查看详情”进入详情页面。

 筛选：您可以在详情页面单击下拉列表根据分类、检查项、重要程度、检查结果进行筛选。

 导出：您可以在详情页面将筛选后的检查项进行导出。

 详情：您可以在详情页面单击“详情”，在详情页面查看此检查项的描述信息、加固方法、修复建议等信息，加固完成后，可单击“验证”。

 忽略：检查项支持忽略、取消忽略。

 验证/全部验证：支持手工单项检查项验证、全局验证。

2.5.1.1 容器防火墙简介

云工作负载安全 CWP 的容器防火墙功能从命名空间、POD、容器等资产维度为您提供安全可视化管理能力和云平台资产的网络拓扑，帮助您提高管理容器资产安全的效率。

• 容器网络拓扑通过自学习白名单能力，勾勒容器网络访问关系，展示活动会话。

• 容器间网络访问控制通过 Kubernetes 云原生 NetworkPolicy 实现网络访问关系阻断。

2.5.1.2 容器网络拓扑

1. 关闭/开启“网络拓扑采集”

“网络拓扑采集”开关默认为开启状态。开启时，容器网络拓扑通过自学习白名单能力，勾勒容器网络访问关系，展示活动会话，您可在网络拓扑展示区域查看拓扑图；关闭后，系统不再采集网络拓扑信息。

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“主动防御 > 容器防火墙”，进入容器防火墙页面。

(4) 单击右上角的“网络拓扑采集”开关，开启/关闭网络拓扑采集功能。

 ：开启网络拓扑采集。系统实时采集容器网络拓扑信息，您可在网络拓扑图展示区域手动刷新容器网络拓扑访问关系。

 ：关闭网络拓扑采集。关闭后，系统不再采集容器网络拓扑信息，网络拓扑展示区域不再生成新的网络拓扑图，但之前已采集的拓扑图仍存在，建议您在网络拓扑图展示区域实时手动刷新容器网络拓扑访问关系。

2. 容器网络拓扑图操作介绍

(5) 登录中国电子云统一管理平台。

(6) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(7) 单击左侧导航栏的“主动防御 > 容器防火墙”，进入容器防火墙页面。

(8) 容器网络拓扑图由以下几个功能区域组成。

 查询（编号①）：您可以通过命名空间与容器组模糊查询容器网络拓扑图中的资源。

 调整拓扑图大小（编号②）：您可根据需要调整容器网络拓扑图的大小。

− 单击图标，使容器网络拓扑图以自适应屏幕展示。

− 单击图标，缩小容器网络拓扑图。

− 单击图标，缩小容器网络拓扑图。

 外部网络（编号③）：您可根据需要开启或关闭容器与外网的数据流向情况。

 容器网络拓扑图显示的时间范围（编号④）：默认展示最近 30 分钟的容器网络拓扑图数据流量情况。您可以通过需求筛选容器网络拓扑数据流量显示的时间范围。可选择“近一小时”、“近 3 小时”、“近 1 天”等范围。

 导出容器网络拓扑图（编号⑤）：您可以单击容器网络拓扑页签右上角的 导出图标，导出容器网络拓扑图。

 图例（编号⑥）：单击图例旁边的 图标，可展开图例查看图标代表的含义。

 在容器网络拓扑页签，右击要查看目标命名空间图标，并选择“展开命名空间”，查看此命名空间中的 Pod 或容器组（Pod 组）。

 查看容器组基本信息：右击 Pod 组图标，并选择“基本详情”，可查看 Pod 列表信息，包括每个 Pod 的名称、PodID、命名空间以及 Pod 内的容器信息。

 展开容器组：右击 Pod 组图标，并选择“展开容器组”，可展开容器组（Pod 组）。

 查看 Pod 基本信息：右击 Pod 图标容器，并选择“基本详情”，可查看到 Pod 内包含的容器信息，包括容器名、容器 ID、镜像 ID、安全状态。

 查看 Pod 活动会话：右击 Pod 图标容器，并选择“活动会话”，可查看到 Pod 之间的网络连接信息，包含协议、应用、访问者 IP/端口、服务方 IP/端口、规则 ID、动作（包括允许、开放、告警）、连接存活时间等信息。

− 开放：学习到无任何规则限制的 Pod 连接，动作列为开放。

− 允许：匹配到防火墙规则的 Pod 连接，动作列为允许。

− 告警：在监控模式，与此 Pod 出现新的连接时，动作列为告警。

 查看 Pod 网络规则：右击 Pod 图标，并选择“网络规则”，可查看到此 Pod 的网络规则情况。包含规则ID、访问组、服务组、应用、动作、类型（包括用户规则、自学习到的规则）、更新时间等信息。

用户规则您可以在防火墙规则-手动添加防火墙规则中自定义配置。

 查看节点信息：您可以右击节点组，并选择“展开节点组”，查看节点组内的节点信息。

 展开容器组后，并将鼠标移动到线条上，可展示容器中的应用信息、协议。应用层协议仅展示默认端口，不支持展示协议。

 如果容器有异常网络访问流量，将会以红色箭头表示。

例如：监控模式下，与此 Pod 出现新的连接时将会以红色线条展示。

您可以在防护模式管理中设置容器防火墙学习模式到监控模式的时间。

2.5.1.3 防火墙规则

1. 查看自学习到的分组

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“主动防御 > 容器防火墙”，进入容器防火墙页面。

(4) 单击 “防火墙规则”页签。

(5) 您可以在此页面查看自学习到的命名空间与组名。

 包括组名、命名空间、类型、对应的网络规则条数等信息。

 自学习到的命名空间与组名不支持编辑或删除。

 单击右上角的可将列表导出。

2. 手动添加组

(1) 在容器防火墙的“防火墙规则”页签。

(2) 单击页面右上角的“添加组”，弹出添加分组对话框。

 组名：您可以自定义组名。

 关键字：输入关键字，以英文分号分割，包括集群的 namesSpace 与 podLabel 信息。

格式：namespace=default;podLabel=app:nginx

(3) 单击“确定”完成手动添加组操作。

3. 管理分组

限制与指导

• 自学习到的组不支持删除与编辑。

• 没有成员的组（例如 POD/容器）在这段时间内没有使用，会被自动删除。时间范围：1~7 天。

操作步骤

在容器防火墙的“防火墙规则”页签。

• 单击目标组操作列的“删除”，删除此组

• 单击目标组操作列的“编辑”，编辑此组。

• 批量删除：勾选需要删除的组，并单击“删除”按钮，可批量删除组。

4. 查看自学习到的防火墙规则

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“主动防御 > 容器防火墙”，进入容器防火墙页面。

(4) 单击 “防火墙规则”页签。

(5) 您可以在此页面查看自学习到的防火墙规则。

 包括访问组、服务组、应用等信息。

 自学习到的防火墙规则不支持删除与编辑。

 单击右上角的可将列表导出。

5. 手动添加防火墙规则

任务简介

您可以基于组添加防护墙规则，当违反防火墙规则时，将会直接阻断无法连接。

操作步骤

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“主动防御 > 容器防火墙”，进入容器防火墙页面。

(4) 单击 “防火墙规则”页签。

(5) 单击“添加规则”，弹出添加规则窗口。

(6) 根据下表中的参数说明配置参数，完成后单击“确认”。

6. 管理防火墙规则

限制与指导

自学习到的防火墙规则不支持删除与编辑。

操作步骤

在容器防火墙的“防火墙规则”页签。

• 单击目标防火墙规则操作列的“删除”，删除用户规则。

• 单击目标防火墙规则操作列的“编辑”，编辑此用户规则。

• 批量删除：勾选需要删除的规则，并单击“删除”按钮，可批量删除用户规则。

业务部署在互联网上，时刻都面临专业黑客的日常渗透和自动化的恶意攻击，企业总是后知后觉，无法做到有效的预警和响应，导致企业数据被窃取或服务中断。

云工作负载安全产品的威胁检测功能展示了该账号下所有的风险资产的告警事件。支持 9大类入侵检查功能，包括进程异常行为、反弹 shell、网页木马、动态蜜罐、暴力破解、异常登录、病毒木马、网络异常行为、永久后门等，覆盖 100+检测点。您可以在威胁检测页面查看告警事件。

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 单击下拉框择查询条件，选择查询条件。

(5) 输入查询信息，单击进行查询。

 可以单击“近一天”、“近七天”、“近 14 天”、“近 30 天”等进行时间的筛选。

 单击可以自定义选择时间段。

 单击图表支持下钻。

2.6.3.1 反弹 shell 简介

云工作负载安全产品实时监控容器、主机内所有利用 shell 进行反向连接的行为，当有反向连接行为发生时，云工作负载安全产品将及时告警。反弹 shell 告警类型包括 Linux 工具反弹 shell、编程语言反弹 shell、BASH 反弹 shell，您也可以在检测规则-异常进程行为自定义反弹 shell 规则。

2.6.3.2 查看反弹 shell 告警

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 在筛选栏选择告警类型为“反弹 shell”，查看告警列表。

(5) 单击反弹 shell 告警操作列的“详情与建议”，显示告警的详细信息。

可在反弹 shell 告警的详情与建议窗口查看反弹 shell 告警发生的时间、触发的反弹 shell 类型、进程名、进程 ID、进程路径、匹配详情、异常行为描述等信息研判此操作是否为业务行为或应用，必要时请登录服务器进行排查。

2.6.3.3 反弹 shell 告警处理

在反弹 shell 告警的详情与建议窗口，单击“告警处理”对此事件进行处理。

 加白：如经过业务方确认为正常应用，可以选择根据加白规则（反弹 shell 的类型不同加白规则也会不同）加入白名单，加入策略白名单后，当再次发生相同告警时将不再告警，请谨慎操作。

鼠标停留在命令行上可查看完整命令。已加白的事件可以在“策略中心 > 策略白名单”中查看。加入白名单时若应用范围选择所有资产，将对所有服务器添加白名单策略，请谨慎操作。

 忽略：如您认为此条告警不会构成威胁也可进行忽略，忽略本次告警后，当相同告警再次发生将再次告警。

 误报：支持加入误报，加入误报后，当相同告警再次发生时将再次告警。

 已线下处理：如您未通过 CPW 威胁告警解决了此问题，可选择已线下处理此事件。

2.6.4.1 病毒木马简介

云工作负载安全的病毒木马功能支持对服务器、容器内所有进程文件实时检测、发现病毒文件告警时提供关闭进程、隔离文件、隔离后恢复等处置能力，形成安全闭环。

下表为云工作负载安全产品可检测的病毒木马类型：

2.6.4.2 查看病毒木马告警

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 在筛选栏选择告警类型为“病毒木马”查看告警列表。

(5) 单击某个病毒木马告警对应操作列的“详情与建议”，查看详细信息。

 可在病毒木马告警的详情与建议窗口查看告警类型、发生时间、木马文件的路径、文件MD5、进程链以及查杀引擎的检测结果、异常行为描述、修复建议等信息，进行具体排查、处理。

 病毒木马告警的详情与建议窗口支持下载病毒样本。

2.6.4.3 病毒木马告警处理

在病毒木马告警的详情与建议窗口单击“告警处理”对此事件进行处理。

 防御：当发现病毒木马告警并确认后可以结束该进程运行、隔离该进程文件，恶意病毒样本隔离后 30 天内在文件隔离箱还原。

 加白：可以选择将病毒文件 MD5 值加入白名单，加入策略白名单后，当再次发生相同告警时将不再告警。已加白的策略可以在“策略中心 > 策略白名单”中查看。

注意：加入白名单时若应用范围选择所有资产，将对所有服务器添加白名单策略，请谨慎操作。

 忽略：如您认为此条告警不会构成威胁也可进行忽略，忽略本次告警后，当相同告警再次发生将再次告警。

 误报：支持加入误报，加入误报后，当相同告警再次发生时将再次告警。

 已线下处理：如您未通过 CPW 威胁告警解决了此问题，可选择已线下处理此事件。

2.6.4.4 文件隔离箱

1. 文件隔离箱简介

病毒木马文件隔离后可在文件隔离箱管理，您可以在文件隔离箱查看已隔离的文件路径，也可以在列表中恢复已隔离的文件。被成功隔离的文件在 30 天内可恢复，过期系统自动清除。

2. 管理文件隔离箱

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 单击“文件隔离箱”查看隔离列表。

 批量恢复：勾选多个资产，单击下方“恢复”可批量恢复文件。

 单个恢复：单击单个资产对应操作列的“恢复”，可恢复此资产对应路径下隔离的文件。

2.6.5.1 进程异常行为简介

进程异常行为是指实时监控容器或主机内所有异常进程执行的行为，告警包括访问恶意下载源、代理软件调用、清理痕迹、信息收集、后门进程、可疑命令、操作敏感文件、agent 威胁操作、修改关键文件、渗透常用工具、远程文件执行、进程异常写文件。

您可以在检测规则-异常进程行为中查看内置的规则项，也可以进行自定义添加。

2.6.5.2 查看进程异常行为告警

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 在筛选栏选择告警类型为“进程异常行为”查看告警列表。

(5) 单击某个告警对应操作列的“详情与建议”，查看详细信息。

可在进程异常行为告警的详情与建议窗口查看告警类型、发生的时间、进程名、进程 ID、进程路径、父进程 ID、父进程路径、匹配详情、异常行为描述、进程链、修复建议等信息，进行具体排查、处理。

2.6.5.3 进程异常行为告警处理

在进程异常行为告警的详情与建议窗口单击“告警处理”对此事件进行处理。

 加白：如经过业务方确认为正常行为，可以将匹配到的命令加入白名单，加入策略白名单后，当再次发生相同告警时将不再告警，请谨慎操作。

注意：加入白名单时若应用范围选择所有资产，将对所有服务器添加白名单策略，请谨慎操作。

 忽略：如您认为此条告警不会构成威胁也可进行忽略，忽略本次告警后，当相同告警再次发生将再次告警。

 误报：支持加入误报，加入误报后，当相同告警再次发生时将再次告警。

 已线下处理：如您未通过 CPW 威胁告警解决了此问题，可选择已线下处理此事件。

2.6.6.2 查看横向移动告警

前提条件

您需要在手动添加蜜罐端口，具体步骤请参见检测规则-横向移动。

操作步骤

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 在筛选栏选择告警类型为“横向移动”查看告警列表。

(5) 单击某个告警对应操作列的“详情与建议”，查看详细信息。

可在横向移动告警的详情与建议窗口查看攻击时间、攻击者 IP、蜜罐端口、攻击拓扑图、Top10 攻击报文等信息（攻击报文支持下载），进行具体排查、处理。

2.6.6.3 横向移动告警处理

在横向移动告警的详情与建议窗口单击“告警处理”对此事件进行处理。

 加白：如经过业务方确认此操作为测试行为或业务行为，可以将此攻击 IP 加入白名单，

加入策略白名单后，当此攻击 IP 再次发生相同告警时将不再告警，请谨慎操作。

注意：加入白名单时若应用范围选择所有资产，将对所有服务器添加白名单策略，请谨慎操作。

 忽略：如您认为此条告警不会构成威胁也可进行忽略，忽略本次告警后，当相同告警再次发生将再次告警。

 误报：支持加入误报，加入误报后，当相同告警再次发生时将再次告警。

 已线下处理：如您未通过 CPW 威胁告警解决了此问题，可选择已线下处理此事件。

2.6.7.1 网页木马简介

云工作负载安全产品可以对 Web 目录下的文件内容进行检测，发现是否存在有 web 后门文件。若发现存在后门文件，则会在威胁检测中告警，包括 JSP 木马、PHP 木马等。

2.6.7.2 查看网页木马告警

前提条件

您需要先设置扫描规则，具体步骤请参见检测规则-网页木马。

操作步骤

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 在筛选栏选择告警类型为“网页木马”查看告警列表。

(5) 单击某个告警对应操作列的“详情与建议”，查看详细信息。

可在网页木马告警的详情与建议窗口查看攻击时间、木马类型、文件访问权限、文件 MD5、文件修改时间、最近访问时间、异常行为描述、修复建议等信息，进行具体排查、处理。

2.6.7.3 网页木马告警处理

在网页木马告警的详情与建议窗口单击“告警处理”对此事件进行处理。

 加白：如经过业务方确认此操作业务方需要的文件，可以将文件 MD5 加入白名单，加入策略白名单后，当此文件再次触发告警时将不再告警，请谨慎操作。

注意：加入白名单时若应用范围选择所有资产，将对所有服务器添加白名单策略，请谨慎

操作。

 忽略：如您认为此条告警不会构成威胁也可进行忽略，忽略本次告警后，当相同告警再次发生将再次告警。

 误报：支持加入误报，加入误报后，当相同告警再次发生时将再次告警。

 已线下处理：如您未通过 CPW 威胁告警解决了此问题，可选择已线下处理此事件。

2.6.8.1 异常登录简介

云工作负载安全产品支持暴力破解告警、异地登录告警、异常时间登录告警、异常账号登录告警以及异常 IP 登录告警。

2.6.8.2 查看异常登录告警

前提条件

您需要先设置爆破规则、合法登录规则，具体步骤请参见检测规则-异常登录。

操作步骤

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 在筛选栏选择告警类型为“异常登录”查看告警列表。

(5) 单击某个告警对应操作列的“详情与建议”，查看详细信息。

可在异常登录告警的详情与建议窗口查看攻击时间、攻击 IP、攻击者 IP 所在地、登录账号、登录端口、最近访问时间、异常行为描述、修复建议等信息，进行具体排查、处理。

2.6.8.3 异常登录告警处理

在异常登录告警的详情与建议窗口单击“告警处理”对此告警进行处理。

 加白：如经过业务方确认此攻击 IP 为可信任 IP，可以将攻击 IP 加入白名单，加入策略白

名单后，当此 IP 文件再次触发告警时将不再告警，请谨慎操作。

注意：加入白名单时若应用范围选择所有资产，将对所有服务器添加白名单策略，请谨慎操作。

 忽略：如您认为此条告警不会构成威胁也可进行忽略，忽略本次告警后，当相同告警再次发生将再次告警。

 误报：支持加入误报，加入误报后，当相同告警再次发生时将再次告警。

 已线下处理：如您未通过 CPW 威胁告警解决了此问题，可选择已线下处理此事件。

2.6.9.1 网络异常行为简介

云工作负载安全产品通过实时采集客户端 DNS、socket 对外连接数据，与商业威胁情报匹配完成网络异常行为发现功能，其中包括但不限于矿池通讯行为、访问恶意域名、APT 活动事件等异常网络行为。除了默认规则外，也可以根据用户真实场景在检测规则-网络异常行为自定义检测规则。

2.6.9.2 查看网络异常行为告警

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 在筛选栏选择告警类型为“网络异常行为”查看告警列表。

(5) 单击某个告警对应操作列的“详情与建议”，查看详细信息。

可在网络异常行为告警的详情与建议窗口查看发生时间、风险域名、情报标签、进程 ID、进程名、父进程 ID、父进程名、异常行为描述、修复建议等信息，进行具体排查、处理。

2.6.9.3 网络异常行为告警处理

在网络异常行为告警的详情与建议窗口单击“告警处理”对此告警进行处理。

 加白：如经过业务方确认此域名为信任域名，可以将域名加入白名单，加入策略白名单后，当再次触发相同告警时将不再告警，请谨慎操作。

注意：加入白名单时若应用范围选择所有资产，将对所有服务器添加白名单策略，请谨慎操作。

 忽略：如您认为此条告警不会构成威胁也可进行忽略，忽略本次告警后，当相同告警再次发生将再次告警。

 误报：支持加入误报，加入误报后，当相同告警再次发生时将再次告警。

 已线下处理：如您未通过 CPW 威胁告警解决了此问题，可选择已线下处理此事件。

2.6.10.1 持久化后门简介

云工作负载安全产品支持检测服务器中存在的持久化后门，如果发现持久化后门将触发告警，包括恶意启动项、SSH 免登录 key 后门、后门账户等。

2.6.10.2 查看持久化后门告警

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 在筛选栏选择告警类型为“持久化后门”查看告警列表。

(5) 单击某个告警对应操作列的“详情与建议”，查看详细信息。

可在持久化后门告警的详情与建议窗口查看发生时间、匹配详情、后门路径、异常行为描述、修复建议等信息，进行具体排查、处理。

2.6.10.3 持久化后门告警处理

在持久化后门告警的详情与建议窗口单击“告警处理”对此告警进行处理。

 加白：如经过业务方确认信任，可以将规则加入白名单，加入策略白名单后，当再次触发相同告警时将不再告警，请谨慎操作。

注意：加入白名单时若应用范围选择所有资产，将对所有服务器添加白名单策略，请谨慎

操作。

 忽略：如您认为此条告警不会构成威胁也可进行忽略，忽略本次告警后，当相同告警再次发生将再次告警。

 误报：支持加入误报，加入误报后，当相同告警再次发生时将再次告警。

 已线下处理：如您未通过 CPW 威胁告警解决了此问题，可选择已线下处理此事件。

2.7.1.1 主动防御

任务简介

开启后，云工作负载安全 CWP 将自动隔离发现的病毒木马文件（关闭该进程并且自动隔离进程源文件），如果需要对自动隔离的文件恢复，请在文件隔离箱中恢复。请谨慎开启该功能，建议在重

保场景使用。

操作步骤

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“设置”，进入设置页面。

(4) 在基础设置页面的主动防御区域，单击开关进行开启。

2.7.1.2 防护模式管理

任务简介

您可以在这里设置容器防火墙学习模式到监控模式的时间，以及监控模式到阻断模式的时间。

• 从学习模式到监控模式的条件，至少组内有一个活跃的 Pod 学习全部网络和进程活动所需要的时间。 例如，如果设置为 7 天，则一个组里运行的 Pod 在检测到 7 天后，模式切换到监控模式。 最少 1 个小时，最大 30 天。

• 从监控模式到阻断模式的条件，在一段时间内没有安全事件，例如，如果设置为 14 天，如果14 天没有安全事件，模式自动升级到阻断模式，如果组内没有运行的 Pod，升级将不会发生。最少 1 个小时，最大 30 天。

操作步骤

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“设置”，进入设置页面。

(4) 在基础设置页面的防护模式管理区域，调整学习模式到监控模式的时间，以及监控模式到阻断模式的时间。

限制与指导

• 中国电子云物理服务器默认安装了 Agent。

• 目前 Agent 支持的操作系统包括：CentOS7.*、CentOS8.*、麒麟 V10SP1、CCLinux。

操作步骤

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“设置”，进入设置页面。

(4) 单击“插件安装”页签，单击“复制命令”，并在 Linux 服务器上使用复制的命令进行插件安装。

2.7.3.1 设置

任务简介

您可以通过此功能升级规则库。

操作步骤

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“设置”，进入设置页面。

(4) 单击“系统升级”页签，并单击“设置”，弹出防护设置对话框。

(5) 根据下表中的参数信息进行参数配置。

(6) 单击“确定”，保存设置。

(7) 规则库升级完成后可以在升级记录中查看升级内容、升级结果和升级时间。

2.7.3.2 Agent 版本管理

任务简介

您可以通过此功能上传 CWP Agent 升级包、TCS Agent 升级包。

• CWP Agent 升级包上传后，可在租户侧“资产中心 > 资产详情”中单击“更多 > 换版本”切换 Agent 版本。

• TCSAgent升级包上传后，可在云安全中心SOC中切换TCSAgent版本。具体操作参考《云安全中心 SOC 用户指南.docx》。

操作步骤

(1) 登录中国电子云统一管理平台。

(2) 单击“云工作负载安全”，进入云工作负载安全 CWP 控制台。

(3) 单击左侧导航栏的“设置”，进入设置页面。

(4) 单击“系统升级”页签，并单击“上传新版本”。

(5) 在弹出的对话框中拖入升级包，并单击“确定”完成上传 Agent 升级包操作。

(6) 上传完成后，在 Agent 版本管理列表中展示。

包类型为 TCS 为 TCS Agent 升级包，包类型为 CWP 即为 CWP Agent 升级包。

当您不再需要对应 Agent 包时，可单击目标版本操作列的“删除”。删除不会影响已更换版本的客户端。