文档中心

云工作负载安全CWP用户指南

最近更新时间：

2 操作指南

2.1 威胁概览

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“威胁概览”，进入威胁概览页面。
(3) 您可以在威胁概览页面可查看安全评分、风险资产概览及风险发展趋势、待处理告警事件、待处理漏洞、基线等统计数据。
安全评分：根据当天产生的待处理告警计算安全评分并给出分险等级以及风险建议说明。
安全状态

− 告警事件：展示今日待处理安全告警、安全事件数量，并可以对事件等级（严重、可疑、提醒）进行过滤。
− 漏洞：展示今日待处理服务器漏洞、集群漏洞、容器漏洞的数量，并可以根据漏洞等级进行筛选（紧急、高危、中危）。
− 基线：展示今日待处理基线（服务器基线、集群基线、容器基线）。
− 处置发展趋势：可展示近 7 天、近 30 天安全告警、安全事件、服务器漏洞、容器镜像漏洞、容器基线、服务器基线的事件总量以及待处理事件的数量。

2.2 实例管理

2.2.1 开通

任务简介
您可以在购买 ECS 时，勾选安全加固，勾选后会为云服务器会加载基础安全组件，即 CWP 客户端Agent。会免费提供威胁概览、资产管理、入侵检测、主机登录异常告警等安全功能。

免费版具体功能包括如下：
• 威胁概览
• 资产中心
服务器：资产中心提供了所有服务器的安全状态相关信息，例如服务器的防护状态、分组、地域等统计信息。
• 入侵检测
网页木马：免费版仅支持本地匹配 Webshell 检测，不支持 PHP、JAVA 语义分析。
暴力破解
异常登录
• 设置
基础设置
插件安装
备注：没有提到的功能模块，免费版无法访问。
如果您需要升级为标准版、防病毒版或者开通增值服务-网页防篡改来保障云服务器 ECS 业务的安全性，您可以在实例管理中开通服务。
下面介绍如何在实例管理中开通标准版、防病毒版及增值服务-网页防篡改。

限制与指导
Agent 插件安装后才能对您的云服务器提供防护以及收集资产指纹信息。如您的 ECS 实例未在购买 ECS 时勾选安全加固，请及时安装 Agent。具体操作步骤请参见插件安装。

操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。

(2) 单击左侧导航栏的“实例管理”，进入实例管理页面。
(3) 单击“开通”，进入购买页面。

(4) 根据下表参数说明配置参数信息。

(5) 确认配置信息无误后，根据页面显示，进行如下操作：
单击“立即开通”，并单击“前往控制台”，即可查看开通的云工作负载安全 CWP 实例。
单击“立即申请”，待管理员通过审批后，即可开通云工作负载安全 CWP。
单击“立即支付”，选择支付方式，并单击“确认付款”后，即可开通云工作负载安全CWP。

2.2.2 续费

限制与指导
• 仅包周期计费模式需要续费。
• 未过期资源，续费操作成功后会在当前周期结束后生效。
• 已过期的资源，新续费周期从过期时间开始计算。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“实例管理”，进入实例管理页面。
(3) 单击实例操作列的“续费”进入产品续费页面。

(4) 确认信息无误后，根据页面显示，进行如下操作：
单击“立即申请”，待管理员通过审批后，即可完成续费操作。
单击“立即支付”，选择支付方式，并单击“确认付款”后，即可完成续费操作。

2.2.3 扩容

限制与指导
• 不支持对安全产品的降配操作。
• 扩容过程中，请勿对安全产品进行配置修改。
• 扩容不影响现有安全产品配置。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“实例管理”，进入实例管理页面。
(3) 单击实例操作列的“扩容”，进入产品扩容页面。

(4) 根据需要，配置对应的扩容后授权数，并单击“下一步”，进入确认配置页面。

(5) 确认变更后的授权数无误后，根据页面显示，进行如下操作：
单击“立即开通”，并单击“前往控制台”，即可查看已扩容的实例。
单击“立即申请”，待管理员通过审批后，即可完成扩容操作。
单击“立即支付”，选择支付方式，并单击“确认付款”后，即可完成扩容操作。

2.2.4 退订/释放

任务简介
根据您的计费模式不同，界面显示也有所不同，包周期计费模式下显示退订，按需计费模式下显示释放。
操作步骤（包周期计费模式退订 CWP）
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“实例管理”，进入实例管理页面。
(3) 单击实例操作列的“退订”，进入退订页面。

(4) 确认要退订实例、退订原因、退款金额等信息，并勾选“我已确认本次退订金额和相关费用”后，单击“退订”，根据页面显示，可进行如下操作：
在弹出的确认窗口中，单击“确定”，待管理员通过审批后，即可完成退订。
在弹出的确认窗口中，进行手机号或邮箱验证后，单击“确定”，即可完成退订。

操作步骤（按需计费模式释放 CWP）
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“实例管理”，进入实例管理页面。
(3) 单击实例操作列的“释放”，确认释放后，单击“确定”完成释放操作。

按需计费下，当您的账户欠费时，系统将回收所有授权数，实例状态为“已欠费”，实例管理页面仅能执行释放实例操作。只有给账户充值后，才能恢复授权数，并进行其他实例操作。

2.3 资产中心

2.3.1 资产详情

2.3.1.1 概述
资产中心页面从资产的类型、防护状态、风险状态等维度分别展示安全资产的对应信息。其功能包含：
• 资产同步：同步云服务器资产信息，包括主机唯一标识、IP 地址、操作系统、主机名称、弹性公网 IP 等。
• 资产查询展示：查询展示云服务器相关资产名称、资产 ID、资产状态、IP 地址、操作系统、授权状态、保护状态、风险状态等。
• 资产分组和换组：通过创建分组、更换组别，将接入的资产进行分组管理。
• 切换服务规格：修改目标资产的基础服务授权规格、日志审计授权规格和漏洞扫描授权规格。
• 切换版本：即升级 Agent。
• 查看资产指纹信息：通过“详情”跳转至单一资产的指纹信息页面，可查看该资产的进程、端口、软件、账号、计划任务、中间件（Web 服务器、数据库、Jar 包）等。

2.3.1.2 同步资产
任务简介
通过“同步资产”可将云服务器资产信息（主机唯一标识、IP 地址、操作系统、主机名称、弹性公网 IP 等）同步到最新状态。
限制与指导
资产同步功默认 2 小时自动同步一次，如用户想尽快得到最新结果，可手动单击“同步资产”。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“资产中心 > 资产详情”，进入资产详情页面。
(3) 单击“同步资产” ，即可同步最新的云服务器资产信息。

2.3.1.3 查询资产
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 服务页面。
(2) 进入“资产中心 > 资产详情 > 服务器”页面。
(3) 选择“资产分组”，在下拉菜单中选择查询类型，输入相关值，查询目标资产。

2.3.1.4 资产分组管理
任务简介
您可以通过创建分组，将接入的资产进行分组管理；并通过“换组”，为自定义分组添加资产。
新建分组
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“资产中心 > 资产详情”，进入资产详情页面。
(3) 单击“新建分组”，弹出新建分组对话框。

(4) 在弹出的对话框中设置组名称、描述等信息后，单击“确定”，创建成功。
创建成功的分组显示在“资产分组”列表中。

新建子分组

选择自定义的分组，单击，在下拉选项中选择“添加子分组”，弹出“新建分组”对话框，设置组名称、描述等信息后，单击“确定”，创建成功。创建成功的分组显示在“资产分组”列表中。

为自定义分组添加资产
选择目标资产，单击右侧的“换组”，在弹出的“换组”对话框中，选择已有的自定义分组，即可将该资产添加到分组中。

删除或编辑自定义分组
选择目标分组，单击，在下拉选项中选择“删除分组”或“编辑分组”，在弹出的对话框中确认即可。

2.3.1.5 配置资产信息
您可以通过“编辑”配置资产的来源、等级、编号、归属人等信息。
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 进入“资产中心 > 资产详情 > 服务器”页面。
(3) 单击目标资产操作列的“编辑”，弹出“编辑”对话框。
(4) 在“编辑”对话框中配置资产等级、归属人信息、资产来源、固定资产编号等信息。

2.3.1.6 切换服务规格
任务简介
您可以通过“切换规格”修改目标资产的基础服务授权规格、增值服务授权规格。

操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 进入“资产中心 > 资产详情 > 服务器”页面。
(3) 单击目标资产操作列的“更多 > 换规格”，弹出“切换规格”对话框。
(4) 修改资产的基础服务授权规格、网页防篡改扩展包授权规格后，保存即可。

参数说明

2.3.1.7 切换版本（Agent 升级）
任务简介
通过“换版本”操作，升级 Agent。
前提条件
您需要登录 CECSTACK 统一管理平台，在云工作负载安全 CWP 上传 Agent 升级包。操作如下：
(1) 登录 CECSTACK 统一管理平台。
(2) 在统一管理平台页面单击“云工作负载安全”图标，进入云工作负载安全 CWP 控制台页面。

(3) 进入“设置 > 系统升级”页面，在 Agent 版本管理区域，单击“上传新版本”。

(4) 在弹出的“防护设置”对话框，单击“上传”导入 Agent 升级包，Agent 升级包导入成功后，单击“确定”，上传完成。

Agent 升级
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“资产中心 > 资产详情”，进入资产中心页面。
(3) 选择要升级的 Agent，单击操作列的“更多 > 换版本”，弹出“切换客户端版本”对话框。

(4) 选择要升级的目标版本，单击“保存”，等待 Agent 升级。

查看升级状态
(1) “换版本”显示为灰色不可操作时，表示正在升级中；“换版本”显示为蓝色可操作时，表示升级完成。
(2) 单击右上角的，勾选“版本”，资产详情列表页面显示版本状态列。

(3) 单击版本状态的，查看升级记录；可在升级结果列查看是否升级成功。
如果升级失败，系统自动回退到最近一个可用版本；如果升级成功，Agent 自动重启。

2.3.1.8 查看风险资产详情
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“资产中心 > 资产详情”，进入资产中心页面。
(3) 单击资产列表中的“存在风险”，自动跳转至“威胁检测”页面，并可对其告警处理。

2.3.1.9 查看单一资产指纹信息
您可以通过“详情”跳转至单一资产的指纹信息页面，可查看该资产的进程、端口、软件、账号、计划任务、中间件（Web 服务器、数据库、Jar 包）等。
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 进入“资产中心 > 资产详情 > 服务器”页面。
(3) 单击目标资产操作列的“详情”，进入“指纹信息”页面。
(4) 在“指纹信息”页面，您可以查看配置该资产的进程、端口、软件、账号、计划任务、中间件（Web 服务器、数据库、Jar 包）等。

2.3.2 资产指纹

2.3.2.1 资产指纹简介
根据客户端上报的资产，聚合展示全网资产指纹，服务器收集资产指纹包括进程、端口、软件、账号、计划任务、中间件（Web 服务器、数据库、Jar 包）。

2.3.2.2 采集配置
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“资产中心 > 资产指纹”，进入资产指纹页面。
(3) 单击“采集配置”，弹出采集配置对话框。
(4) 可根据需要设置收集频率，完成后单击“确定”。

2.3.2.3 导出资产指纹
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“资产中心 > 资产指纹”，进入资产指纹页面。
(3) 根据需要搜索资产指纹。

(4) 单击，可导出当前筛选出来的资产指纹。

也可以单击左侧信息快速筛选。

2.4 策略中心

2.4.1 检测规则-异常进程行为

2.4.1.1 异常进程行为简介
您可以新建进程链规则，进程链规则包括自定义规则与系统规则，系统规则为系统内置的，无法选择是否启用，但您可以选择是否启用自定义规则，当规则触发告警后，将在威胁检测展示，类型为进程异常行为。
2.4.1.2 新建进程链规则
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“策略中心 > 检测规则 > 进程链规则”，进入进程链规则列表页面。

(3) 单击“新建规则”，进入新建规则页面。

(4) 根据下表中的参数说明配置参数信息，完成后单击“确认”。

2.4.1.3 管理进程链规则
在进程链规则页：
• 单击下拉框选择查询条件，包括规则名称、规则 ID、策略类型，输入对应信息查询规则。

• 单击目标自定义规则操作列的“编辑”，修改该自定义规则。

• 单击目标自定义规则操作列的“删除”，删除该定义规则。

• 单击策略状态栏的控制策略的启用或停用。

停用状态：

启用状态：

2.4.2 检测规则-网络异常行为

2.4.2.1 新建域名规则
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“策略中心 > 检测规则 > 域名规则”，进入域名规则列表页面。

(3) 单击“新建规则”，进入新建规则页面。

(4) 根据下表中的参数说明配置参数，完成后单击“确认”。

2.4.2.2 管理域名规则
在域名规则页面：
• 单击下拉框选择查询条件，包括规则名称、规则 ID，输入对应信息查询规则。

• 单击目标自定义规则操作列的“编辑”，可对此自定义规则进行修改。

• 单击目标自定义规则操作列的“删除”，删除该定义规则（注意只能在策略关闭状态下删除策略）。

• 单击全局策略状态的控制全局策略启用或停用。

停用状态：

启用状态：

• 单击策略状态栏的控制单条策略的启用或停用，注意启用单条策略前请先开启全局策略状态。

2.4.3 检测规则-合规基线

2.4.3.1 合规基线简介
您可以使用合规基线创建基线扫描策略，发现服务器风险点并根据修复建议加固服务器并满足安全合规要求。租户侧基线类型包括 CECloudLinux 操作系统最佳实践、Linux 操作系统等保三级、Linux操作系统等保二级，基线扫描完成后可以在合规基线查看基线扫描结果，支持定时扫描策略。
2.4.3.2 新建基线扫描策略
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“策略中心 > 检测规则 > 基线扫描”，进入基线扫描列表页面。

(3) 单击“新建”，弹出新建策略窗口。

(4) 根据下表中的参数说明配置参数信息，完成后单击“确定”。

2.4.3.3 管理基线扫描策略
• 单击目标策略状态的，开启或关闭该策略。

• 单击目标策略对应操作列的“编辑”，修改该策略。

• 单击目标策略对应操作列的“删除”，删除该策略。

2.4.4 检测规则-网页木马

2.4.4.1 全局扫描设置
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“策略中心 > 检测规则 > 自定义扫描”，进入网页木马设置页面。

(3) 在全局扫描设置区域，单击“设置”，弹出扫描设置窗口。

(4) 根据下表中的参数说明配置参数，完成后单击“确定”。

2.4.4.2 自定义 Web 目录设置
1. 添加自定义扫描目录
前提条件
开启 Web 后门动态监控。
限制与指导
监控目录层级最多为 5 级。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“策略中心 > 检测规则 > 自定义扫描”，进入网页木马设置页面。

(3) 在 Web 目录设置区域，单击“新建”，弹出扫描设置窗口。

(4) 在扫描设置窗口，输入需要自定义的监控目录、添加监控对象。

(5) 单击“确定”完成添加。
2. 管理自定义 Web 目录
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“策略中心 > 检测规则 > 自定义扫描”，进入网页木马设置页面。
(3) 您可以在 Web 目录设置区域，查看添加的监控

当监控目录不存在时，状态会显示“异常”，单击“异常”可查看具体的异常信息。
单击目标监控目录操作列的“编辑”，修改监控对象。
单击目标监控目录操作列的“删除”，可删除此监控目录。

2.4.5 检测规则-异常登录

2.4.5.1 添加爆破规则
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“策略中心 > 检测规则 > 爆破规则”，进入暴破规则列表页面。

(3) 单击“添加”，弹出新建策略对话框。

(4) 根据下表中的参数说明配置参数信息，完成后单击“确定”。

2.4.5.2 管理爆破规则
• 单击可开启或关闭暴力破解功能。至少添加一条暴力破解检测策略，才可开启此功能

• 单击爆破规则操作列的“编辑”，编辑该爆破规则。

• 单击爆破规则操作列的“删除”，删除该爆破规则。

2.4.5.3 合法登录设置
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“策略中心 > 检测规则 > 合法登录设置”，进入合法登录设置页面。
常用地址设置：在常用地址设置区域，单击“添加”，设置完成后，单击“确定”。

常用 IP 设置：在常用 IP 设置区域，单击“添加”，设置完成后单击“确定”。

常用时间段设置：在常用时间段设置区域，单击“添加”，设置完成后单击“确定”。

常用账号设置：在常用账号设置区域，单击“添加”，设置完成后单击“确定”。

2.4.5.4 管理合法登录设置
• 根据需要单击每项设置中的，开启或关闭对应检测。

• 单击目标设置操作列的“编辑”，可对该设置进行修改。

• 单击目标设置操作列的“删除”，可删除该设置。

2.4.6 策略白名单

2.4.6.1 策略白名单简介
云工作负载安全 CWP 支持设置策略白名单，将告警加入到策略白名单后，当再次发生相同告警时将不再告警，您也可以在威胁检测中进行加白操作。
2.4.6.2 新增策略白名单
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“策略中心 > 策略白名单”，进入策略白名单页面。
(3) 单击“新增”，弹出新建策略对话框。

(4) 根据下表中的参数说明配置参数信息后，单击“确定”。

2.4.6.3 删除策略白名单
单击处于关闭状态的目标策略操作列的“删除”，可删除该策略。

2.5 安全防范

2.5.1 漏洞管理

2.5.1.1 漏洞管理简介
云工作负载安全产品支持对系统中存在的高危系统漏洞、应用漏洞进行检测和识别，并提供漏洞修复方案。
2.5.1.2 服务器漏洞
1. 执行扫描任务
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“安全防范 > 漏洞管理”，进入漏洞管理页面。
单击“Linux 系统漏洞”页签，并单击“立刻扫描”，执行 Linux 系统漏洞扫描任务。

单击“应用漏洞”页签，并单击“立刻扫描”，执行应用漏洞扫描任务。

2. 管理扫描结果
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“安全防范 > 漏洞管理”，进入漏洞管理页面。
• 在 Linux 系统漏洞页签下查看 Linux 系统漏洞扫描结果。
在漏洞维度页签可进行如下操作：
− 您可以通过漏洞公告、CVE 编号、漏洞等级、漏洞特征等条件快速筛选。

− 漏洞公告详情：单击漏洞公告名称，进入漏洞公告详情页面，您可以在此页面进行漏洞描述、漏洞详情、修复建议查看以及对此漏洞影响的资产进行修复、验证、详情查看等操作。

− 加入漏洞公告白名单：您可以批量勾选漏洞公告，单击“加入漏洞公告白名单”。

− 漏洞公告白名单：您可以单击“漏洞公告白名单”管理白名单列表，可以在漏洞公告白名单列表删除已加入的漏洞白名单。

− 修复：您可以单击漏洞公告对应操作列的“修复”，修复此漏洞。此操作是针对重要业务服务器进行内核漏洞修复，请做好备份后，再执行。

− 批量修复：您可以批量勾选漏洞公告，单击“批量修复”，可实现批量修复漏洞。此操作是针对重要业务服务器进行内核漏洞修复，请做好备份后，再执行。

− 导出：单击可导出漏洞列表。

在服务器维度页签可进行如下操作：
− 您可以通过资产名称、资产 ID 等条件快速筛选。

− 影响资产详情：单击资产 ID 链接，进入影响资产详情页面，您可以在此页面查看此资产中存在的漏洞。可对此资产扫描到的漏洞进行修复或批量操作。

− 加入服务器白名单：您可以批量受影响的资产，单击“加入服务器白名单”。

− 服务器白名单：您可以单击“服务器白名单”管理白名单列表，可以在服务器白名单添加或删除服务器白名单。

− 修复：您可以单击受影响资产对应操作列的“修复”，修复此服务器上的漏洞。此操作是针对重要业务服务器进行内核漏洞修复，请做好备份后，再执行。

− 批量修复：您可以批量勾选受影响资产，单击“批量修复”，可实现批量修复漏洞。此操作是针对重要业务服务器进行内核漏洞修复，请做好备份后，再执行。

− 验证：单击受影响资产对应操作列的“验证”可进行验证操作。

− 导出：单击可导出漏洞列表。

• 在应用漏洞页签下查看应用漏洞扫描结果。

您可以通过漏洞公告、CVE 编号、漏洞等级、漏洞特征等条件快速筛选。

导出：单击可导出应用漏洞列表。

2.5.2 合规基线

任务简介
您可以在基线扫描完成后查看基线合规情况，包括检查结果、检查项列表、检查项详情等。
前提条件
已完成一次基线扫描。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“安全防范 > 合规基线”，进入合规基线页面。
(3) 单击下拉列表选择基线扫描策略名称。

(4) 单击“查看详情”进入详情页面。
筛选：您可以在详情页面单击下拉列表根据分类、检查项、重要程度、检查结果进行筛选。
导出：您可以在详情页面将筛选后的检查项进行导出。

详情：您可以在详情页面单击“详情”，在详情页面查看此检查项的描述信息、加固方法、修复建议等信息，加固完成后，可单击“验证”。

忽略：检查项支持忽略、取消忽略。

验证/全部验证：支持手工单项检查项验证、全局验证。

2.6 威胁检测

2.6.1 威胁检测简介

业务部署在互联网上，时刻都面临专业黑客的日常渗透和自动化的恶意攻击，企业总是后知后觉，无法做到有效的预警和响应，导致企业数据被窃取或服务中断。威胁检测功能展示了该账号下所有的风险资产的告警事件。云工作负载安全产品的威胁检测功能展示了该账号下所有的风险资产的告警事件。告警类型包括进程异常行为、反弹 shell、网页木马、暴力破解、异常登录、病毒木马、网络异常行为、永久后门等，覆盖 100+检测点。您可以在威胁检测页面查看告警事件。

2.6.2 筛选功能介绍

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。
(3) 单击下拉框择查询条件，选择查询条件。

(4) 输入查询信息，单击进行查询。
可以单击“近一天”、“近七天”、“近 14 天”、“近 30 天”等进行时间的筛选。
单击可以自定义选择时间段。
单击图表支持下钻。

2.6.3 反弹 shell

2.6.3.1 反弹 shell 简介
云工作负载安全产品实时监控容器、主机内所有利用 shell 进行反向连接的行为，当有反向连接行为发生时，云工作负载安全产品将及时告警。反弹 shell 告警类型包括 Linux 工具反弹 shell、编程语言反弹 shell、BASH 反弹 shell，您也可以在检测规则-异常进程行为自定义反弹 shell 规则。
2.6.3.2 查看反弹 shell 告警
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。
(3) 在筛选栏选择告警类型为“反弹 shell”，查看告警列表。

(4) 单击反弹 shell 告警操作列的“详情与建议”，显示告警的详细信息。

可在反弹 shell 告警的详情与建议窗口查看反弹 shell 告警发生的时间、触发的反弹 shell 类型、进程名、进程 ID、进程路径、匹配详情、异常行为描述等信息研判此操作是否为业务行为或应用，必要时请登录服务器进行排查。
2.6.3.3 反弹 shell 告警处理
在反弹 shell 告警的详情与建议窗口，单击“告警处理”对此事件进行处理。

加白：如经过业务方确认为正常应用，可以选择根据加白规则（反弹 shell 的类型不同加白规则也会不同）加入白名单，加入策略白名单后，当再次发生相同告警时将不再告警，
请谨慎操作。

鼠标停留在命令行上可查看完整命令。已加白的事件可以在“策略中心 > 策略白名单”中查看。加入白名单时若应用范围选择所有资产，将对所有服务器添加白名单策略，请谨慎操作。
忽略：如您认为此条告警不会构成威胁也可进行忽略，忽略本次告警后，当相同告警再次发生将再次告警。
误报：支持加入误报，加入误报后，当相同告警再次发生时将再次告警。
已线下处理：如您未通过 CPW 威胁告警解决了此问题，可选择已线下处理此事件。

2.6.4 病毒木马

2.6.4.1 病毒木马简介
云工作负载安全的病毒木马功能支持对服务器、容器内所有进程文件实时检测、发现病毒文件告警时提供关闭进程、隔离文件、隔离后恢复等处置能力，形成安全闭环。
下表为云工作负载安全产品可检测的病毒木马类型：

2.6.4.2 查看病毒木马告警
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。
(3) 在筛选栏选择告警类型为“病毒木马”查看告警列表。

(4) 单击某个病毒木马告警对应操作列的“详情与建议”，查看详细信息。
可在病毒木马告警的详情与建议窗口查看告警类型、发生时间、木马文件的路径、文件MD5、进程链以及查杀引擎的检测结果、异常行为描述、修复建议等信息进行具体排查、处理。

病毒木马告警的详情与建议窗口支持下载病毒样本。

2.6.4.3 病毒木马告警处理
在病毒木马告警的详情与建议窗口单击“告警处理”对此事件进行处理。

防御：当发现病毒木马告警并确认后可以结束该进程运行、隔离该进程文件，恶意病毒样本隔离后 30 天内在文件隔离箱还原。
加白：可以选择将病毒文件 MD5 值加入白名单，加入策略白名单后，当再次发生相同告警时将不再告警。已加白的策略可以在“策略中心 > 策略白名单”中查看。
注意：加入白名单时若应用范围选择所有资产，将对所有服务器添加白名单策略，请谨慎操作。
忽略：如您认为此条告警不会构成威胁也可进行忽略，忽略本次告警后，当相同告警再次发生将再次告警。
误报：支持加入误报，加入误报后，当相同告警再次发生时将再次告警。
已线下处理：如您未通过 CPW 威胁告警解决了此问题，可选择已线下处理此事件。

2.6.4.4 文件隔离箱
1. 文件隔离箱简介
病毒木马文件隔离后可在文件隔离箱管理，您可以在文件隔离箱查看已隔离的文件路径，也可以在列表中恢复已隔离的文件。被成功隔离的文件在 30 天内可恢复，过期系统自动清除。
2. 管理文件隔离箱
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。
(3) 单击“文件隔离箱”查看隔离列表。

批量恢复：勾选多个资产，单击下方“恢复”可批量恢复文件。

单个恢复：单击单个资产对应操作列的“恢复”，可恢复此资产对应路径下隔离的文件。

2.6.5 进程异常行为

2.6.5.1 进程异常行为简介
进程异常行为是指实时监控容器或主机内所有异常进程执行的行为，告警包括访问恶意下载源、代理软件调用、清理痕迹、信息收集、后门进程、可疑命令、操作敏感文件、agent 威胁操作、修改关键文件、渗透常用工具、远程文件执行、进程异常写文件。
您可以在检测规则-异常进程行为中查看内置的规则项，也可以进行自定义添加。
2.6.5.2 查看进程异常行为告警
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云工作负载安全 CWP”，进入云工作负载安全 CWP 控制台页面。
(2) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。
(3) 在筛选栏选择告警类型为“进程异常行为”查看告警列表。