文档中心

云主机安全CHS用户指南（下）

最近更新时间：

3 资产管理

3.1 虚拟机/终端

在主机页面添加主机后，系统会将主机下所有虚拟机/终端全部展示在虚拟机列表中。为了方便管理员对虚拟机进行管理，虚拟机/终端页面可以对虚拟机进行分组；可以为虚拟机指定安全配置；可以对虚拟机进行安全操作，包括快速扫描、全盘扫描、指定目录扫描、停止扫描、webshell 扫描、安全基线扫描、漏洞扫描、完整性扫描、重新生成完整性基线、隔离失陷主机、取消隔离失陷主机。主机添加成功后，虚拟机页面会显示主机中所有虚拟机信息。包括虚拟机名称、虚拟机状态、虚拟机 IP 地址、部署方式、版本信息、安全配置、所属主机池或项目、所属主机、所属分组、特征库状态和防恶意软件状态。

以下是虚拟机列表中虚拟机状态和和实时防护状态说明：

3.1.1 分组管理

将被管理的计算机进行分组，方便后期管理。可以针对分组定义匹配规则，也可以指定分组来查看实时监控，日志分析，生成报表等。

在多租模式的“所有项目”视图下，不显示分组信息。如果在多租模式进行分组管理，请先切换到对应的项目视图。

默认分组：系统默认创建，虚拟机如果没有匹配上分组规则或没有被指定分组，则全部属于默认分组。

1. 新增

(1) 单击“分组管理 > 新增”。

(2) 在打开的“新增分组”对话框中输入分组名称，单击“确定”，左侧的分组列表中就能显示刚才创建的分组。

2. 修改

(1) 在左侧分组列表选择要修改名称的分组。

(2) 单击“分组管理 > 修改”。

(3) 在打开的“修改分组”对话框中输入分组名称，单击“确定”即可。

3. 指定分组

(1) 选择要指定分组的虚拟机/终端。

(2) 单击“分组管理 > 指定分组”。

在打开的“指定分组”对话框的分组列表中选择某个分组，单击“确定”即可。

虚拟机的分组栏中有小手图标，表示是手动指定的分组。

4. 取消指定

(1) 选择要取消指定分组的虚拟机/终端。

(2) 单击“分组管理 > 取消指定”。

5. 新增分组规则

(1) 在虚拟机/终端页面，单击“分组管理 > 分组规则”。

(2) 在分组规则页面，单击“规则管理 > 新增”。

(3) 在打开的“分组规则”对话框中输入分组规则的名称、描述、选择分组和配置匹配条件。

(4) 单击“确定”。

• 分组规则的匹配条件至少要包括下面的一项：

主机池：虚拟机所在主机池的名称，可以配置多个，多个主机池名称之间用英文的逗号“,”分隔。此条件为单租户模式下使用。

项目：虚拟机所在租户的名称，可以配置多个，多个项目名称之间用英文的逗号“,”分隔。为多租户模式系统管理员视图下使用。多租户模式普通租户视图无法使用项目作为筛选条件。

主机：虚拟机所在主机的名称，可以配置多个，多个主机名称之间用英文的逗号“,”分隔。

虚拟机/终端：虚拟机/终端名称，即资产管理-虚拟机/终端页面虚拟机列表中显示的虚拟机名，可以配置多个，多个虚拟机名称之间用英文的逗号“,”分隔。

虚拟机/终端操作系统：操作系统目前支持 Windows 和 Linux，由用户创建虚拟机指定。

安全组：openstack 虚拟机或 VMware NSX 环境中虚拟机所属的安全组。

• 通过单击来添加匹配条件，单击来删除匹配条件。最多可添加 6 个匹配条件，且不能是同类型的匹配条件。

• 多个匹配条件之间是“与”的关系，即要满足所有匹配条件，才算匹配成功。

• 同一个匹配条件之间的多个值是“或”的关系，只要匹配上其中某个值，即算匹配成功。

6. 删除分组规则

(1) 选择要删除的分组规则。

(2) 单击“规则管理 > 删除”。

(3) 在打开的“删除确认”对话框中，单击“确定”即可。

7. 调整分组规则优先级

分组规则按从上至下的顺序进行匹配，调整分组规则优先级可以改分组规则的匹配结果。

(1) 选择要调整优先级的分组规则。

(2) 单击“调整优先级 > 置顶/上移/下移/置底”。

8. 返回虚拟机/终端列表

在分组规则页面，单击“返回虚拟机/终端列表”，即可返回“虚拟机/终端页面”。

3.1.2 安全策略

1. 默认安全配置

系统中有两种默认安全配置，即 Linux 安全配置、Windows 安全配置。系统会根据虚拟机的操作系统为其自动分配对应的安全配置。

2. 指定安全配置

(1) 在虚拟机列表选中一个或者多个虚拟机。

(2) 单击“安全策略 > 指定安全配置”，在弹出页面选择安全配置，然后确认。

(3) 这些虚拟机将使用指定的安全配置，虚拟机列表的“安全配置”前有一个小图标表示其由手动指定。

3. 重置安全配置

手动指定安全配置后，也可以对指定的安全配置进行重置。

(1) 在虚拟机列表选中一个或者多个虚拟机。

(2) 单击“安全策略 > 重置安全配置”即可。

注意：在 OpenStack 多租户模式下，普通租户视图中才能操作安全配置，系统管理员视图中看不到安全配置。

4. 启停安全功能

(1) 安全功能只有处于激活状态，功能才会生效。

(2) 在虚拟机列表中选中一个或多个虚拟机。

(3) 单击“安全策略 > 启停安全功能”，在弹出页面选择要激活的安全功能，保存。

注意：只有被勾选的安全功能才会激活，没有被勾选的安全功能置关闭状态。

(4) 被启停的安全功能在虚机详情页面中会显示。在“资产管理 > 虚拟机/终端”页面，单击

“虚拟机/终端名称”进入对应的虚拟机详情页面。

注：在 OpenStack 多租户模式下，只有在系统管理视图中才能启停安全功能。

3.1.3 系统更新

1. 更新全部虚拟机/终端

在页面中单击“系统更新 > 更新全部虚拟机/终端”，会为虚拟机列表中所有轻代理虚拟机/终端进行系统更新，更新完成后，所有轻代理虚拟机/终端的版本信息也会相应更新。

2. 更新指定虚拟机/终端

(1) 在虚拟机列表中选择要进行系统更新的轻代理虚拟机/终端。

(2) 单击“系统更新 > 更新指定虚拟机/终端”，系统开始为选中的轻代理虚拟机/终端进行系统更新，更新完成后对应虚拟机/终端的版本信息也会相应更新。

3. 撤销上次更新

(1) 在虚拟机列表中选择要撤销更新的轻代理虚拟机/终端。

(2) 单击“系统更新 > 撤销上次更新”，可以将轻代理虚拟机/终端的配置回滚至最近一次更新之前。

4. 更新指定虚拟机/终端特征库

(1) 在虚拟机列表中，选择要进行特征库更新的轻代理虚拟机/终端。

(2) 单击“系统更新 > 更新指定虚拟机/终端特征库”，系统将开始更新所选虚拟机/终端的特征库，特征库状态栏中会显示“正在更新”，更新完成后状态会显示为“最新”。

3.1.4 安全操作

在虚拟机页面还能够对虚拟机进行安全功能的扫描操作和隔离/取消隔离失陷主机，包括快速扫描、全盘扫描、指定目录扫描、webshell 扫描、漏洞扫描、安全基线扫描、完整性扫描、重新生成完整性基线、隔离失陷主机、取消隔离失陷主机。

1. 快速扫描

(1) 在虚拟机列表选中一个或者多个虚拟机。

(2) 单击“安全操作 > 快速扫描”，系统会开始对指定的虚拟机进行快速扫描，安全检测状态栏中会显示扫描进度。快速扫描的范围主要是 C 盘中的目录，包括：Program Files、Program Files(x86)、Windows、User（或用户）、Document and Settings。

(3) 扫描完成后，会显示扫描结果。

2. 全盘扫描

(1) 在虚拟机列表中选择虚拟机。

(2) 单击“安全操作 > 全盘扫描”，系统会开始对指定的虚拟机进行全盘扫描，实时检测状态栏中会显示扫描进度。全盘扫描的范围是虚拟机中的所有文件。

• 如果想要停止扫描，单击“安全操作 > 停止扫描”即可。

• 如果扫描过程发现病毒，则病毒文件会在虚拟机内部进行隔离。

注意：安全配置可以控制全盘扫描的目录范围。在安全配置防恶意软件的“扫描设置”可以指定扫描的目录。

3. 扫描指定目录

(1) 在虚拟机列表中选择虚拟机。

(2) 单击“安全操作 > 扫描指定目录”，在弹出窗口中填写需要扫描的目录。

(3) 系统会开始对选中虚拟机的指定目录进行扫描，实时检测状态栏中会显示扫描进度。

如果想要停止扫描，单击“安全操作 > 停止扫描”即可。

4. 停止扫描

(1) 在虚拟机列表中选择虚拟机。

(2) 单击“安全操作 > 停止扫描”，系统会开始对指定的扫描中的虚拟机进行停止扫描，停止扫描后虚拟机扫描状态将显示上次扫描完成的时间。

5. Webshell 扫描

(1) 在虚拟机列表中选择虚拟机。

(2) 单击“安全操作 > webshell 扫描”，系统会开始对选中的虚拟机进行 webshell 扫描，虚拟机概况中能显示扫描进度和扫描结果。

6. 漏洞扫描

(1) 在虚拟机列表中选择虚拟机。

(2) 单击“安全操作 > 漏洞扫描”，系统会开始对指定的虚拟机进行漏洞扫描。

7. 安全基线扫描

(1) 在虚拟机列表中选择虚拟机。

(2) 单击“安全操作 > 安全基线扫描”，系统会开始对指定的虚拟机进行安全基线扫描。

8. 完整性扫描

(1) 在虚拟机列表中选择虚拟机。

(2) 单击“安全操作 > 完整性扫描”，系统会开始对指定的虚拟机进行完整性扫描。

注意：完整性扫描之前需先生成完整性基线。

9. 重新生成完整性基线

(1) 在虚拟机列表中选择虚拟机。

(2) 单击“安全操作 > 重新生成完整性基线”，系统会开始对指定的虚拟机重新生成完整性基线。基线生成之后可对虚拟机进行完整性扫描操作。

10. 隔离失陷主机

(1) 在虚拟机列表中选择虚拟机。

(2) 单击“安全操作 > 隔离失陷主机”，系统会开始对指定的虚拟机进行隔离失陷主机操作。

注意：隔离失陷主机需要在失陷检测出攻击行为后，提示需要隔离时才可隔离失陷主机。

11. 取消隔离失陷主机

(1) 在虚拟机列表中选择虚拟机。

(2) 单击“安全操作 > 取消隔离失陷主机”，系统会开始对指定的已隔离虚拟机进行取消隔离失陷主机操作。

3.1.5 安装客户端

(1) 使用 ssh 工具连接有代理主机。

(2) 有主机端使用命令 wget http://X.X.X.X:8080/agent/ics_agent.py 下载安装脚本，X.X.X.X 为控制台页面对应主机安全组件的 IP 地址。

(3) 执行安装脚本，在如下图所示的交互式视图中输入相应的参数。

参数说明：

• Ip address of management center：管理中心 IP。

• host name：主机名，如果不输入则会使用默认值。

• install network module? yes/no [Default yes]：选择是否安装网络模块，默认为 yes。

• Authorization type：授权类型，标准版（standard）、高级版（container），默认为标准版。

(4) 参数输入完成后，主机会从管理中心下载安装包，安装并注册。

(5) 注册成功后，管理中心能够看到该机器，主机状态显示为“已连接”，使用脚本部署的有代理主机会被默认添加至名称为“新注册主机”的主机池中。

(6) “资产管理 > 虚拟机/终端”页面也能够看到该机器，则其实时防护状态正确。

3.1.6 卸载客户端

(1) 在“管理中心 > 资产管理 > 主机”页面，选择有代理主机，单击“删除”，确认删除。

(2) ssh 登录至 linux 有代理主机。

(3) 在命令行中输入命令 rpm -qa|grep ics 或 dpkg -l|grep ics，查看有代理组件。

例：

[root@localhost ~]# rpm -qa|grep ics-agent

ics-agent-common-3.5.4.224-1.x86_64

ics-agent-integrity-3.5.4.224-1.x86_64

ics-agent-file-3.5.4.224-1.x86_64

ics-agent-baseline-3.5.4.224-1.x86_64

ics-agent-net-3.5.4.224-1.x86_64

ics-agent-webshell-3.5.4.224-1.x86_64

ics-agent-antibrute-3.5.4.224-1.x86_64

(4) 使用命令 rpm -e [组件名]或 dpkg -P [组件名]来卸载有代理组件，把 ics-anent 相关文件全部卸载。

例：

[root@localhost ~]# rpm –e ics-agent-integrity

[root@localhost ~]# rpm –e ics-agent-baseline

[root@localhost ~]# rpm –e ics-agent-webshell

[root@localhost ~]# rpm –e ics-agent-antibrute

[root@localhost ~]# rpm –e ics-agent-file

[root@localhost ~]# rpm –e ics-agent-net

[root@localhost ~]# rpm –e ics-agent-common

注：建议按照如上的顺序卸载。

卸载完成后，输入命令rpm -qa|grep ics-agent，查看是否卸载完全。

(5) 删除/opt/nubosh/目录

rm -rf /opt/nubosh/

3.1.7 排序/过滤/搜索

1. 虚拟机列表排序

单击虚拟机列表头中右侧的，可以按照虚拟机/终端名、IP 地址、部署方式、版本信息、安全配置、主机池/项目、主机、分组、特征库状态对虚拟机列表进行排序，方便管理员查看。

2. 虚拟机过滤

虚拟机/终端页面可以根据实时防护状态来对虚拟机进行过滤，方便用户查看。

3. 搜索虚拟机

管理员可以按照虚拟机名、IP 地址、部署方式、版本信息、安全配置、主机池/项目、主机、分组对虚拟机进行搜索。支持模糊匹配、不区分大小写。

3.1.8 虚拟机概况页

在“资产管理 > 虚拟机/终端”，单击“虚拟机/终端名”进入虚拟机概况页面。

查看虚拟机名称、操作系统、IP 地址、主机池/项目、所属主机、部署方式、分组、安全配置、版本信息、特征库状态、windows 轻代理虚拟机/终端还会显示自保护功能状态。下方显示了各功能模块的状态、日志等信息可以针对虚拟机激活各功能模块。

定制安全配置：开关关闭时，继承默认安全配置里面的安全规则。开关打开时，可对此虚拟机进行自定义的策略配置修改，保存后该配置只对此虚拟机有效。

3.1.9 导出所有虚拟机终端/导出选中虚拟机终端

• 单击“导出 > 导出所有虚拟机/终端”，会成功导出虚机页面所有的虚机信息，文件格式为csv。

• 单击“导出 > 导出选中虚拟机/终端”，导出页面勾选的虚机信息，文件格式为 csv。

• 未选中任何虚机并单击“导出选中虚拟机/终端”时，页面会提示“请选择要导出的虚拟机/终端”。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服