| 功能 |
功能项 |
功能详情 |
基础版 |
企业版 |
| 安全告警 |
异常登录检测 |
【非常用登录地登录】系统自动记录ECS常用登录地(也支持手动添加),若在非常用登录地进行登录,则触发告警。 |
√ |
√ |
| 【暴力破解】检测ECS在多次尝试登录失败后最终登录成功的情况,这类情形很有可能是密码被暴力破解。 |
√ |
√ |
| 【非合法IP登录】开启后,允许用户配置ECS合法登录IP(如堡垒机IP、办公网IP等);若使用非指定的IP登录,则触发告警。 |
× |
√ |
| 【非合法账号登录】开启后,允许用户配置ECS合法登录账号;若使用非合法账号登录,则触发告警。 |
× |
√ |
| 【非合法时间登录】开启后,允许用户配置合法登录时间(如工作时间);若在非合法登录时间登录,则触发告警。 |
× |
√ |
| 网站后门查杀 |
【Webshell检测】主机+网络双重检测机制。
- 主机检测:实时监控主机上网站目录文件变化。
- 网络检测:通过文件还原及Webshell通信指纹进行检测。
|
仅主机检测 |
√ |
| 【Webshell查杀】支持在控制台一键隔离检测出来的Webshell文件。注:已隔离文件在30天内可以恢复。 |
× |
√ |
| 【Webshell查杀范围】PHP、ASP、JSP等类型的网站脚本文件。 |
√ |
√ |
| 恶意进程(云查杀) |
【病毒检测】定期扫描进程并监控进程启动事件,通过云查杀机制检测恶意病毒和木马进程。 |
× |
√ |
| 【病毒查杀】支持在控制台一键中止进程和隔离恶意文件。 |
× |
√ |
【病毒查杀范围】
- 勒索病毒:WanaCry、CryptoLocker等加密文件型勒索软件。
- 恶意攻击:对外DDoS攻击木马、对外恶意扫描木马、垃圾邮件发送木马等。
- 挖矿软件:占用服务器非法挖掘虚拟货币的资源消耗型软件。
- 肉鸡程序:中控木马、恶意中控连接、黑客工具等。
- 其他病毒:蠕虫病毒、Mirai病毒、感染型病毒等。
|
× |
√ |
【病毒库】
- 更新机制:病毒版本部署在云端,由阿里云统一控制,实时更新,客户端本地无检测引擎。
- 病毒样本能力:基本覆盖全种类病毒,在云端集成国内外主流杀毒引擎、阿里云自研沙箱和机器学习引擎等。
|
× |
√ |
| 进程异常行为 |
【异常行为检测】通过云上真实的攻防场景对入侵链路还原,建立进程行为白名单,对于进程的非法行为、黑客的入侵过程进行告警。 |
× |
√ |
【异常行为检测范围】
- 反弹Shell:检测Bash进程执行可疑指令,服务器被远程控制执行任意命令等。
- 数据库异常指令执行:检测MySQL、PostgreSQL、SQLSserver、Redis、Oracle等数据库的异常指令。
- 应用进程非法操作:检测Java、FTP、Tomcat、Docker容器、Lsass.exe等应用进程的非法操作。
- 系统进程非法行为:检测Powershell、SSH、RDP、SMBD共享、SCP文件拷贝等系统进程的非法行为。
- 其他可疑进程行为:检测Vbscript、Host被访问、crontab被写入、Webshell写入等。
|
× |
√ |
| 【异常行为检测能力】为数百个进程建立了近千个行为模型,通过比对模型分析异常行为。 |
× |
√ |
| 敏感文件篡改 |
【篡改检测】实时监控敏感目录及文件,对于异常的读取、写入、删除等敏感操作进行告警。 |
× |
√ |
【文件篡改检测范围】
- 系统文件篡改:检测Bash、ps命令进程被恶意替换,隐藏的非法进程运行等。
- 网站核心文件删除:检测黑客非法登录服务器后,恶意删除网站文件。
- 网站挂马篡改:检测网站被加入恶意代码,造成访问者自动下载木马病毒。
- 其他可疑事件:检测Linux、MysqlDB等被勒索软件篡改登录界面,留下邮箱或比特币钱包地址等情形。
|
× |
√ |
| 异常网络连接 |
【异常连接】在主机层和网络层对网络连接进行监控,识别非法的连接行为,并进行告警。 |
× |
√ |
【异常连接检测范围】
- 主动外连:可疑SHELL反弹、Bash主动外连等主动外连到可疑IP。
- 恶意攻击:被种植恶意软件,对外发动SYN-Flood、UDP-Flood、ICMP-Flood等恶意攻击。
- 可疑通信:检测后门程序通信、可疑Weshell通信行为等。
|
× |
√ |
| 漏洞管理 |
Linux软件漏洞 |
【Linux软件漏洞检测】对标CVE官方漏洞库,采用OVAL匹配引擎进行软件版本比对,对当前使用的软件版本中存在的漏洞进行告警。 |
√ |
√ |
| 【漏洞修复】支持一键运行update升级命令修复漏洞,以及生成漏洞修复命令,用于手动修复。 |
× |
√ |
| Windows系统漏洞 |
【Windows系统漏洞检测】同步微软官网补丁源,对高危及有影响的漏洞进行检测和提醒。 |
√ |
√ |
| 【漏洞修复】支持一键下载补丁文件并静默安装更新,需要重启的漏洞会进行提醒。 |
√ |
√ |
| Web-CMS漏洞 |
【Web-CMS漏洞检测】监控网站目录,识别通用建站软件,通过漏洞文件比对方式检测建站软件中的漏洞。 |
√ |
√ |
| 【漏洞修复】自研漏洞补丁,支持一键修复,通过文件替换、修改等方式从源代码级别修复漏洞。 |
× |
√ |
| 其他漏洞 |
【其他漏洞检测】检测如软件配置型漏洞、系统组件型漏洞等漏洞;支持自动检测,但不支持修复。 |
√ |
√ |
| Web漏洞扫描 |
通过公网模拟攻击的方式,主动探测您服务器暴露在公网上的安全漏洞,由 阿里云云盾·网络漏洞扫描系统 提供服务。 |
× |
× |
| 基线检查 |
主机基线 |
【主机基线检查】通过任务下发模式,对主机进行安全配置扫描,对未符合标准的项目进行提醒。 |
× |
√ |
【主机基线检查范围】
- 账号安全:检测密码策略合规、系统及应用弱口令等。
- 系统配置:检测组策略、登录基线策略、注册表配置等存在的风险。
- 数据库风险:检测Redis数据库高危配置等。
- 合规对标要求:检测是否符合CIS-Linux Centos7等系统基线要求。
|
× |
√ |
| 【检测策略】支持自定义检测策略,设置检测项目、检测周期、应用的服务器组等。注:暂不支持自定义检测脚本。 |
× |
√ |
| 云产品基线 |
【云产品基线检测】检测ECS、RDS等云产品的安全配置是否存在安全隐患。 |
× |
√ |
【云产品基线检查范围】
- ECS:检测安全组端口访问策略是否过宽。
- SLB:检测是否转发不必要的端口至公网,增加系统受攻击风险。
- RDS:检测数据库是否公开在外网,以及是否配置访问白名单。
- Actiontrail:是否开启了操作日志审计,便于日志回溯。
- MFA:是否开启了双因素认证登录,防止阿里云账号被破解。
- 其他:检测SLB白名单、RDS加密通信等。
|
× |
√ |
| 资产指纹 |
端口监听 |
收集和呈现端口监听信息,记录变动历史,便于清点开放的端口信息。 |
× |
√ |
| 账号管理 |
收集账号及对应权限信息,可清点特权账号,检测提权行为。 |
× |
√ |
| 进程管理 |
收集和呈现进程快照信息,便于自主清点合法进程,检测异常进程。 |
× |
√ |
| 软件管理 |
清点软件安装信息,在高危漏洞爆发时可快速定位到受影响资产。 |
× |
√ |
| 网站后台管理 |
识别网站后台资产,监控是否有撞库和异常网站后台登录行为。 |
× |
√ |
| 安全分析 |
访问分析 |
汇总SLB、ECS的所有流量统一查看,帮助区分爬虫和正常访问流量。 |
× |
√ |
| 攻击分析 |
支持查看系统遭受的Web攻击详情和ECS遭受的暴力破解攻击。 |
× |
√ |
| 威胁分析 |
识别定向的暴力破解、后门撞库攻击,发现系统的高级威胁。 |
× |
√ |
| AK&账号密码泄露 |
实时监控Github等第三方代码托管网站,捕获并判定被公开的源代码(包含企业员工私自上传并不小心公开的源代码)中是否含有ECS、RDS、Redis、MySQL等资产的登录名和密码信息。 |
× |
√ |
| 十块大屏 |
支持查看业务运营监控、安全应急响应中心、安全感知体系、安全防御体系大图、业务访客概览等共十块数据大屏。 |
× |
增值 |
| 日志检索 |
进程日志 |
【进程启动】进程一旦启动,系统记录下该启动事件的详细信息,使用日志功能可查询进程启动记录。 |
× |
增值 |
| 【进程快照】系统抓取并存储某一时刻的进程全量日志,使用日志功能可查询进程快照信息。 |
× |
增值 |
| 网络日志 |
【网络连接日志】查询主机主动对外发起网络连接的记录。【网络会话日志】主机端和网络端同时采集连接五元组信息,使用日志功能可查询网络会话记录。【Web访问日志】系统从网络上抓取HTTP的访问日志,使用日志功能可查询Web访问记录。注:暂不支持HTTPS。【DNS日志】查询对外请求的DNS解析日志。注:暂不支持内网DNS。 |
× |
增值 |
| 其他日志 |
【系统登录】查询SSH、RDP的系统登录流水中登录成功的日志。 |
× |
增值 |
| 【暴力破解】查询SSH、RDP的系统登录流水中多次连续登录失败的日志。 |
× |
增值 |
| 【端口监听快照】系统抓取并存储某一时刻的所有对外监听端口的快照数据,使用日志功能可查询端口监听信息。 |
× |
增值 |
| 【账号快照】系统抓取并存储某一时刻的所有账号信息的快照数据,使用日志功能可查询账号信息。 |
× |
增值 |
| 日志投递 |
支持将安全日志投递到 阿里云日志服务(Log Service),便于使用日志服务进行日志分析,或再次投递到MaxCompute(ODPS)、OSS中,进行自定义二次分析等。 |
× |
增值 |
