文档简介:
查看应用防护
您无需修改应用程序文件,只需将探针注入到应用程序,即可为应用提供强大的安全防护能力。
技术原理
通过动态代码注入技术在运行时将监控&保护代码(即探针)注入到应用程序的关键监控&保护点(即关键函数),探针根据预定义规则,结合通过保护点的数据、以及上下文环境(应用逻辑、配置、数据和事件流等),识别出攻击行为。
前提条件
已购买主机安全版本为旗舰版、网页防篡改版或容器版。
约束限制
- 当前只支持操作系统为Linux的服务器。
- 目前仅支持Java应用接入。
- 未开启旗舰版、网页防篡改版、容器版防护不支持应用防护相关操作。
查看防护设置
1 登录管理控制台。
2 在页面左上角
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明
切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4 选择“主动防御 > 应用防护”,进入“应用防护”页面。
进入防护设置
5 选择“防护设置”页签,查看服务防护情况,参数说明如表6-1所示。
防护设置参数说明
| 参数名称 | 参数描述 |
|---|---|
| 服务器名称/ID | 服务器的名称和ID。 |
| IP地址 | 目标服务器的私有地址和公网IP地址。 |
| 操作系统 | 目标服务器的操作系统。 |
| 服务器组名称 | 目标服务器所在的服务器组的名称。 |
| 防护策略 | 目标服务器绑定的检测策略。 |
| 防护状态 | 目标服务器当前防护状态。 l 防护中 l 未防护 |
| 微服务防护状态 | 微服务的防护状态。 l 已生效 l 正在安装 l 已安装,未配置 l 安装失败 |
| 微服务RASP防护 | 微服务RASP的防护开启状态。 l 正在安装 l 已安装,未配置 l 安装失败 |
| 微服务RASP攻击 | RASP检测到的攻击事件数量。 |
查看防护事件
1 登录管理控制台。
2 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明
切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4 选择“主动防御 > 应用防护 > 防护事件”,进入“防护事件”页面,参数说明如表6-2所示。
进入防护事件
防护事件参数说明
| 参数名称 | 参数描述 |
|---|---|
| 告警级别 | 发现的告警事件的等级。 |
| 服务器名称 | 目标告警对应的服务器。 |
| 告警名称 | 目标告警的名称。 |
| 告警时间 | 发现告警的时间。 |
| 攻击源IP | 目标告警的IP地址。 |
| 攻击源URL | 目标告警的URL地址。 |
5 单击目标告警名称,可查看目标告警的取证信息(请求信息、攻击源IP等)和扩展信息(检测规则标识、探针规则描述),可根据取证信息和扩展信息排查问题、添加防护措施。
查看防护事件
开启应用防护
前提条件
已购买主机安全版本为旗舰版、网页防篡改版或容器版。
约束限制
- 当前只支持操作系统为Linux的服务器。
- 目前仅支持Java应用接入。
- 未开启旗舰版、网页防篡改版、容器版防护不支持应用防护相关操作。
操作步骤
1 登录管理控制台。
2 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明
切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4 选择“主动防御 > 应用防护 > 防护设置”,进入“防护设置”页面。
进入防护设置
5 单击“添加防护服务器”,在弹窗中选择需要防护的服务器和策略。
说明
防护策略可自定义创建,未创建选择默认策略即可。
选择目标服务器和策略
6 单击“添加并开启防护”,服务器防护流程创建成功。
7 回到“防护设置”页面,单击“微服务RASP防护”的状态,查看防护流程进度。
查看开启防护流程
8 在弹窗中查看防护的流程,等待安装软件流程自动执行安装过程,待进度条下方状态为“软件安装已完成”表示自动安装完成。
软件安装完成
9 登录主机,进入spring boot的启动路径,复制“配置启动参数”流程中微服务启动脚本粘贴到命令框,执行操作如图所示操作。
配置启动参数
10 启动参数配置完成后,执行流程第三步:重启微服务,重启微服务RASP后才能正常进行检测防护。
11 重启后在“防护设置”页面查看目标服务器“微服务防护状态”为“已生效”表示目标服务器已正常开启微服务RASP防护。
应用防护管理
前提条件
已购买主机安全版本为旗舰版、网页防篡改版或容器版。
约束限制
- 当前只支持操作系统为Linux的服务器。
- 目前仅支持Java应用接入。
- 未开启旗舰版、网页防篡改版、容器版防护不支持应用防护相关操作。
查看检测报告
1 登录管理控制台。
2 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明
切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4 选择“主动防御 > 应用防护 > 防护设置”,进入“防护设置”页面。
进入防护设置
5 单击目标服务器“操作”列的“查看报告”,查看目标服务器全量检测详情。
查看报告
6 单击告警名称可查看目标告警的详细信息。
告警详情页可查看目标告警的取证信息(请求信息、攻击源IP等)和扩展信息(检测规则、检测探针等),可根据取证信息和扩展信息来排查问题、添加防护措施。
查看警详情
关闭应用防护
前提条件
已购买主机安全版本为旗舰版、网页防篡改版或容器版。
约束限制
- 当前只支持操作系统为Linux的服务器。
- 目前仅支持Java应用接入。
- 未开启旗舰版、网页防篡改版、容器版防护不支持应用防护相关操作。
操作步骤
1 登录管理控制台。
2 在页面左上角单击
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明
切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4 选择“主动防御 > 应用防护”,进入“应用防护”页面。
进入防护设置
5 单击目标服务器“微服务RASP防护”的图标
或单击“操作”列的“关闭防护”。
定位关闭防护按钮
步骤 6 在弹窗中确认正在关闭微服务RASP防护的服务器信息,确认无误,单击“确认”,完成防护关闭。
说明
sRASP防护关闭后,目标服务器会在“防护设置”页面进行自动删除,若需为其他服务器开启防护,可按照
开启应用防护操作步骤为其他服务器开启防护。
