危险齐发！保护你的世界免受病毒风险入侵！

牧云·云原生安全平台 是长亭牧云团队以开源社区为生态载体技术积累为驱动所打造的云原生安全平台。
本文将介绍如何使用牧云·云原生安全平台进行镜像恶意文件/Webshell扫描。

使用前的准备工作：

1、在进行镜像恶意文件和Webshell的扫描之前，我们同样需要先区分扫描对象是什么？
思维导图如下：

镜像安全扫描对象分为本地镜像和仓库镜像。本地镜像分为集群环境和非集群环境，集群环境在进行资产清点前还需要先集成集群装探针，非集群环境直接安装探针即可。仓库镜像需要先安装旁路探针再集成仓库资源。具体步骤请参考：

牧云·云原生安全平台使用手册：集群资产清点
牧云·云原生安全平台使用手册：镜像/容器/Web资产清点
牧云·云原生安全平台使用手册：应用软件资产清点

2、在安装好旁路探针以及集成好仓库资源之后就需要我们创建任务计划了：

创建任务计划

任务计划
任务计划功能主要用于向扫描探针下发安全扫描任务，创建具体任务计划后，平台将具体任务下发到对应的扫描探针，扫描探针执行扫描任务并向平台上报安全事件，平台获取结果并展示。

点击 /管理中心/任务计划 进入任务计划页面，点击右上角按钮 「创建任务计划」。本文只介绍本地镜像、仓库镜像、集群镜像的任务计划创建，其他的任务类型之后文章会有详细介绍。

本地镜像
如果是本地镜像，创建任务计划时需要填写任务计划参数，选择好主机扫描范围、镜像范围、指定插件和执行周期即创建完成。

---

仓库镜像
如果是仓库镜像，创建任务计划时需要填写对应的任务计划参数，选择好仓库扫描范围、镜像范围、指定插件和执行周期即创建完成。

---

集群镜像
如果是集群镜像，创建任务计划时需要填写对应的任务计划参数，选择好集群扫描范围、镜像范围、指定插件和执行周期即创建完成。

其中任务计划参数需要注意的是：

镜像范围

上传范围文件

• 文件内容需保证每行仅包含一条镜像数据
• 建议每条镜像数据不包含tag，并以换行符结束

可参考下图示例：

操作

任务状态

1. 等待执行：任务尚未下发到任务队列中，正在等待下一次执行时间
2. 队列中： 任务已下发，正在任务队列中等在执行
3. 正在执行：任务正在执行中
4. 执行成功：即代表此任务计划已全部执行成功
5. 执行失败：即代表此任务计划执行失败
6. 失效：当探针范围选择的探针从平台删除或仓库范围选择的仓库从平台删除

至此我们已经完成了前期的准备工作了，接下来就可以进行恶意文件以及Webshell功能的使用了。

恶意文件

介绍：

牧云·云原生安全平台依托问脉开源工具系列，融合自研等 5 种恶意文件检测引擎，交叉覆盖可疑恶意文件。能够对镜像中的恶意软件进行多维度的安全检测并提供修复方案，避免引发严重的安全风险。

使用指引：

1、点击 /镜像安全/恶意文件 进入恶意文件事件列表页面，此列表展示扫描计划进行安全扫描后发现的所有安全事件结果详情。

2、您可以通过左上角切换镜像视角、事件视角进行查看筛选与统计。

列表右侧提供事件处理和全部导出操作，您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。

3、单击事件名称可进入事件详情页面，提供事件信息、文件信息、镜像信息、检测引擎模块进行查看。

Webshell

介绍：

牧云·云原生安全平台镜像 Webshell 检测系统是长亭牧云主机安全管理平台的底层文件检测引擎 guanshan 的集成项目，经历了数次版本迭代与实场演练。Webshell 检测引擎支持检测 php、jsp、asp 三种文件类型。

使用指引：

1、点击 /镜像安全/Webshell 进入 Webshell 事件列表页面，此列表展示扫描计划进行安全扫描后发现的所有安全事件结果详情。

您可以通过左上角切换镜像视角、事件视角进行查看筛选与统计。

2、单击事件名称可进入事件详情页面，提供事件信息、文件信息、镜像信息、检测详情模块进行查看。

3、列表右侧提供事件处理和全部导出操作，您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。

关于我们

牧云·云原生安全平台 是长亭牧云团队以开源社区为生态载体技术积累为驱动所打造的云原生安全平台。首创双模探针架构，可选用 Agentless/Agent 多种方案进行部署，覆盖制品、运行时、集群全流程安全，开箱即用、快速实施、成本极低、自动升级、无需维护、无缝集成，让用户能够轻装上阵，轻松解决云原生安全问题。

平台地址： https://rivers.chaitin.cn/?share=60889b1731a311ee89640242c0a8...