Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Actualización más reciente 2024-07-02 GMT+08:00

Modificación de una política

Puede modificar políticas en un grupo de políticas.

Las modificaciones de una política sólo tienen efecto en el grupo al que pertenece.

Acceso a la página Policies

  1. Iniciar sesión en la consola de gestión.
  1. En la esquina superior izquierda de la página, seleccione una región, haga clic en , y elija Security & Compliance > Host Security Service (New).

    Figura 1 Acceso a HSS

  2. En el árbol de navegación de la izquierda, elija Security Operations > Policies
  3. Haga clic en el nombre del grupo de políticas para acceder a la lista de detalles de políticas, como se muestra en Figura 2. Puede modificar la política haciendo clic en su nombre.

    Figura 2 Lista de detalles de políticas

Descubrimiento de activos

  1. Haga clic en Asset Discovery.
  2. En la página mostrada, modifique la configuración según sea necesario. Para obtener más información, consulte Tabla 1.

    Tabla 1 Descripción del parámetro

    Parámetro

    Descripción

    Startup Item Check Interval (s)

    Intervalo entre dos comprobaciones consecutivas de elementos de inicio. El rango de valores es de 0 a 86,400s.

    Software Scanned

    • Nombre del software. Un nombre puede contener un máximo de 5,000 caracteres sin espacio. Utilice comas (,) para separar los nombres de software.
    • Si no se especifica este parámetro, la información sobre todo el software instalado se recuperará como su valor.

    WiseEye Account Change Time Threshold (min)

    Límite de tiempo para cambiar la cuenta WiseEye. El rango de valores es de 1 a 10 minutos.

    Software Scanned

    Ruta de búsqueda de software. Este parámetro no es necesario para un servidor Windows.

    Obtain Account Information

    Obtiene información de cuenta.

    • : habilitar
    • : deshabilitar

    Obtain LDAP Account Information

    Obtiene información de cuenta LDAP.

    • : habilitar
    • : deshabilitar

    Check Web Directory

    Comprueba las rutas web.

    • : habilitar
    • : deshabilitar

    Main Applications/Components

    • Software Name
    • Software Main Program
    • Execute Command
    • Operation: Puede hacer clic en Add o Remove para modificar las operaciones.

    Obtain UDP Port

    Obtiene información del puerto UDP y comprueba los directorios web.

    • : habilitar
    • : deshabilitar

    Port Information Check Interval (s)

    Intervalo entre dos comprobaciones consecutivas de puerto. El rango de valores es de 30s a 86,400s.

    Obtain TCP Connection Information

    Obtiene información de puerto UDP.

    • : habilitar
    • : deshabilitar

    Ignored Processes

    Procesos ignorados

  3. Seleccione Custom Baseline o haga clic en Add en Key System Configuration Collection para agregar una tarea de recopilación de configuración del sistema.
  4. Haga clic en OK.

Escaneo de contraseña débil

Las contraseñas débiles no se atribuyen a cierto tipo de vulnerabilidades, pero no conllevan menos riesgos de seguridad que cualquier tipo de vulnerabilidad. Los datos y programas se volverán inseguros si sus contraseñas son descifradas.

El servicio HSS detecta de forma proactiva las cuentas utilizando contraseñas débiles y genera alarmas para las cuentas. También puede agregar una contraseña que se haya filtrado a la lista de contraseñas débiles para evitar que las cuentas de servidor usen la contraseña.

  1. En la lista de grupos de políticas, haga clic en Weak Password Detection.
  2. En el área Policy Details, modifique la configuración según sea necesario. Para obtener más información, consulte Tabla 2.

    Tabla 2 Descripción del parámetro

    Parámetro

    Descripción

    URL of Weak Password Dictionary

    URL del sitio web del que recibe actualizaciones el diccionario de contraseñas débiles

    Weak Password Dictionary SHA256

    SHA256 del diccionario de contraseñas débiles

    Scan Time

    Punto de tiempo en el que se realizan las detecciones. Puede ser preciso al minuto.

    Random Deviation Time (s)

    Tiempo de desviación aleatoria de la contraseña débil. El rango de valores es de 30 a 86,400s.

    Scan Days

    Días en una semana en que se analizan las contraseñas débiles. Puede seleccionar uno o más días.

    Detection Break Time (ms)

    Intervalo entre las comprobaciones de una sola contraseña débil. El rango de valores es de 0 a 2,000 ms.

    User-defined Weak Passwords

    Puede agregar una contraseña que se haya filtrado a este cuadro de texto de contraseña débil para evitar que las cuentas de servidor usen la contraseña.

    Use Basic Weak Password Dictionary

    Habilita el diccionario de contraseñas débiles.

    • : habilitar
    • : deshabilitar

    Mask Weak Password

    Enmascarar contraseñas débiles.

    Puede desactivarlo si lo encuentra innecesario.

    Report Weak Password Hashes

    Puede activar o desactivar esta función según sea necesario.

  3. Confirme la información y haga clic en OK.

Comprobación de configuración

  1. Haga clic en Configuration Check.
  2. En la página mostrada, modifique la configuración según sea necesario. Para obtener más información, consulte Tabla 3.

    Tabla 3 Descripción del parámetro

    Parámetro

    Descripción

    Scan Time

    Punto de tiempo en el que se realizan las detecciones. Puede ser preciso al minuto.

    Random Deviation Time (Seconds)

    Tiempo de desviación aleatoria de la detección del sistema. El rango de valores es de 30 a 86,400s.

    Scan Days

    Día en una semana cuando se realiza una detección. Puede seleccionar cualquier día de lunes a domingo.

  3. Seleccione la línea de base que se va a detectar o personalice una línea de base.
  4. Haga clic en OK.

Detección de Web Shell

  1. En la lista de grupos de políticas, haga clic en el nombre del grupo que contiene la política de destino.
  2. Haga clic en Web Shell Detection.
  3. En la página Web Shell Detection, modifique la configuración según sea necesario. Para obtener más información, consulte Tabla 4.

    Tabla 4 Descripción del parámetro

    Parámetro

    Descripción

    Scan Time

    Punto de tiempo en el que se realizan las detecciones. Puede ser preciso al minuto.

    Random Deviation Time (Seconds)

    Tiempo de desviación aleatorio. El rango de valores es de 30 a 86,400s.

    Scan Days

    Días en una semana en que se escanean web shells. Puede seleccionar uno o más días.

    User-defined Scan Paths

    Rutas web que se analizarán. Una ruta de archivo debe:

    • Comienza con una barra (/) y termina sin barras (/).
    • Termina con un número de puerto.
    • Ocupar una línea independiente y no puede contener espacios.

    Important System Paths

    Ruta de exploración predeterminada.

    • Comienza con una barra (/) y termina sin barras (/).
    • Termina con un número de puerto.
    • Ocupar una línea independiente y no puede contener espacios.

    Monitor File Modification

    Supervisa las modificaciones de los archivos.

    • : habilitar
    • : deshabilitar

    Monitored Files Types

    Extensiones de archivos a comprobar. Los valores válidos incluyen jsp, jspx, jspf, php, php5, php4.

    Max. Scanned File Size (KB):

    Tamaño máximo de un archivo que se va a analizar. El rango de valores es de 1,048,576 a 10,727,418,240.

    Max. Files Uploaded Per Day

    Número máximo de archivos cargados por día. El rango de valores es de 0 a 1,000.

  4. Haga clic en OK.

Protección de archivos

  1. Haga clic en File Protection.
  2. En la página File Protection, modifique la política. Para obtener más información, consulte Tabla 5.

    Tabla 5 Descripción del parámetro

    Parámetro

    Descripción

    File Privilege Escalation

    • Detecta la escalada de privilegios.
      • : habilitar
      • : deshabilitar
    • Ignored File Paths: ruta de acceso del archivo ignorado.

    File Integrity

    • Detecta la integridad de los archivos clave.
      • : habilitar
      • : deshabilitar
    • Full Scan Interval (s): intervalo entre dos detecciones completas. El rango de valores es de 3,600 a 86,400s.
    • File Paths: Configure las rutas de archivo.

    Important File Directory Change

    • Detecta el cambio de directorio de archivos clave.
      • : habilitar
      • : deshabilitar
    • Enable Audit: habilita la función de detección de auditoría. Si la función está habilitada y el uso de inotify excede el límite, no se pueden detectar algunos cambios en el directorio de archivos.
      • : habilitar
      • : deshabilitar
    • Session IP Whitelist: Si el proceso de archivos pertenece a las sesiones de las direcciones IP enumeradas, no se aplica ninguna auditoría.
    • Unmonitored File Types: Tipos de archivo que no necesitan ser monitoreados.
    • Unmonitored File Paths: Rutas de archivos que no necesitan ser supervisadas.
    • Monitoring Login Keys: permite la función de monitorización de claves de inicio de sesión.
      • : habilitar
      • : deshabilitar

  3. Haga clic en OK.

Comprobación de seguridad de inicio de sesión

  1. Haga clic en Login Security Check.
  2. En la página mostrada, modifique la configuración según sea necesario. Para obtener más información, consulte Tabla 6.

    Tabla 6 Descripción del parámetro

    Parámetro

    Descripción

    Block Attacking IP Address

    Después de activar la función de bloqueo de direcciones IP atacantes, HSS bloquea los inicios de sesión de direcciones IP de fuerza bruta.

    El agente modifica las configuraciones del sistema para bloquear las direcciones IP de origen de los ataques de craqueo de cuentas.

    Lock Time (Min.)

    Puede determinar cuántos minutos están bloqueados los ataques de fuerza bruta. El rango de valores es de 1 a 43,200 min.

    Log Detection Period (s)

    Intervalo para comprobar los registros. El rango de valores es de 5 a 3,600s.

    Cracking Behavior Determination Threshold (s)

    Este parámetro se utiliza junto con Cracking Behavior Determination Threshold (Login Attempts). El rango de valores es de 1 a 10s.

    Por ejemplo, si este parámetro se establece en 30 y Cracking Behavior Determination Threshold (Login Attempts) se establece en 5, el sistema determina que una cuenta está agrietada cuando la misma dirección IP no puede iniciar sesión en el sistema durante cinco veces en 30 segundos.

    Cracking Behavior Determination Threshold (Login Attempts)

    Este parámetro se utiliza junto con Cracking Behavior Determination Threshold. El intervalo de valores es de 1 a 36,000.

    Threshold for slow brute force attack (second)

    Este parámetro se utiliza junto con Threshold for slow brute force attack (failed login attempt). El rango de valores es de 600 a 86,400s.

    Por ejemplo, si este parámetro se establece en 3,600 y Threshold for slow brute force attack (failed login attempt) se establece en 15, el sistema determina que una cuenta está descifrada cuando la misma dirección IP no puede iniciar sesión en el sistema durante quince veces en 3,600 segundos.

    Threshold for slow brute force attack (failed login attempt)

    Este parámetro se utiliza junto con Threshold for slow brute force attack (second). El rango de valores es de 6 a 100.

    Alarm Consolidation Time (s)

    El tiempo especificado durante el cual las alarmas se consolidan y notifican. El rango de valores es de 30 a 600s.

    Por ejemplo, si este parámetro se establece en 60, las alarmas generadas en 60 segundos se consolidarán e informarán.

    Cracking Behavior Determination Release Time (s)

    Intervalo para borrar los registros de fallas de inicio de sesión generados debido a grietas. El rango de valores es de 60 a 86,400s.

    MySQL Check Interval (s)

    Intervalo para comprobar la base de datos MySQL. El rango de valores es de 60 a 86,400.

    FTP Check Interval (s)

    Intervalo para comprobar la conexión FTP. El rango de valores es de 60 a 86,400s.

    SSH Check Interval (s)

    Intervalo para las comprobaciones SSH. El rango de valores es de 60 a 86,400s.

    Brute-force Prevention Whitelist

    Las direcciones IP incluidas en la lista blanca no activarán alarmas de ataque de fuerza bruta ni serán bloqueadas.

    Check Whether the Audit Login Is Successful

    • Después de habilitar esta función, HSS informa de los registros de éxito de inicio de sesión.
      • : habilitar
      • : deshabilitar

    Classifying Login Success Events by Minute

    Después de activar esta función, HSS informa los eventos de éxito de inicio de sesión por minuto.

    • : habilitar
    • : deshabilitar

    Ignore Certificate Login Success

    Después de activar esta función, HSS informa de que el inicio de sesión del certificado se ha realizado correctamente.

    • : habilitar
    • : deshabilitar

    Ignore Local Logins

    Una vez habilitada esta función, no se comprobarán los inicios de sesión locales.

    • : habilitar
    • : deshabilitar

    IP Whitelisting

    Una vez habilitada esta función, solo las direcciones IP de la lista blanca pueden iniciar sesión en hosts en la nube.

    • : habilitar
    • : deshabilitar

    Clear Login Failure History After a Successful Login

    Borra los registros de error de inicio de sesión anteriores después de un inicio de sesión exitoso.

    • : habilitar
    • : deshabilitar

    Stop DenyHosts

    Una vez activada esta función, las DenyHosts se desactivarán.

    • : habilitar
    • : deshabilitar

    Allowed Login Software

    Software de inicio de sesión permitido.

    Supported Database Software

    Software de base de datos compatible.

    Supported FTP Software

    Software FTP soportado.

  3. Haga clic en OK.

Detección de archivos maliciosos

  1. Haga clic en Malicious File Detection.
  2. En la página mostrada, modifique la política. Para obtener más información, consulte Tabla 7.

    Tabla 7 Descripción del parámetro

    Parámetro

    Descripción

    Whitelist Paths in Reverse Shell Check

    Ruta del archivo de proceso que se ignorará en la detección de shell inversa

    Reverse Shell Scanning Interval (s):

    Período de escaneo de shell inverso. El rango de valores es de 30 a 86,400.

    Audit detection enhancement

    Mejora la detección de auditoría. Se recomienda activar esta función.

    Max. open files per process

    Número máximo de archivos que un proceso puede abrir. El rango de valores es de 10 a 300,000.

    Detect Reverse Shells

    • Detecta shells inversos. Se recomienda habilitar esta opción.
      • : habilitar
      • : deshabilitar

    Abnormal Shell Detection

    • Detecta proyectiles anormales. Se recomienda habilitar esta opción.
      • : habilitar
      • : deshabilitar

  3. Haga clic en OK.

Comportamiento de procesos anormales

  1. Haga clic en Abnormal Process behaviors.
  2. En el área mostrada, modifique la configuración según sea necesario. Para obtener más información, consulte Tabla 8.

    Tabla 8 Descripción del parámetro

    Parámetro

    Descripción

    Detection and Scanning Cycle (Seconds)

    Intervalo para comprobar los programas en ejecución en el host. El rango de valores es de 30 a 1,800.

    IP Address Blacklist

    Introduzca direcciones IP negras. Cada dirección IP ocupa una línea.

    Ejemplos:

    192.1.2.3

    192.168.4.5

    Ignored File Paths

    Ruta de acceso del archivo que no es necesario comprobar.

    High CPU Check Threshold (%)

    El intervalo de valores es del 80 al 400%.

    Check Strings File Maximum Size (MB)

    Comprueba el tamaño máximo de los archivos de cadenas.

    Strings Check Keywords

    Introduzca una palabra clave en cada línea (hasta 50 caracteres). No se permiten líneas que contengan sólo espacios.

    Threshold for Score Reporting

    Umbral de informe de puntuación. El rango de valores es de 10 a 100.

  3. Haga clic en OK.

Detección de escalada de privilegios de root

  1. Haga clic en Root privilege escalation.
  2. En el área mostrada, modifique la configuración según sea necesario. Para obtener más información, consulte Tabla 9.

    Tabla 9 Descripción del parámetro

    Parámetro

    Descripción

    Ignored Process File Path

    Ruta del archivo de proceso ignorada

    Scanning Interval (s)

    Intervalo para comprobar archivos de proceso. El rango de valores es de 5 a 3,600s.

    SUID Process Privilege Escalation

    Detecta la escalada de privilegios de proceso SUID. Se recomienda habilitar esta opción.

    • : habilitar
    • : deshabilitar

  3. Haga clic en OK.

Proceso en tiempo real

  1. Haga clic en Real-time Process.
  2. En la página mostrada, modifique la configuración según sea necesario. Para obtener más información, consulte Tabla 10.

    Tabla 10 Parámetros para la configuración de políticas de procesos en tiempo real

    Parámetro

    Descripción

    Full Process Report Interval (s)

    Intervalo para reportar todo el proceso. El rango de valores es de 3,600 a 86,400.

    High-Risk Commands

    Comandos de alto riesgo que contienen palabras clave durante la detección.

    Lista blanca (No grabar registros)

    Agregue rutas de acceso o nombres de programa permitidos o ignorados durante la detección.

  3. Haga clic en OK.