Modificación de una política

Acceso a la página Policies

1. Iniciar sesión en la consola de gestión.

2. En la esquina superior izquierda de la página, seleccione una región, haga clic en , y elija Security & Compliance > Host Security Service (New).
   Figura 1 Acceso a HSS
   

3. En el árbol de navegación de la izquierda, elija Security Operations > Policies
4. Haga clic en el nombre del grupo de políticas para acceder a la lista de detalles de políticas, como se muestra en Figura 2. Puede modificar la política haciendo clic en su nombre.
   Figura 2 Lista de detalles de políticas
   

Descubrimiento de activos

1. Haga clic en Asset Discovery.
2. En la página mostrada, modifique la configuración según sea necesario. Para obtener más información, consulte Tabla 1.

   Tabla 1 Descripción del parámetro

   Parámetro	Descripción
   Startup Item Check Interval (s)	Intervalo entre dos comprobaciones consecutivas de elementos de inicio. El rango de valores es de 0 a 86,400s.
   Software Scanned	Nombre del software. Un nombre puede contener un máximo de 5,000 caracteres sin espacio. Utilice comas (,) para separar los nombres de software. Si no se especifica este parámetro, la información sobre todo el software instalado se recuperará como su valor.
   WiseEye Account Change Time Threshold (min)	Límite de tiempo para cambiar la cuenta WiseEye. El rango de valores es de 1 a 10 minutos.
   Software Scanned	Ruta de búsqueda de software. Este parámetro no es necesario para un servidor Windows.
   Obtain Account Information	Obtiene información de cuenta. : habilitar : deshabilitar
   Obtain LDAP Account Information	Obtiene información de cuenta LDAP. : habilitar : deshabilitar
   Check Web Directory	Comprueba las rutas web. : habilitar : deshabilitar
   Main Applications/Components	Software Name Software Main Program Execute Command Operation: Puede hacer clic en Add o Remove para modificar las operaciones.
   Obtain UDP Port	Obtiene información del puerto UDP y comprueba los directorios web. : habilitar : deshabilitar
   Port Information Check Interval (s)	Intervalo entre dos comprobaciones consecutivas de puerto. El rango de valores es de 30s a 86,400s.
   Obtain TCP Connection Information	Obtiene información de puerto UDP. : habilitar : deshabilitar
   Ignored Processes	Procesos ignorados

3. Seleccione Custom Baseline o haga clic en Add en Key System Configuration Collection para agregar una tarea de recopilación de configuración del sistema.
4. Haga clic en OK.

Escaneo de contraseña débil

Las contraseñas débiles no se atribuyen a cierto tipo de vulnerabilidades, pero no conllevan menos riesgos de seguridad que cualquier tipo de vulnerabilidad. Los datos y programas se volverán inseguros si sus contraseñas son descifradas.

El servicio HSS detecta de forma proactiva las cuentas utilizando contraseñas débiles y genera alarmas para las cuentas. También puede agregar una contraseña que se haya filtrado a la lista de contraseñas débiles para evitar que las cuentas de servidor usen la contraseña.

1. En la lista de grupos de políticas, haga clic en Weak Password Detection.
2. En el área Policy Details, modifique la configuración según sea necesario. Para obtener más información, consulte Tabla 2.

   Tabla 2 Descripción del parámetro

   Parámetro	Descripción
   URL of Weak Password Dictionary	URL del sitio web del que recibe actualizaciones el diccionario de contraseñas débiles
   Weak Password Dictionary SHA256	SHA256 del diccionario de contraseñas débiles
   Scan Time	Punto de tiempo en el que se realizan las detecciones. Puede ser preciso al minuto.
   Random Deviation Time (s)	Tiempo de desviación aleatoria de la contraseña débil. El rango de valores es de 30 a 86,400s.
   Scan Days	Días en una semana en que se analizan las contraseñas débiles. Puede seleccionar uno o más días.
   Detection Break Time (ms)	Intervalo entre las comprobaciones de una sola contraseña débil. El rango de valores es de 0 a 2,000 ms.
   User-defined Weak Passwords	Puede agregar una contraseña que se haya filtrado a este cuadro de texto de contraseña débil para evitar que las cuentas de servidor usen la contraseña.
   Use Basic Weak Password Dictionary	Habilita el diccionario de contraseñas débiles. : habilitar : deshabilitar
   Mask Weak Password	Enmascarar contraseñas débiles. Puede desactivarlo si lo encuentra innecesario.
   Report Weak Password Hashes	Puede activar o desactivar esta función según sea necesario.

3. Confirme la información y haga clic en OK.

Comprobación de configuración

1. Haga clic en Configuration Check.
2. En la página mostrada, modifique la configuración según sea necesario. Para obtener más información, consulte Tabla 3.

   Tabla 3 Descripción del parámetro

   Parámetro	Descripción
   Scan Time	Punto de tiempo en el que se realizan las detecciones. Puede ser preciso al minuto.
   Random Deviation Time (Seconds)	Tiempo de desviación aleatoria de la detección del sistema. El rango de valores es de 30 a 86,400s.
   Scan Days	Día en una semana cuando se realiza una detección. Puede seleccionar cualquier día de lunes a domingo.

3. Seleccione la línea de base que se va a detectar o personalice una línea de base.
4. Haga clic en OK.

Detección de Web Shell

1. En la lista de grupos de políticas, haga clic en el nombre del grupo que contiene la política de destino.
2. Haga clic en Web Shell Detection.
3. En la página Web Shell Detection, modifique la configuración según sea necesario. Para obtener más información, consulte Tabla 4.

   Tabla 4 Descripción del parámetro

   Parámetro	Descripción
   Scan Time	Punto de tiempo en el que se realizan las detecciones. Puede ser preciso al minuto.
   Random Deviation Time (Seconds)	Tiempo de desviación aleatorio. El rango de valores es de 30 a 86,400s.
   Scan Days	Días en una semana en que se escanean web shells. Puede seleccionar uno o más días.
   User-defined Scan Paths	Rutas web que se analizarán. Una ruta de archivo debe: Comienza con una barra (/) y termina sin barras (/). Termina con un número de puerto. Ocupar una línea independiente y no puede contener espacios.
   Important System Paths	Ruta de exploración predeterminada. Comienza con una barra (/) y termina sin barras (/). Termina con un número de puerto. Ocupar una línea independiente y no puede contener espacios.
   Monitor File Modification	Supervisa las modificaciones de los archivos. : habilitar : deshabilitar
   Monitored Files Types	Extensiones de archivos a comprobar. Los valores válidos incluyen jsp, jspx, jspf, php, php5, php4.
   Max. Scanned File Size (KB):	Tamaño máximo de un archivo que se va a analizar. El rango de valores es de 1,048,576 a 10,727,418,240.
   Max. Files Uploaded Per Day	Número máximo de archivos cargados por día. El rango de valores es de 0 a 1,000.

4. Haga clic en OK.

Protección de archivos

1. Haga clic en File Protection.
2. En la página File Protection, modifique la política. Para obtener más información, consulte Tabla 5.

   Tabla 5 Descripción del parámetro

   Parámetro	Descripción
   File Privilege Escalation	Detecta la escalada de privilegios. : habilitar : deshabilitar Ignored File Paths: ruta de acceso del archivo ignorado.
   File Integrity	Detecta la integridad de los archivos clave. : habilitar : deshabilitar Full Scan Interval (s): intervalo entre dos detecciones completas. El rango de valores es de 3,600 a 86,400s. File Paths: Configure las rutas de archivo.
   Important File Directory Change	Detecta el cambio de directorio de archivos clave. : habilitar : deshabilitar Enable Audit: habilita la función de detección de auditoría. Si la función está habilitada y el uso de inotify excede el límite, no se pueden detectar algunos cambios en el directorio de archivos. : habilitar : deshabilitar Session IP Whitelist: Si el proceso de archivos pertenece a las sesiones de las direcciones IP enumeradas, no se aplica ninguna auditoría. Unmonitored File Types: Tipos de archivo que no necesitan ser monitoreados. Unmonitored File Paths: Rutas de archivos que no necesitan ser supervisadas. Monitoring Login Keys: permite la función de monitorización de claves de inicio de sesión. : habilitar : deshabilitar

3. Haga clic en OK.

Comprobación de seguridad de inicio de sesión

1. Haga clic en Login Security Check.
2. En la página mostrada, modifique la configuración según sea necesario. Para obtener más información, consulte Tabla 6.

   Tabla 6 Descripción del parámetro

   Parámetro	Descripción
   Block Attacking IP Address	Después de activar la función de bloqueo de direcciones IP atacantes, HSS bloquea los inicios de sesión de direcciones IP de fuerza bruta. El agente modifica las configuraciones del sistema para bloquear las direcciones IP de origen de los ataques de craqueo de cuentas.
   Lock Time (Min.)	Puede determinar cuántos minutos están bloqueados los ataques de fuerza bruta. El rango de valores es de 1 a 43,200 min.
   Log Detection Period (s)	Intervalo para comprobar los registros. El rango de valores es de 5 a 3,600s.
   Cracking Behavior Determination Threshold (s)	Este parámetro se utiliza junto con Cracking Behavior Determination Threshold (Login Attempts). El rango de valores es de 1 a 10s. Por ejemplo, si este parámetro se establece en 30 y Cracking Behavior Determination Threshold (Login Attempts) se establece en 5, el sistema determina que una cuenta está agrietada cuando la misma dirección IP no puede iniciar sesión en el sistema durante cinco veces en 30 segundos.
   Cracking Behavior Determination Threshold (Login Attempts)	Este parámetro se utiliza junto con Cracking Behavior Determination Threshold. El intervalo de valores es de 1 a 36,000.
   Threshold for slow brute force attack (second)	Este parámetro se utiliza junto con Threshold for slow brute force attack (failed login attempt). El rango de valores es de 600 a 86,400s. Por ejemplo, si este parámetro se establece en 3,600 y Threshold for slow brute force attack (failed login attempt) se establece en 15, el sistema determina que una cuenta está descifrada cuando la misma dirección IP no puede iniciar sesión en el sistema durante quince veces en 3,600 segundos.
   Threshold for slow brute force attack (failed login attempt)	Este parámetro se utiliza junto con Threshold for slow brute force attack (second). El rango de valores es de 6 a 100.
   Alarm Consolidation Time (s)	El tiempo especificado durante el cual las alarmas se consolidan y notifican. El rango de valores es de 30 a 600s. Por ejemplo, si este parámetro se establece en 60, las alarmas generadas en 60 segundos se consolidarán e informarán.
   Cracking Behavior Determination Release Time (s)	Intervalo para borrar los registros de fallas de inicio de sesión generados debido a grietas. El rango de valores es de 60 a 86,400s.
   MySQL Check Interval (s)	Intervalo para comprobar la base de datos MySQL. El rango de valores es de 60 a 86,400.
   FTP Check Interval (s)	Intervalo para comprobar la conexión FTP. El rango de valores es de 60 a 86,400s.
   SSH Check Interval (s)	Intervalo para las comprobaciones SSH. El rango de valores es de 60 a 86,400s.
   Brute-force Prevention Whitelist	Las direcciones IP incluidas en la lista blanca no activarán alarmas de ataque de fuerza bruta ni serán bloqueadas.
   Check Whether the Audit Login Is Successful	Después de habilitar esta función, HSS informa de los registros de éxito de inicio de sesión. : habilitar : deshabilitar
   Classifying Login Success Events by Minute	Después de activar esta función, HSS informa los eventos de éxito de inicio de sesión por minuto. : habilitar : deshabilitar
   Ignore Certificate Login Success	Después de activar esta función, HSS informa de que el inicio de sesión del certificado se ha realizado correctamente. : habilitar : deshabilitar
   Ignore Local Logins	Una vez habilitada esta función, no se comprobarán los inicios de sesión locales. : habilitar : deshabilitar
   IP Whitelisting	Una vez habilitada esta función, solo las direcciones IP de la lista blanca pueden iniciar sesión en hosts en la nube. : habilitar : deshabilitar
   Clear Login Failure History After a Successful Login	Borra los registros de error de inicio de sesión anteriores después de un inicio de sesión exitoso. : habilitar : deshabilitar
   Stop DenyHosts	Una vez activada esta función, las DenyHosts se desactivarán. : habilitar : deshabilitar
   Allowed Login Software	Software de inicio de sesión permitido.
   Supported Database Software	Software de base de datos compatible.
   Supported FTP Software	Software FTP soportado.

3. Haga clic en OK.

Detección de archivos maliciosos

1. Haga clic en Malicious File Detection.
2. En la página mostrada, modifique la política. Para obtener más información, consulte Tabla 7.

   Tabla 7 Descripción del parámetro

   Parámetro	Descripción
   Whitelist Paths in Reverse Shell Check	Ruta del archivo de proceso que se ignorará en la detección de shell inversa
   Reverse Shell Scanning Interval (s):	Período de escaneo de shell inverso. El rango de valores es de 30 a 86,400.
   Audit detection enhancement	Mejora la detección de auditoría. Se recomienda activar esta función.
   Max. open files per process	Número máximo de archivos que un proceso puede abrir. El rango de valores es de 10 a 300,000.
   Detect Reverse Shells	Detecta shells inversos. Se recomienda habilitar esta opción. : habilitar : deshabilitar
   Abnormal Shell Detection	Detecta proyectiles anormales. Se recomienda habilitar esta opción. : habilitar : deshabilitar

3. Haga clic en OK.

Comportamiento de procesos anormales

1. Haga clic en Abnormal Process behaviors.
2. En el área mostrada, modifique la configuración según sea necesario. Para obtener más información, consulte Tabla 8.

   Tabla 8 Descripción del parámetro

   Parámetro	Descripción
   Detection and Scanning Cycle (Seconds)	Intervalo para comprobar los programas en ejecución en el host. El rango de valores es de 30 a 1,800.
   IP Address Blacklist	Introduzca direcciones IP negras. Cada dirección IP ocupa una línea. Ejemplos: 192.1.2.3 192.168.4.5
   Ignored File Paths	Ruta de acceso del archivo que no es necesario comprobar.
   High CPU Check Threshold (%)	El intervalo de valores es del 80 al 400%.
   Check Strings File Maximum Size (MB)	Comprueba el tamaño máximo de los archivos de cadenas.
   Strings Check Keywords	Introduzca una palabra clave en cada línea (hasta 50 caracteres). No se permiten líneas que contengan sólo espacios.
   Threshold for Score Reporting	Umbral de informe de puntuación. El rango de valores es de 10 a 100.

3. Haga clic en OK.

Detección de escalada de privilegios de root

1. Haga clic en Root privilege escalation.
2. En el área mostrada, modifique la configuración según sea necesario. Para obtener más información, consulte Tabla 9.

   Tabla 9 Descripción del parámetro

   Parámetro	Descripción
   Ignored Process File Path	Ruta del archivo de proceso ignorada
   Scanning Interval (s)	Intervalo para comprobar archivos de proceso. El rango de valores es de 5 a 3,600s.
   SUID Process Privilege Escalation	Detecta la escalada de privilegios de proceso SUID. Se recomienda habilitar esta opción. : habilitar : deshabilitar

3. Haga clic en OK.

Proceso en tiempo real

1. Haga clic en Real-time Process.
2. En la página mostrada, modifique la configuración según sea necesario. Para obtener más información, consulte Tabla 10.

   Tabla 10 Parámetros para la configuración de políticas de procesos en tiempo real

   Parámetro	Descripción
   Full Process Report Interval (s)	Intervalo para reportar todo el proceso. El rango de valores es de 3,600 a 86,400.
   High-Risk Commands	Comandos de alto riesgo que contienen palabras clave durante la detección.
   Lista blanca (No grabar registros)	Agregue rutas de acceso o nombres de programa permitidos o ignorados durante la detección.

3. Haga clic en OK.