Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> Host Security Service (New)> Guía del usuario> Habilitación de HSS> Habilitación de notificaciones de alarma
Actualización más reciente 2022-12-29 GMT+08:00
Ver PDF

Habilitación de notificaciones de alarma

Después de activar la notificación de alarma, puede recibir notificaciones de alarma enviadas por HSS para obtener información sobre los riesgos de seguridad que enfrentan sus servidores y páginas web. Sin esta función, debe iniciar sesión en la consola de gestión para ver las alarmas.
  • La configuración de notificación de alarma solo es efectiva para la región actual. Para recibir notificaciones de otra región, cambie a esa región y configure la notificación de alarma.
  • Las notificaciones de alarma pueden estar bloqueadas por error. Si ha habilitado las notificaciones pero no ha recibido ninguna, compruebe si se han bloqueado como espasmos.
  • El servicio Simple Message Notification (SMN) es un servicio de pago. Para obtener más información sobre el precio, consulte Detalles de precios del producto.

Prerrequisitos

Antes de configurar la notificación de alarma,
  • Si configura Alarm Receiving Settings en Use Message Center settings, para configurar los destinatarios, vaya al Centro de mensajes y elija Message Receiving Management > SMS & Email Settings. En el área Security, haga clic en Modify en la fila donde reside Security event.
  • Si configura Alarm Receiving Settings en Use SMN topic settings, se recomienda crear un tema de mensaje en el servicio SMN como administrador. Para obtener más información, consulte Publicación de un mensaje.

Habilitación de notificaciones de alarma

  1. Iniciar sesión en la consola de gestión.
  2. En la esquina superior izquierda de la página, seleccione una región, haga clic en , y elija Security & Compliance > Host Security Service (New).
  3. En el panel de navegación, elija Installation & Configuration y haga clic en Alarm Notifications. Tabla 1 describe los parámetros.

    Tabla 1 configuraciones de alarma

    Tipo

    Descripción

    Sugerencia

    Notificación diaria de alarma

    HSS escanea las cuentas, directorios web, vulnerabilidades, programas maliciosos y configuraciones clave en el sistema servidor a las 00:00 todos los días, y envía los resultados de detección resumidos a los destinatarios que ha establecido en el Centro de mensajes o SMN, dependiendo de cuál haya elegido.

    Para ver los elementos de notificación, haga clic en View Default Daily Notification Events.
    • Se recomienda que reciba y revise periódicamente todo el contenido de la notificación diaria de alarma para eliminar los riesgos de manera oportuna.
    • Las notificaciones de alarma diarias contienen una gran cantidad de elementos de verificación. Si desea enviar las notificaciones a los destinatarios establecidos en un tema SMN, le recomendamos que establezca el protocolo del tema en Email.

    Notificación de alarma en tiempo real

    Cuando un atacante intruye un servidor, las alarmas se envían a los destinatarios que ha establecido en el Centro de mensajes o SMN, dependiendo de cuál haya elegido.

    Para ver los elementos de notificación, haga clic en View Default Real-time Notification Events.
    • Se recomienda que reciba todo el contenido en la notificación de alarma en tiempo real y verlos a tiempo. El sistema HSS monitoriza la seguridad de los servidores en tiempo real, detecta la intrusión del atacante y envía notificaciones de alarma en tiempo real para que pueda manejar rápidamente el problema.
    • Las notificaciones de alarma en tiempo real se refieren a problemas urgentes. Si desea enviar las notificaciones a los destinatarios establecidos en un tema SMN, le recomendamos que establezca el protocolo de tema en SMS.

    Severidad

    Seleccione las gravedades de las alarmas de las que desea que se le notifique.

    Todos

    Eventos enmascarados

    Seleccione los eventos de los que no desea que se le notifique.

    Seleccione los eventos que se van a enmascarar en el cuadro de lista desplegable.

    -

  4. Seleccione el modo de notificación de alarma.

    • Usar la configuración del Centro de mensajes

      De forma predeterminada, las notificaciones de alarma se envían a los destinatarios especificados en el centro de mensajes. Puede iniciar sesión en su cuenta para comprobar la configuración de su destinatario

      Para configurar los destinatarios, haga clic en Message Receive Management para ir al Centro de mensajes. Elija Message Receiving Management > SMS & Email Settings. En la categoría Security, haga clic en Modify en la fila donde reside Security event.

    • Usar la configuración del tema SMN

      Seleccione un tema disponible en la lista desplegable o haga clic en View Topics y crear un tema.

      Para crear un tema, es decir, para configurar un número de teléfono móvil o una dirección de correo electrónico para recibir notificaciones de alarma, realice los siguientes pasos:
      1. Crear un tema. Para obtener más información, consulte Creación de un tema.
      2. Configure el número de teléfono móvil o la dirección de correo electrónico para recibir notificaciones de alarma, es decir, agregue una o más suscripciones para el tema creado. Para obtener más información, consulte Adición de una suscripción.
      3. Confirme la suscripción. Después de agregar la suscripción, confirme la suscripción según lo indique el mensaje SMS o correo electrónico recibido.

        El mensaje de confirmación sobre la suscripción a un tema puede ser considerado como spam. Si no recibe el mensaje, compruebe si se intercepta como spam.

      Puede crear varios temas de notificación basados en el plan O&M y el tipo de notificación de alarma para recibir diferentes tipos de notificaciones de alarma. Para obtener más información acerca de los temas y suscripciones, consulte la Guía del usuario de Simple Message Notification.

  5. Haga clic en Apply. Se mostrará un mensaje indicando que la notificación de alarma se ha configurado correctamente.

Notificaciones de alarmas

Tipo

Artículo

Descripción

Daily Alarm Notifications

El servicio comprueba los riesgos en sus servidores a primera hora de la mañana todos los días, resume y recopila los resultados de la detección, y envía los resultados a su teléfono móvil o buzón de correo electrónico a las 10:00 todos los días.

Activos

Puerto peligroso

Compruebe si hay puertos abiertos de alto riesgo y puertos innecesarios.

Vulnerabilidades

Vulnerabilidades críticas

Detectar vulnerabilidades críticas y corregirlas de manera oportuna.

Configuración insegura

Configuraciones inseguras

Detecte configuraciones inseguras de aplicaciones clave que probablemente serán explotadas por hackers informáticos para entrometerse en los servidores.

Contraseñas débiles comunes

Detecte contraseñas débiles en MySQL, FTP y cuentas del sistema.

Intrusiones

Malware

Comprobar y manejar programas maliciosos detectados en un solo lugar, incluyendo web shells, caballos de Troya, software de minería, gusanos y virus.

Webshell

Puede comprobar si los archivos (a menudo archivos PHP y JSP) en sus directorios web son shells web.

  • La información del shell web incluye la ruta del archivo troyano, el estado, la primera hora de descubrimiento y la última hora de descubrimiento. Puede optar por ignorar la advertencia en los archivos de confianza.
  • Puede utilizar la función de detección manual para detectar web shells en los servidores.

Reverse shell

Supervise los comportamientos de los procesos del usuario en tiempo real para detectar shells inversos causados por conexiones no válidas.

Se pueden detectar shells inversos para protocolos como TCP, UDP e ICMP.

Escalada de privilegios de archivo

Compruebe las escalaciones de privilegios de archivo en su sistema.

Escalada de privilegios de proceso
Se pueden detectar las siguientes operaciones de escalada de privilegios de proceso:
  • Escalada de privilegios de root mediante la explotación de las vulnerabilidades del programa SUID
  • Escalada de privilegios de root mediante la explotación de vulnerabilidades del kernel

Cambio de archivo crítico

Reciba alarmas cuando se modifiquen archivos críticos del sistema.

Cambios de archivo/directorio

Se supervisan los archivos y directorios del sistema. Cuando se modifica un archivo o directorio, se genera una alarma que indica que el archivo o directorio puede ser manipulado.

Detección de comportamiento de proceso anormal

Compruebe los procesos en los servidores, incluidos sus identificadores, líneas de comandos, rutas de proceso y comportamiento.

Envíe alarmas sobre operaciones e intrusiones de procesos no autorizados.

Se puede detectar el siguiente comportamiento anormal del proceso:

  • Uso anormal de la CPU
  • Procesos que acceden a direcciones IP maliciosas
  • Aumento anormal de las conexiones de proceso simultáneo

Ejecución de comandos de alto riesgo

Compruebe los comandos ejecutados en tiempo real y genere alarmas si se detectan comandos de alto riesgo.

Abnormal shell

Detecte acciones en shells anormales, como mover, copiar y eliminar archivos de shell, y modificar los permisos de acceso y los enlaces duros de los archivos.

Ataque de fuerza bruta

Compruebe si hay intentos de ataque de fuerza bruta y ataques de fuerza bruta exitosos.

  • Sus cuentas están protegidas de ataques de fuerza bruta. HSS bloqueará los hosts atacantes cuando detecte tales ataques.
  • Activar una alarma si un usuario inicia sesión mediante un ataque de fuerza bruta.

Inicio de sesión anormal

Compruebe y maneje los inicios de sesión remotos.

Si la ubicación de inicio de sesión de un usuario no es una ubicación de inicio de sesión común que establezca, se activará una alarma.

Cuentas no válidas

Escanee las cuentas de los servidores y enumere las cuentas sospechosas de manera oportuna.

Escapes de vulnerabilidad

El servicio informa de una alarma si detecta un comportamiento de proceso de contenedor que coincide con el comportamiento de vulnerabilidades conocidas (como el Dirty COW, brute-force attack, runC, y shocker).

Escapes de archivos

El servicio informa de una alarma si detecta que un proceso contenedor accede a un directorio de archivos clave (por ejemplo, /etc/shadow o /etc/crontab). Los directorios que cumplen con las reglas de asignación de directorios de contenedores también pueden activar tales alarmas.

Procesos de contenedores anormales

Los servicios de contenedores suelen ser simples. Si está seguro de que sólo se ejecutan procesos específicos en un contenedor, puede agregar los procesos a la lista blanca de una política y asociarla con el contenedor.

El servicio informa de una alarma si detecta que un proceso que no está en la lista blanca se está ejecutando en el contenedor.

Inicios anormales de contenedores

Compruebe si hay configuraciones de parámetros inseguras utilizadas durante el inicio del contenedor.

Algunos parámetros de inicio especifican permisos de contenedor. Si su configuración es inapropiada, los atacantes pueden aprovecharlos para entrometerse en contenedores.

Llamadas al sistema de alto riesgo

Los usuarios pueden ejecutar tareas en núcleos mediante llamadas al sistema Linux. El servicio informa de una alarma si detecta una llamada de alto riesgo, como open_by_handle_at, ptrace, setns, y reboot.

Acceso a archivos confidenciales

Detectar comportamientos de acceso sospechosos (como la escalada de privilegios y la persistencia) en archivos importantes.

Minería

Detecte intrusiones, como software incluido, ataques de fuerza bruta y bypass de autenticación.

Notificaciones de alarma en tiempo real

Cuando se produce un evento, se envía inmediatamente una notificación de alarma.

Intrusiones

Programas maliciosos

Comprobar y manejar programas maliciosos detectados en un solo lugar, incluyendo web shells, troyanos, software de minería, gusanos y virus.

Webshell

Puede comprobar si los archivos (a menudo archivos PHP y JSP) en sus directorios web son shells web.

  • La información del shell web incluye la ruta del archivo troyano, el estado, la primera hora de descubrimiento y la última hora de descubrimiento. Puede optar por ignorar la advertencia en los archivos de confianza.
  • Puede utilizar la función de detección manual para detectar web shells en los servidores.

Reverse shell

Supervise los comportamientos de los procesos del usuario en tiempo real para detectar shells inversos causados por conexiones no válidas.

Se pueden detectar shells inversos para protocolos como TCP, UDP e ICMP.

Escalada de privilegios de archivo

Compruebe las escalaciones de privilegios de archivo en su sistema.

Escalada de privilegios de proceso
Se pueden detectar las siguientes operaciones de escalada de privilegios de proceso:
  • Escalada de privilegios de root mediante la explotación de las vulnerabilidades del programa SUID
  • Escalada de privilegios de root mediante la explotación de vulnerabilidades del kernel

Cambio de archivo crítico

Reciba alarmas cuando se modifiquen archivos críticos del sistema.

Cambios de archivo/directorio

Se supervisan los archivos y directorios del sistema. Cuando se modifica un archivo o directorio, se genera una alarma que indica que el archivo o directorio puede ser manipulado.

Detección de comportamiento de proceso anormal

Compruebe los procesos en los servidores, incluidos sus identificadores, líneas de comandos, rutas de proceso y comportamiento.

Envíe alarmas sobre operaciones e intrusiones de procesos no autorizados.

Se puede detectar el siguiente comportamiento anormal del proceso:

  • Uso anormal de la CPU
  • Procesos que acceden a direcciones IP maliciosas
  • Aumento anormal de las conexiones de proceso simultáneo

Detección de ejecución de comandos de alto riesgo

Compruebe los comandos ejecutados en tiempo real y genere alarmas si se detectan comandos de alto riesgo.

Detección de shell anormales

Detecte acciones en shells anormales, como mover, copiar y eliminar archivos de shell, y modificar los permisos de acceso y los enlaces duros de los archivos.

Estadística de excepción

Compruebe y maneje los inicios de sesión remotos.

Si la ubicación de inicio de sesión de un usuario no es una ubicación de inicio de sesión común que establezca, se activará una alarma.

Cuentas no válidas

Escanee las cuentas de los servidores y enumere las cuentas sospechosas de manera oportuna.

Escapes de vulnerabilidad

El servicio informa de una alarma si detecta un comportamiento de proceso de contenedor que coincide con el comportamiento de vulnerabilidades conocidas (como el Dirty COW, brute-force attack, runC, y shocker).

Escapes de archivos

El servicio informa de una alarma si detecta que un proceso contenedor accede a un directorio de archivos clave (por ejemplo, /etc/shadow o /etc/crontab). Los directorios que cumplen con las reglas de asignación de directorios de contenedores también pueden activar tales alarmas.

Procesos de contenedores anormales

Los servicios de contenedores suelen ser simples. Si está seguro de que sólo se ejecutan procesos específicos en un contenedor, puede agregar los procesos a la lista blanca de una política y asociarla con el contenedor.

El servicio informa de una alarma si detecta que un proceso que no está en la lista blanca se está ejecutando en el contenedor.

Inicios anormales de contenedores

Compruebe si hay configuraciones de parámetros inseguras utilizadas durante el inicio del contenedor.

Algunos parámetros de inicio especifican permisos de contenedor. Si su configuración es inapropiada, los atacantes pueden aprovecharlos para entrometerse en contenedores.

Llamadas al sistema de alto riesgo

Los usuarios pueden ejecutar tareas en núcleos mediante llamadas al sistema Linux. El servicio informa de una alarma si detecta una llamada de alto riesgo, como open_by_handle_at, ptrace, setns, y reboot.

Acceso a archivos confidenciales

Detectar comportamientos de acceso sospechosos (como la escalada de privilegios y la persistencia) en archivos importantes.

Minería

Detecta intrusiones, como software incluido, ataques de fuerza bruta y bypass de autenticación.
Tema principal: Habilitación de HSS