Visualização de alarmes de intrusão
O HSS exibe estatísticas de alarmes e eventos e seu resumo em uma única página. Você pode ter uma visão geral rápida dos alarmes, incluindo o número de alarmes urgentes, alarmes totais, servidores com alarmes, endereços IP bloqueados e arquivos isolados.
A página Events exibe os eventos de alarmes gerados nos últimos 30 dias. Você pode lidar manualmente com os itens alarmados.
O status de um evento manipulado muda de Unhandled para Handled.
Os alarmes gerados pela detecção AV e detecção HIPS são exibidos em diferentes tipos de eventos.
- Os alarmes gerados pela detecção AV são exibidos apenas sob os eventos Malware.
- Os alarmes gerados pela detecção HIPS são exibidos em subcategorias de todos os eventos.
Restrições e limitações
- Para ignorar as verificações de execução de comandos de alto risco, escalonamento de privilégios, shells reversos, shells anormais ou web shells, desative manualmente as políticas correspondentes nos grupos de políticas na página Policies. O HSS não verificará os servidores vinculados às políticas desativadas. Para obter detalhes, consulte Visualização de um grupo de políticas.
- Outros itens de detecção não podem ser desativados manualmente.
- Os servidores que não estão protegidos pelo HSS não suportam operações relacionadas a alarmes e eventos.
Procedimento
- Faça logon no console de gerenciamento.
- No canto superior esquerdo da página, selecione uma região, clique em
e escolha .
Figura 1 Acessar o HSS
- No painel de navegação à esquerda, escolha Detection > Alarms e clique em Server Alarms.
If your servers are managed by enterprise projects, you can select an enterprise project to view or operate the asset and scan information.
Tabela 1 Estatísticas de alarme Parâmetro
Descrição
Enterprise Project
Selecione um projeto empresarial e visualize os detalhes do alarme por projeto empresarial.
Time range
Você pode selecionar um período fixo ou personalizar um intervalo de tempo para procurar alarmes. Somente alarmes gerados dentro de 30 dias podem ser consultados.
As opções são as seguintes:
- Last 24 hours
- Last 3 days
- Last 7 days
- Last 30 days
Urgent Alarms
Número de alarmes urgentes que precisam ser manipulados.
Total Alarms
Número total de alarmes em seus ativos.
Affected Servers
Número de servidores para os quais os alarmes são gerados.
Ao verificar os alarmes gerados nas últimas 24 horas, você pode clicar no número de servidores para ir para a página Servers & Quota e verificar os servidores correspondentes.
Handled Alarms
Número de alarmes manipulados.
Blocked IP Addresses
Número de endereços IP bloqueados. Você pode clicar no número para verificar a lista de endereços IP bloqueados.
A lista de endereços IP bloqueados exibe o nome do servidor, o endereço IP da origem do ataque, o tipo de logon, o status do bloqueio, o número de blocos, a hora de início do bloqueio e a hora de bloqueio mais recente.
Se um endereço IP válido for bloqueado por engano (por exemplo, após a equipe de O&M inserir senhas incorretas várias vezes), você poderá desbloqueá-lo manualmente. Se um servidor é frequentemente atacado, é aconselhável corrigir suas vulnerabilidades em tempo hábil e eliminar os riscos.
AVISO:- Depois que um endereço IP bloqueado for desbloqueado, o HSS não bloqueará mais as operações realizadas pelo endereço IP.
- Um máximo de 10.000 endereços IP podem ser bloqueados para cada tipo de software.
Se o seu servidor do Linux não suportar ipset, um máximo de 50 endereços IP podem ser bloqueados para MySQL e vsftp.
Se o seu servidor do Linux não suporta ipset ou hosts.deny, um máximo de 50 endereços IP podem ser bloqueados para SSH.
Isolated Files
O HSS pode isolar arquivos de ameaças detectados. Os arquivos que foram isolados são exibidos em um painel deslizante na página Server Alarms. Você pode clicar em Isolated Files no canto superior direito para verificá-los.
Você pode recuperar arquivos isolados. Para mais detalhes, consulte Gerenciamento de arquivos isolados.
- Verifique os alarmes em seus ativos.
Na área Alarms to Be Handled, pode selecionar um tipo de alarme e uma fase ATT&CK para ver os alarmes do tipo selecionado.
As tags de fase de ataque ATT&CK também são exibidas abaixo dos nomes dos alarmes. Para obter mais informações, consulte Tabela 2.
Adversarial Tactics, Techniques and Common Knowledge (ATT&CK) é uma estrutura que ajuda as organizações a entender as táticas e técnicas de adversários cibernéticos usadas pelos agentes de ameaças em todo o ciclo de vida do ataque.
Tabela 2 Fases ATT&CK Fase ATT&CK
Descrição
Reconnaissance
Os atacantes buscam vulnerabilidades em seu sistema ou rede.
Initial Access
O atacante tenta entrar em seu sistema ou rede.
Execution
Os atacantes tentam executar código malicioso.
Persistence
Os atacantes tentam manter sua posição.
Privilege Escalation
Os atacantes tentam obter permissões mais altas.
Defense Evasion
Os atacantes tentam evitar serem detectados.
Credential Access
Os atacantes tentam roubar nomes e senhas de contas.
Command and Control
Os atacantes tentam se comunicar com máquinas comprometidas para controlá-las.
Impact
Os atacantes tentam manipular, interromper ou destruir seu sistema ou dados.
- Clique em um nome de alarme para visualizar seus detalhes.
Você pode visualizar as descrições dos alarmes, sugestões, caminhos e endereços de alarmes na análise forense do HSS e o histórico de tratamento de alarmes semelhantes.
Você pode baixar os arquivos de origem de alarme de determinado malware para o seu PC local para análise. A senha para descompactar os arquivos é unlock.
Figura 2 Detalhes de alarme
