Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Host Security Service/ Guia de usuário/ Operações de segurança/ Gerenciamento de políticas/ Modificação de uma política
Atualizado em 2024-01-04 GMT+08:00
Ver PDF
Compartilhar

Modificação de uma política

Esta seção descreve como modificar políticas em um grupo de políticas.

  • Modificações em uma política entram em vigor somente no grupo ao qual ela pertence.
  • Para os grupos de políticas padrão, é aconselhável manter suas configurações padrão.

Restrições

A edição profissional, empresarial, premium, WTP ou de container está ativada.

Acessar a página de políticas

  1. Faça logon no console de gerenciamento.
  2. No canto superior esquerdo da página, selecione uma região, clique em e escolha Security & Compliance > Host Security Service.

    Figura 1 Acessar o HSS

  1. Na árvore de navegação à esquerda, escolha Security Operations > Policies para verificar os grupos de políticas exibidos. Para obter mais informações, consulte Tabela 1.

    • tenant_linux_advanced_default_policy_group: política predefinida da edição profissional do Linux, que só pode ser visualizada, mas não pode ser copiada ou excluída.
    • tenant_windows_advanced_default_policy_group: política de predefinição da edição profissional do Windows, que só pode ser visualizada, mas não pode ser copiada ou excluída.
    • tenant_linux_container_default_policy_group é o grupo de políticas padrão do Linux da edição de container. Este grupo de políticas só pode ser visualizado e não pode ser copiado ou excluído.
    • tenant_linux_enterprise_default_policy_group é o grupo de políticas padrão do Linux da edição empresarial. Este grupo de políticas só pode ser visualizado e não pode ser copiado ou excluído.
    • tenant_windows_enterprise_default_policy_group é o grupo de políticas do Windows padrão da edição empresarial. Este grupo de políticas só pode ser visualizado e não pode ser copiado ou excluído.
    • tenant_linux_premium_default_policy_group é o grupo de políticas padrão do Linux da edição premium. Você pode criar um grupo de políticas copiando esse grupo padrão e modificar a cópia.
    • tenant_windows_premium_default_policy_group é o grupo de políticas padrão do Windows da edição premium. Você pode criar um grupo de políticas copiando esse grupo padrão e modificar a cópia.
    • wtp_ServerName é um grupo de políticas de edição WTP. Ele é gerado por padrão quando a WTP está ativada para um servidor.
    • Para atualizar a lista, clique em no canto superior direito.
    • Para visualizar detalhes sobre os servidores vinculados a um grupo de políticas, clique no número na coluna Servers do grupo.
    Tabela 1 Parâmetros do grupo de políticas

    Parâmetro

    Descrição

    Policy Group

    Nome de um grupo de políticas

    ID

    ID exclusivo de um grupo de políticas

    Description

    Descrição de um grupo de políticas

    Supported Version

    Edição do HSS suportada por um grupo de políticas

    OS

    SO suportado pela política.

    Servers

    Número de servidores vinculados à política

  2. Clique no nome do grupo de políticas para acessar a lista de detalhes da política. Você pode modificar a política clicando em seu nome.

Descoberta de ativos

  1. Clique em Asset Discovery.
  2. Na página exibida, modifique as configurações conforme necessário. Para obter mais informações, consulte Tabela 2.

    Tabela 2 Descrição do parâmetro

    Parâmetro

    Descrição

    Scan Time

    Tempo fixo para verificação automática de ativos. O tempo de verificação pode ser personalizado para middleware, estruturas da Web, módulos do kernel, aplicações Web, sites, serviços da Web e bancos de dados.

    O tempo de deslocamento é o ajuste automático antes ou depois do tempo de verificação especificado.

    • Contas: as contas do Linux são verificadas automaticamente a cada hora e as contas do Windows são verificadas em tempo real.
    • As portas abertas são verificadas automaticamente a cada 30 segundos.
    • Os processos são verificados automaticamente a cada hora.
    • O software instalado é verificado automaticamente uma vez por dia.
    • Os itens de inicialização automática são verificados automaticamente a cada hora.
    • Middleware/estrutura da Web: você pode selecionar a data e a hora da verificação juntos.
    • Módulos do kernel: você pode definir a data e a hora da verificação conforme necessário.
    • Aplicações Web/sites/serviços Web/bancos de dados: você pode selecionar a data e a hora da verificação juntos.

    Software Scanned
    • Nome do software. Um nome pode conter um máximo de 5.000 caracteres sem nenhum espaço. Use vírgulas (,) para separar nomes de software.
    • Se esse parâmetro não for especificado, as informações sobre todos os softwares instalados serão recuperadas como seu valor.

    Software Scanned

    Caminho para pesquisa de software. Este parâmetro não é necessário para servidores do Windows.

    Web Directory to Be Scanned

    Especifica um diretório Web a ser verificado.

    Web Directory Scan Depth

    Especifica o nível de profundidade para verificação de diretórios Web.

  3. Confirme as informações e clique em OK.

Verificação de senha fraca

Senhas fracas não são atribuídas a um certo tipo de vulnerabilidade, mas elas não trazem menos riscos de segurança do que qualquer tipo de vulnerabilidade. Dados e programas se tornarão inseguros se suas senhas forem quebradas.

O HSS detecta proativamente as contas usando senhas fracas e gera alarmes para as contas. Você também pode adicionar uma senha que pode ter sido vazada à lista de senhas fracas para impedir que as contas do servidor usem a senha.

  1. Clique em Weak Password Detection.
  2. Na área Policy Settings, modifique as configurações conforme necessário. Para obter mais informações, consulte Tabela 3.

    Figura 2 Modificar a política de detecção de senha fraca
    Tabela 3 Descrição do parâmetro

    Parâmetro

    Descrição

    Scan Time

    Momento em que as detecções são realizadas. Pode ser preciso ao minuto.

    Random Deviation Time (s)

    Tempo de desvio aleatório da senha fraca com base em Scan Time. O intervalo de valores é de 0 a 7200s.

    Scan Days

    Dias em uma semana em que as senhas fracas são verificadas. Você pode selecionar um ou mais dias.

    Detection Break Time (ms)

    Intervalo entre as verificações de duas contas. O intervalo de valores é de 0 a 2.000.

    Por exemplo, se esse parâmetro for definido como 50, o sistema verificará /bin/ls a cada 50 milissegundos.

    User-defined Weak Passwords

    Você pode adicionar uma senha que pode ter sido vazada a essa caixa de texto de senha fraca para impedir que as contas do servidor usem a senha.

    Digite apenas uma senha fraca por linha. Até 300 senhas fracas podem ser adicionadas.

  3. Confirme as informações e clique em OK.

Verificação de configuração

  1. Clique em Configuration Check.
  2. Em Configure Check, modifique a política.

    Figura 3 Modificar a política de verificação de configuração
    Tabela 4 Descrição do parâmetro

    Parâmetro

    Descrição

    Scan Time

    Momento em que as detecções são realizadas. Pode ser preciso ao minuto.

    Random Deviation Time (Seconds)

    Tempo de desvio aleatório da detecção do sistema. O valor varia de 0 a 7200s.

    Scan Days

    Dia em uma semana em que uma detecção é realizada. Você pode selecionar qualquer dia de segunda a domingo.

  3. Selecione a linha de base a ser detectada ou personalize uma linha de base.

    Para verificar se o seu sistema atende aos requisitos de conformidade, selecione DJCP MLPS na área Type.

  4. Confirme as informações e clique em OK.

Detecção de web shell

Se User-defined Scan Paths não for especificado, os caminhos do site em seus ativos serão verificados por padrão. Se User-defined Scan Paths for especificado, somente os caminhos especificados serão verificados.

  1. Clique em Web Shell Detection.
  2. Na página Web Shell Detection, modifique as configurações conforme necessário. Para obter mais informações, consulte Tabela 5.

    Figura 4 Modificar a política de detecção de web shell
    Tabela 5 Descrição do parâmetro

    Parâmetro

    Descrição

    Scan Time

    Momento em que as detecções são realizadas. Pode ser preciso ao minuto.

    Random Deviation Time (Seconds)

    Tempo de desvio aleatório. O valor varia de 0 a 7200s.

    Scan Days

    Dias em uma semana em que os web shells são verificados. Você pode selecionar um ou mais dias.

    User-defined Scan Paths

    Caminhos da Web a serem verificados. Um caminho de arquivo deve:

    • Começar com uma barra (/) e terminar sem barras (/).
    • Ocupar uma linha separada e não pode conter espaços.

    Monitored Files Types

    Extensões de arquivos a serem verificadas. Os valores válidos incluem jsp, jspx, jspf, php, php5, php4.

  3. Confirme as informações e clique em OK.

Proteção de arquivos

  1. Clique em File Protection.
  2. Na página File Protection, modifique a política. Para obter mais informações, consulte Tabela 6.

    Figura 5 Proteção de arquivos
    Tabela 6 Descrição do parâmetro

    Parâmetro

    Descrição

    File Privilege Escalation
    • Detecta escalonamento de privilégios.
      • : ativar
      • : desativar
    • Ignored File Path: arquivos a serem ignorados. Comece o caminho com uma barra (/) e não termine com uma barra (/). Cada caminho ocupa uma linha. Não são permitidos espaços entre os nomes dos caminhos.

    File Integrity
    • Detecta a integridade dos arquivos principais.
      • : ativar
      • : desativar
    • File Paths: configure os caminhos dos arquivos.

    Important File Directory Change
    • Detecta a alteração de diretório dos arquivos principais.
      • : ativar
      • : desativar
    • Enable Audit: ativa a função de detecção de auditoria. Se a função estiver ativada e o uso de inotify exceder o limite, algumas alterações no diretório de arquivos não poderão ser detectadas.
      • : ativar
      • : desativar
    • Session IP Whitelist: se o processo de arquivo pertencer às sessões dos endereços IP listados, nenhuma auditoria será aplicada.
    • Unmonitored File Types: tipos de arquivos que não precisam ser monitorados.
    • Unmonitored File Paths: caminhos de arquivo que não precisam ser monitorados.
    • Monitoring Login Keys: ativa a função de monitorar chaves de logon.
      • : ativar
      • : desativar

    Directory Monitoring Mode
    • Modo de monitoramento de diretório.
    • File or Directory Path: alguns caminhos de monitoramento de arquivos ou diretórios são predefinidos no sistema. Você pode modificar o tipo de alteração de arquivo a ser detectado e adicionar os caminhos de arquivos ou diretórios a serem monitorados.

  3. Confirme as informações e clique em OK.

Detecção de HIPS

  1. Clique em HIPS Detection.
  2. Modifique o conteúdo da política. Para obter mais informações, consulte Tabela 7.

    Figura 6 Modificar a política de detecção de HIPS
    Tabela 7 Parâmetros de política de detecção de HIPS

    Parâmetro

    Descrição

    Auto Blocking
    Se esta função estiver ativada, alterações anormais em registros, arquivos e processos serão automaticamente bloqueadas para evitar shells reversos e comandos de alto risco.
    • : ativar
    • : desativar

    Trusted Processes

    Caminhos de processos confiáveis. Você pode clicar em Add para adicionar um caminho e clicar em Delete para excluí-lo.

  3. Confirme as informações e clique em OK.

Verificação de segurança de logon

  1. Clique em Login Security Check.
  2. Na página Login Security Check exibida, modifique o conteúdo da política. Tabela 8 descreve os parâmetros.

    Figura 7 Modificar a política de verificação de segurança
    Tabela 8 Descrição do parâmetro

    Parâmetro

    Descrição

    Lock Time (min)

    Esse parâmetro é usado para determinar quantos minutos os endereços IP que enviam ataques são bloqueados. O intervalo de valores é de 1 a 43.200. O logon não é permitido durante o período de bloqueio.

    Cracking Behavior Determination Threshold (s)

    Este parâmetro é usado junto com Cracking Behavior Determination Threshold (Login Attempts). O intervalo de valores é de 5 a 3.600.

    Por exemplo, se esse parâmetro for definido como 30 e Cracking Behavior Determination Threshold (Login Attempts) for definido como 5, o sistema determinará que uma conta será quebrada quando o mesmo endereço IP falhar ao efetuar logon no sistema por cinco vezes dentro de 30 segundos.

    Cracking Behavior Determination Threshold (Login Attempts)

    Este parâmetro é usado em conjunto com Cracking Behavior Determination Threshold. O intervalo de valores é de 1 a 36.000.

    Threshold for slow brute force attack (second)

    Esse parâmetro é usado junto com Threshold for slow brute force attack (failed login attempt). O intervalo de valores é de 600 a 86.400s.

    Por exemplo, se este parâmetro for definido como 3600 e Threshold for slow brute force attack (failed login attempt) for definido como 15, o sistema determina que uma conta foi quebrada quando o mesmo endereço IP falha ao fazer logon no sistema por quinze vezes dentro de 3.600 segundos.

    Threshold for slow brute-force attack (failed login attempt)

    Este parâmetro é usado em conjunto com Threshold for slow brute force attack (second). O intervalo de valores é de 6 a 100.

    Check Whether the Audit Login Is Successful
    • Depois que essa função é ativada, o HSS relata logs de sucesso de logon.
      • : ativar
      • : desativar

    Block Non-whitelisted Attack IP Address

    Depois que essa função é ativada, o HSS bloqueia o logon de endereços IP de força bruta (endereços IP não incluídos na lista branca).

    Report Alarm on Brute-force Attack from Whitelisted IP Address

    Depois que essa função é ativada, o HSS gera alarmes para ataques de força bruta a partir de endereços IP na lista branca.

    • : ativar
    • : desativar

    Whitelist

    Depois que um endereço IP é adicionado à lista branca, o HSS não bloqueia ataques de força bruta do endereço IP na lista branca. Um máximo de 50 endereços IP ou segmentos de rede podem ser adicionados à lista branca. Ambos os endereços IPv4 e IPv6 são suportados.

  3. Confirme as informações e clique em OK.

Detecção de arquivos maliciosos

  1. Clique em Malicious File Detection.
  2. Na página exibida, modifique a política. Para obter mais informações, consulte Tabela 9.

    Figura 8 Modificar a política de detecção de arquivos maliciosos
    Tabela 9 Descrição do parâmetro

    Parâmetro

    Descrição

    Whitelist Paths in Reverse Shell Check

    Caminho do arquivo do processo a ser ignorado na detecção de shell reverso

    Começar com uma barra (/) e terminar sem barras (/). Ocupar uma linha separada e não pode conter espaços.

    Reverse Shell Scanning Interval (s)

    Período de verificação reversa do shell. O intervalo de valores é de 30 a 86.400.

    Audit detection enhancement
    • Seja para melhorar a detecção de auditoria. É aconselhável ativar esta função.
      • : ativar
      • : desativar

    Max. open files per process

    Número máximo de arquivos que podem ser abertos por um processo. O intervalo de valores é de 10 a 300.000.

    Detect Reverse Shells
    • Detecta shells reversos. Você é aconselhado a ativá-lo.
      • : ativar
      • : desativar

    Auto-block Reverse Shells

    Especifica se deve ser ativado o bloqueio automático de shells reversos. É aconselhável ativar esta função.

    • : ativar
    • : desativar
    NOTA:

    Este parâmetro entra em vigor após a função de Isolamento e eliminação de programas maliciosos estar ativada.

    Abnormal Shell Detection
    • Detecta shells anormais. Você é aconselhado a ativá-lo.
      • : ativar
      • : desativar

  3. Confirme as informações e clique em OK.

Comportamento anormal do processo

  1. Clique em Abnormal process behaviors.
  2. Na área exibida, modifique as configurações conforme necessário. Para obter mais informações, consulte Tabela 10.

    Tabela 10 Descrição do parâmetro

    Parâmetro

    Descrição

    Exemplo de valor

    Detection and Scanning Cycle (Seconds)

    Intervalo para verificar os programas em execução no host. O intervalo de valores é de 30 a 1.800.

    1800

    Detection Mode

    Selecione o método para detecção de comportamento anormal do processo.

    • Sensitive: detecção e verificação profunda e completa são realizadas em todos os processos, o que pode causar falsos positivos. Adequado para simulações de proteção cibernética e simulações de garantia de eventos importantes.
    • Balanced: todos os processos são detectados e verificados. A precisão do resultado da detecção e a taxa de detecção anormal do processo são balanceadas. Adequado para proteção de rotina.
    • Conservative: todos os processos são detectados e verificados. Este modo fornece alta precisão de resultados de detecção e baixos falsos positivos. Adequado para cenários com um grande número de falsos positivos.

    Balanced

  3. Confirme as informações e clique em OK.

Detecção de escalonamento de privilégios raiz

  1. Clique em Root privilege escalation.
  2. Na área exibida, modifique as configurações conforme necessário. Para obter mais informações, consulte Tabela 11.

    Figura 9 Modificar a política de escalonamento de privilégio raiz
    Tabela 11 Descrição do parâmetro

    Parâmetro

    Descrição

    Ignored Process File Path

    Caminho do arquivo de processo ignorado

    Começar com uma barra (/) e terminar sem barras (/). Ocupar uma linha separada e não pode conter espaços.

    Scanning Interval (s)

    Intervalo para verificar os arquivos do processo. O intervalo de valores é de 5 a 3.600.

  3. Confirme as informações e clique em OK.

Processo em tempo real

  1. Clique em Real-time Process.
  2. Na página exibida, modifique as configurações conforme necessário. Para obter mais informações, consulte Tabela 12.

    Figura 10 Modificar a política de processos em tempo real
    Tabela 12 Parâmetros para configurações de política de processo em tempo real

    Parâmetro

    Descrição

    Full Process Report Interval (s)

    Intervalo para reportar o processo completo. O intervalo de valores é de 3.600 a 86.400.

    High-Risk Commands

    Comandos de alto risco que contêm palavras-chave durante a detecção.

    Whitelist (Do Not Record Logs)

    Adicione caminhos ou nomes de programas que são permitidos ou ignorados durante a detecção.

  3. Confirme as informações e clique em OK.

Detecção de rootkit

  1. Clique em Rootkit Detection.
  2. Na página de detecção de rootkit, modifique o conteúdo da política.

    Figura 11 Modificar a política de detecção de rootkit
    Tabela 13 Descrição do parâmetro

    Parâmetro

    Descrição

    Exemplo de valor

    Scanning Interval (s)

    Intervalo para execução da política de verificação. O valor varia de 60 a 86400.

    86400

    Check Library

    Verificar os arquivos e pastas nas bibliotecas existentes. É aconselhável ativar esta função.

    • : ativar
    • : desativar

    Check Kernel Space

    Executar a verificação pelos módulos do kernel. Todos os módulos do kernel serão verificados. É aconselhável ativar esta função.

    • : ativar
    • : desativar

    Kernel Module Whitelist

    Adicionar os módulos do kernel que podem ser ignorados durante a detecção.

    Até 10 módulos do kernel podem ser adicionados. Cada módulo ocupa uma linha.

    xt_conntrack

    virtio_scsi

    tun

  3. Confirme as informações e clique em OK.

Detecção AV

  1. Clique em AV Detection.
  2. No painel deslizante AV Detection que é exibido, modifique as configurações conforme necessário. Para mais detalhes, consulte Tabela 14.

    Tabela 14 Parâmetros de política de detecção AV

    Parâmetro

    Descrição

    Exemplo de valor

    Real-Time Protection

    Depois que essa função é ativada, a detecção AV é realizada em tempo real quando a política atual é executada. É aconselhável ativar esta função.

    • : ativar
    • : desativar

    Protected File Type

    Tipo dos arquivos a serem verificados em tempo real.

    • All: selecione todos os tipos de arquivo.
    • Executable: tipos de arquivos executáveis, como EXE, DLL e SYS.
    • Compressed: tipos de arquivos compactados, como ZIP, RAR e JAR.
    • Text: tipos de arquivos de texto como PHP, JSP, HTML e Bash.
    • OLE: tipos de arquivos compostos, como arquivos do Microsoft Office (PPT e DOC) e arquivos de e-mail salvos (MSG).
    • Other: tipos de arquivo, exceto os tipos anteriores.

    All

    Action

    Método de manipulação para os alarmes de detecção de objetos.

    • Automated handling: isolar arquivos de vírus de alto risco por padrão. Relatar outros arquivos de vírus, mas não os isolar.
    • Manual handling: relatar todos os arquivos de vírus detectados, mas não os isolar. Você precisa lidar com eles manualmente.

    Automated handling

  3. Confirme as informações e clique em OK.

Coleta de informações de container

  1. Clique em Container Information Collection.
  2. No painel deslizante Container Information Collection exibido, modifique Policy Settings. Para obter detalhes sobre os parâmetros, consulte Tabela 15.

    A lista branca tem uma prioridade mais alta do que a lista negra. Se um diretório for especificado tanto na lista branca quanto na lista negra, ele será considerado um item na lista branca.

    Tabela 15 Parâmetros de política de coleta de informações de container

    Parâmetro

    Descrição

    Exemplo de valor

    Mount Path Whitelist

    Digite o diretório que pode ser montado.

    /test/docker or /root/*

    Observação: se um diretório termina com um asterisco (*), ele indica todos os subdiretórios sob o diretório (excluindo o diretório principal).

    Por exemplo, se /var/test/* for especificado na lista branca, todos os subdiretórios em /var/test/ serão colocados na lista branca, excluindo o diretório test.

    Mount Path Blacklist

    Insira os diretórios que não podem ser montados. Por exemplo, user e bin, os diretórios dos principais arquivos de informações do host, não são aconselhados a serem montados. Caso contrário, informações importantes podem ser expostas.

  3. Confirme as informações e clique em OK.

Detecção de intrusão de cluster

  1. Clique em Cluster Intrusion Detection.
  2. No painel deslizante Cluster Intrusion Detection que é exibido, modifique Policy Settings. Para obter detalhes sobre os parâmetros, consulte Tabela 16.

    Tabela 16 Parâmetros de política de detecção de intrusão de cluster

    Parâmetro

    Descrição

    Exemplo de valor

    Basic Detection Cases

    Selecione itens de verificação básica conforme necessário.

    Selecionar tudo

    Whitelist

    Você pode personalizar os tipos e valores que precisam ser ignorados durante a detecção. Você pode adicionar e excluir tipos e valores conforme necessário.

    Os seguintes tipos são suportados:

    • Filtro de endereço IP
    • Filtro de nome de pod
    • Filtro de nome de imagem
    • Filtro de usuário
    • Filtro de tags de pod
    • Filtro de namespace
      NOTA:

      Cada tipo pode ser usado apenas uma vez.

    Tipo: IP address filtering

    Valor: 192.168.x.x

    Depois que essa política for configurada, você precisará ativar a função de auditoria de logs e implementar o agente do HSS no nó de gerenciamento (nó onde o APIServer está localizado) do cluster para que a política entre em vigor.

  3. Confirme as informações e clique em OK.

Monitoramento de arquivos de containers

Se um caminho de arquivo monitorado estiver sob o caminho de montagem em vez da camada gravável do container no servidor, as alterações no arquivo não poderão acionar alarmes de modificação do arquivo do container. Para proteger esses arquivos, configure uma política de proteção de arquivos.

  1. Clique em Container File Monitoring.
  2. No painel deslizante Container File Monitoring que é exibido, modifique Policy Settings. Para obter detalhes sobre os parâmetros, consulte Tabela 17.

    Tabela 17 Parâmetros de política de monitoramento de arquivos de container

    Parâmetro

    Descrição

    Exemplo de valor

    Fuzzy match

    Indica se deve ser ativada a correspondência difusa para o arquivo de destino. É aconselhável selecionar esta opção.

    Selecionado

    Block New Executable

    Monitorar o comportamento da adição de arquivos executáveis. Se esta opção estiver selecionada, a adição de arquivos executáveis é proibida. É aconselhável selecionar esta opção.

    Selecionado

    Image Name

    Nome da imagem de destino a ser verificada

    test_bj4

    Image ID

    ID da imagem de destino a ser verificada

    -

    File

    Nome do arquivo na imagem de destino a ser verificada

    /tmp/testw.txt

  3. Confirme as informações e clique em OK.

Lista branca de processos de containers

  1. Clique em Container Process Whitelist.
  2. No painel deslizante Container Process Whitelist exibido, modifique Policy Settings. Para obter detalhes sobre os parâmetros, consulte Tabela 18.

    Tabela 18 Parâmetros de política da lista branca do processo de container

    Parâmetro

    Descrição

    Exemplo de valor

    Fuzzy Match

    Indica se deve ser ativada a correspondência difusa para o arquivo de destino. É aconselhável selecionar esta opção.

    Selecionado

    Image Name

    Nome da imagem de destino a ser detectada

    test_bj4

    Image ID

    ID da imagem de destino a ser verificada

    -

    Process

    Caminho do arquivo na imagem de destino a ser verificado

    /tmp/testw

  3. Confirme as informações e clique em OK.

Comportamentos suspeitos de imagem

  1. Clique em Suspicious Image Behaviors.
  2. No painel deslizante Suspicious Image Behaviors exibido, modifique Policy Settings. Para obter detalhes sobre os parâmetros, consulte Tabela 19.

    Tabela 19 Parâmetros de política de comportamentos de imagem suspeitos

    Parâmetro

    Descrição

    Exemplo de valor

    Rule Name

    Nome de uma regra

    -

    Description

    Breve descrição de uma regra

    -

    Template
    • Configure modelos com base em regras diferentes. As regras suportadas são as seguintes:
      • Image whitelist
      • Image blacklist
      • Image tag whitelist
      • Image tag blacklist
      • Create container whitelist
      • Create container blacklist
      • Container mount proc whitelist
      • Container seccomp unconfined
      • Container privilege whitelist
      • Container capability whitelist
    • Os parâmetros são descritos a seguir:
      • Exact match: digite os nomes das imagens que você deseja verificar. Use ponto-e-vírgula (;) para separar vários nomes. No máximo 20 nomes podem ser inseridos.
      • RegEx match: use expressões regulares para combinar imagens. Use ponto-e-vírgula (;) para separar várias expressões. Um máximo de 20 expressões podem ser inseridas.
      • Prefix match: digite os prefixos das imagens que você deseja verificar. Vários prefixos são separados por ponto e vírgula (;). Um máximo de 20 prefixos podem ser inseridos.
      • Tag Name: digite a tag e o valor das imagens que você deseja verificar. Um máximo de 20 tags podem ser adicionadas.
      • Permission Type: especifique as permissões a serem verificadas ou ignoradas. Para obter detalhes sobre permissões, consulte Tabela 20.

    -
    Tabela 20 Permissões de imagens anormais

    Nome de permissões

    Descrição

    AUDIT_WRITE

    Gravar registros no log de auditoria do kernel.

    CHOWN

    Fazer alterações arbitrárias nos UIDs e GIDs de arquivos.

    DAC_OVERRIDE

    Ignorar a leitura, gravação e execução de verificações de permissão de arquivo.

    FOWNER

    Ignorar verificações de permissão em operações que normalmente exigem que o UID do sistema de arquivos do processo corresponda ao UID do arquivo.

    FSETID

    Não limpar os bits de permissões set-user-ID e set-group-ID quando um arquivo for modificado.

    KILL

    Ignorar verificações de permissão para enviar sinais

    MKNOD

    Criar arquivos especiais usando mknod.

    NET_BIND_SERVICE

    Vincular um soquete a portas privilegiadas de domínio da Internet (números de porta inferiores a 1024).

    NET_RAW

    Usar soquetes RAW e PACKET.

    SETFCAP

    Definir as capacidades do arquivo.

    SETGID

    Fazer manipulações arbitrárias de GIDs de processo e lista de GIDs suplementares.

    SETPCAP

    Modificar as capacidades do processo.

    SETUID

    Fazer manipulações arbitrárias de UIDs de processo.

    SYS_CHROOT

    Usar chroot para alterar o diretório raiz.

    AUDIT_CONTROL

    Ativar e desativar a auditoria do kernel; alterar regras de filtragem de auditoria; recuperar status de auditoria e regras de filtragem.

    AUDIT_READ

    Permitir a leitura de logs de auditoria via soquete de netlink multicast.

    BLOCK_SUSPEND

    Permitir a prevenção da suspensão.

    BPF

    Permitir a criação de mapas BPF, carregar dados de BPF Type Format (BTF), recuperar código JITed de programas BPF e muito mais.

    CHECKPOINT_RESTORE

    Permitir operações relacionadas a pontos de verificação e restauração.

    DAC_READ_SEARCH

    Ignorar verificações de permissão de leitura de arquivos e verificações de permissão de leitura e execução de diretórios.

    IPC_LOCK

    Bloquear memória (como mlock, mlockall, mmap e shmctl).

    IPC_OWNER

    Ignorar verificações de permissão para operações em objetos de System V IPC.

    LEASE

    Estabelecer locações em arquivos arbitrários

    LINUX_IMMUTABLE

    Definir os sinalizadores de i-node FS_APPEND_FL e FS_IMMUTABLE_FL.

    MAC_ADMIN

    Permitir mudanças de configuração ou estado do MAC.

    MAC_OVERRIDE

    Substituir o Controle de acesso obrigatório (MAC).

    NET_ADMIN

    Executar várias operações relacionadas à rede.

    NET_BROADCAST

    Fazer transmissões de soquete e ouvir multicasts.

    PERFMON

    Permitir operações privilegiadas de desempenho e observabilidade do sistema usando perf_events, i915_perf e outros subsistemas do kernel.

    SYS_ADMIN

    Executar uma série de operações de administração do sistema.

    SYS_BOOT

    Usar reinicialização e kexec_load. Reinicializar e carregar um novo kernel para execução posterior.

    SYS_MODULE

    Carregar e descarregar módulos do kernel.

    SYS_NICE

    Aumentar o valor nice do processo (nice, definir prioridade) e alterar o valor nice para processos arbitrários.

    SYS_PACCT

    Ativar ou desativar a contabilidade do processo.

    SYS_PTRACE

    Rastrear processos arbitrários usando ptrace.

    SYS_RAWIO

    Executar operações de porta I/O (ipl e ioperm).

    SYS_RESOURCE

    Substituir limites de recursos.

    SYS_TIME

    Ajustar o relógio do sistema (settimeofday, stime e adjtimex) e o relógio em tempo real (hardware).

    SYS_TTY_CONFIG

    Usar o vhangup. Empregar várias operações ioctl privilegiadas em terminais virtuais.

    SYSLOG

    Executar operações de syslog privilegiadas.

    WAKE_ALARM

    Acionar algo que despertará o sistema.

  3. Confirme as informações e clique em OK.

Detecção de verificação de porta

  1. Clique em Port Scan Detection.
  2. No painel deslizante Port Scan Detection exibido, modifique Policy Settings. Para obter detalhes sobre os parâmetros, consulte Tabela 21.

    Tabela 21 Parâmetros de política de detecção de verificação de porta

    Parâmetro

    Descrição

    Exemplo de valor

    Process Information Collection Interval (s):

    Intervalo para obtenção de processos

    Selecionado

    Source IP Address Whitelist

    Insira a lista branca de endereços IP. Separe vários endereços IP com ponto e vírgula (;).

    test_bj4

    Packet Quantity Threshold

    -

    -

    Ports to Scan

    Detalhes sobre o número da porta e o tipo de protocolo a ser detectado

    -

  3. Confirme as informações e clique em OK.

Autoproteção

A política de autoproteção protege o software, os processos e os arquivos do HSS de serem danificados por programas maliciosos. Não é possível personalizar o conteúdo da política.

Tópico principal: Gerenciamento de políticas