Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Host Security Service/ Guia de usuário/ Ativação do HSS/ Ativação de notificações de alarme
Atualizado em 2024-01-04 GMT+08:00
Ver PDF
Compartilhar

Ativação de notificações de alarme

Depois que a notificação de alarme estiver ativada, você poderá receber notificações de alarme enviadas pelo HSS para aprender sobre os riscos de segurança enfrentados por seus servidores e páginas da Web. Sem essa função, é necessário fazer logon no console de gerenciamento para visualizar os alarmes.
  • As configurações de notificação de alarme são efetivas somente para a região atual. Para receber notificações de outra região, mude para essa região e configure a notificação de alarme.
  • As notificações de alarme podem ser bloqueadas por engano. Se você ativou as notificações, mas não recebeu nenhuma, verifique se elas foram bloqueadas como espasmos.
  • O serviço Simple Message Notification (SMN) é um serviço pago. Para obter detalhes sobre o preço, consulte Detalhes de preços do produto.

Pré-requisitos

Antes de configurar a notificação de alarme,
  • Se definir Alarm Receiving Settings como Use Message Center settings, para definir destinatários, vá para a Message Center e escolha Message Receiving Management > SMS & Email Settings. Na área Security, clique em Modify na linha onde reside Security event.
  • Se você definir Alarm Receiving Settings como Use SMN topic settings, é aconselhável criar um tópico de mensagem no serviço SMN como um administrador. Para obter detalhes, consulte Publicação de uma mensagem.

Ativação de notificações de alarme

  1. Faça logon no console de gerenciamento.
  2. No canto superior esquerdo da página, selecione uma região, clique em e escolha Security & Compliance > Host Security Service.

    Figura 1 Acessar o HSS

  3. No painel de navegação, escolha Installation & Configuration e clique em Alarm Notifications. A Tabela 1 descreve os parâmetros.

    Figura 2 Configurações de alarme
    Tabela 1 Configurações de alarme

    Item de notificação

    Descrição

    Sugestão

    Daily alarm notification

    O HSS verifica as contas, diretórios da Web, vulnerabilidades, programas maliciosos e configurações de chave no sistema do servidor às 00:00 todos os dias e envia os resultados resumidos da detecção para os destinatários que você definiu em Central de mensagens ou SMN, dependendo de qual você escolheu.

    Para visualizar itens de notificação, clique em View Default Daily Notification Events.
    • Recomenda-se que você receba e verifique periodicamente todo o conteúdo na notificação diária de alarme para eliminar os riscos em tempo hábil.
    • As notificações diárias de alarme contêm muitos itens de verificação. Se você quiser enviar as notificações para destinatários definidos em um tópico de SMN, é aconselhável definir o protocolo de tópico para Email.

    Real-time alarm notification

    Quando um invasor invade um servidor, os alarmes são enviados para os destinatários definidos em Central de mensagens ou SMN, dependendo de qual deles você escolheu.

    Para visualizar itens de notificação, clique em View Default Real-time Notification Events.
    • É recomendável que você receba todo o conteúdo da notificação de alarme em tempo real e o visualize a tempo. O sistema do HSS monitora a segurança dos servidores em tempo real, detecta a intrusão do invasor e envia notificações de alarme em tempo real para que você possa lidar rapidamente com o problema.
    • As notificações de alarme em tempo real são sobre problemas urgentes. Se você quiser enviar as notificações para destinatários definidos em um tópico de SMN, é aconselhável definir o protocolo de tópico para SMS.

    Severity

    Selecione as gravidades dos alarmes sobre os quais deseja ser notificado.

    Todas

    Masked Events

    Selecione os eventos dos quais você não deseja ser notificado.

    Selecione os eventos a serem mascarados na caixa de listagem suspensa.

    Determine os eventos a serem mascarados com base na descrição em Notificações de alarme.

  4. Selecione o modo de notificação de alarme.

    • Use Message Center settings

      Por padrão, as notificações de alarme são enviadas aos destinatários especificados na central de mensagens. Você pode fazer logon na sua conta para verificar as configurações do destinatário.

      Para configurar os destinatários, escolha Message Receive Management > SMS & Email Settings. Na área Security, clique em Modify na linha onde reside Security event.

      Figura 3 Editar destinatários de mensagens
    • Use SMN topic settings

      Selecione um tópico disponível na lista suspensa ou clique em View Topics e crie um tópico.

      Para criar um tópico, ou seja, configurar um número de telefone celular ou endereço de e-mail para receber notificações de alarme, execute as seguintes etapas:
      1. Crie um tópico. Para obter detalhes, consulte Criação de um tópico.
      2. Configure o número de telefone celular ou o endereço de e-mail para receber notificações de alarme, ou seja, adicione uma ou mais assinaturas para o tópico criado. Para obter detalhes, consulte Adição de uma assinatura..
      3. Confirme a assinatura. Depois que a assinatura for adicionada, confirme a assinatura conforme solicitado pela mensagem SMS ou pelo e-mail recebido.

        A mensagem de confirmação sobre a assinatura do tópico pode ser considerada spam. Se você não receber a mensagem, verifique se ela é interceptada como spam.

      Você pode criar vários tópicos de notificação com base no plano de O&M e no tipo de notificação de alarme para receber diferentes tipos de notificações de alarme. Para obter detalhes sobre tópicos e assinaturas, consulte o Guia de usuário da Simple Message Notification.

  5. Clique em Apply. Será exibida uma mensagem indicando que a notificação de alarme foi definida com sucesso.

Notificações de alarme

Item de notificação

Item

Descrição

Daily Alarm Notifications

O serviço verifica os riscos em seus servidores no início da manhã todos os dias, resume e coleta os resultados de detecção e envia os resultados para o seu telefone celular ou caixa de e-mail às 10:00 todos os dias.

Ativos

Portas perigosas

Verificar se há portas abertas de alto risco e portas desnecessárias.

Agente não instalado

Verificar se há servidores sem nenhum agente do HSS instalado e lembrá-lo de instalar o agente nesses servidores em tempo hábil.

Vulnerabilidades

Vulnerabilidades críticas

Detectar vulnerabilidades críticas e corrigi-las em tempo hábil.

Configurações inseguras

Configurações inseguras

Detectar configurações inseguras de principais aplicações que provavelmente serão exploradas por hackers para invadir servidores.

Senhas fracas comuns

Detectar senhas fracas em MySQL, FTP e contas do sistema.

Invasões

Programas maliciosos

Verificar e lidar com programas maliciosos detectados em um só lugar, incluindo web shells, cavalos de Troia, software de mineração, worms e vírus.

Rootkits

Detectar ativos do servidor e relatar alarmes para módulos, arquivos e pastas do kernel suspeitos.

Ransomware

Verificar se há ransomware em mídias como páginas da Web, software, e-mails e mídia de armazenamento.

O ransomware pode criptografar e controlar seus ativos de dados, como documentos, e-mails, bancos de dados, código-fonte, imagens e arquivos compactados, para aproveitar a extorsão da vítima.

Web shells

Verificar se os arquivos (frequentemente arquivos PHP e JSP) detectados pelo HSS em seus diretórios da Web são web shells.

  • As informações de web shell incluem o caminho do arquivo do cavalo de Troia, o status, a hora da primeira descoberta e a hora da última descoberta. Você pode optar por ignorar o aviso em arquivos confiáveis.
  • Você pode usar a função de detecção manual para detectar web shells em servidores.

Shells reversos

Monitorar o comportamento do processo do usuário em tempo real para detectar shells reversos causados por conexões inválidas.

Os shells reversos podem ser detectados para protocolos, incluindo TCP, UDP e ICMP.

Explosões de vulnerabilidade do Redis

Detectar as modificações feitas pelo processo de Redis nos principais diretórios em tempo real e relatar alarmes.

Explosões de vulnerabilidade de Hadoop

Detectar as modificações feitas pelo processo de Hadoop nos principais diretórios em tempo real e relatar alarmes.

Explorações de vulnerabilidade do MySQL

Detectar as modificações feitas pelo processo do MySQL nos principais diretórios em tempo real e informe os alarmes.

Escalonamentos de privilégio de arquivo

Verificar os escalonamentos de privilégios de arquivos em seu sistema.

Escalonamentos de privilégio do processo
As seguintes operações de escalonamento de privilégios de processo podem ser detectadas:
  • Escalonamento de privilégio de raiz explorando vulnerabilidades do programa SUID
  • Escalonamento de privilégios de raiz explorando vulnerabilidades do kernel

Alterações em arquivo crítico

Receber alarmes quando arquivos críticos do sistema forem modificados.

Alterações de arquivo/diretório

Os arquivos e diretórios do sistema são monitorados. Quando um arquivo ou diretório é modificado, um alarme é gerado, indicando que o arquivo ou diretório pode ser adulterado.

Comportamentos anormais do processo

Verificar os processos em servidores, incluindo seus IDs, linhas de comando, caminhos de processo e comportamento.

Enviar alarmes sobre operações de processo não autorizadas e intrusões.

O seguinte comportamento anormal do processo pode ser detectado:

  • Uso anormal da CPU
  • Processos de acesso a endereços IP maliciosos
  • Aumento anormal nas conexões de processos simultâneos

Execução de comandos de alto risco

Verificar os comandos executados em tempo real e gerar alarmes se os comandos de alto risco forem detectados.

Shells anormais

Detectar ações em shells anormais, incluindo mover, copiar e excluir arquivos de shell e modificar as permissões de acesso e links físicos dos arquivos.

Tarefas suspeitas de crontab

Verificar e listar serviços iniciados automaticamente, tarefas agendadas, bibliotecas dinâmicas pré-carregadas, chaves de registro de execução e pastas de inicialização.

Você pode ser notificado imediatamente quando itens anormais de inicialização automática forem detectados e localizar rapidamente os cavalos de Troia.

Ataques de força bruta

Verificar se há tentativas de ataque de força bruta e ataques de força bruta bem-sucedidos.

  • Suas contas estão protegidas contra ataques de força bruta. O HSS bloqueará os hosts atacantes ao detectar esses ataques.
  • Acionar um alarme se um usuário efetuar logon no host por meio de um ataque de força bruta.

Logons anormais

Verificar e lidar com logons remotos.

Se a localização de logon de um usuário não for qualquer localização de logon comum que você definiu, um alarme será acionado.

Contas inválidas

Verificar contas em servidores e listar contas suspeitas em tempo hábil.

Escapes de vulnerabilidade

O serviço relata um alarme se detectar o comportamento do processo de container que corresponde ao comportamento de vulnerabilidades conhecidas (como Dirty COW, ataque de força bruta, runC e shocker).

Escapes de arquivo

O serviço reporta um alarme se ele detecta que um processo de container acessa um diretório de arquivo de chave (por exemplo, /etc/shadow ou /etc/crontab). Os diretórios que atendem às regras de mapeamento de diretórios de containers também podem acionar esses alarmes.

Processos de container anormal

Os serviços de container geralmente são simples. Se você tiver certeza de que apenas processos específicos são executados em um container, poderá adicionar os processos à lista branca de uma política e vincular a política ao container.

O serviço relata um alarme se detectar que um processo que não está na lista branca está sendo executado no container.

Inicializações anormais de containers

Verificar se há configurações de parâmetros inseguros usadas durante a inicialização do container.

Determinados parâmetros de inicialização especificam permissões de container. Se suas configurações forem inadequadas, elas podem ser exploradas por invasores para invadir containers.

Chamadas de sistema de alto risco

Os usuários podem executar tarefas em kernels por chamadas do sistema de Linux. O serviço relata um alarme se detectar uma chamada de alto risco, como open_by_handle_at, ptrace, setns e reboot.

Acesso a arquivos confidenciais

Detectar comportamentos de acesso suspeitos (como escalonamento e persistência de privilégios) em arquivos importantes.

Prevenção de adulteração na páginas da Web para servidores de Windows

Proteger os arquivos de página da Web estáticos em seus servidores de site do Windows contra modificações maliciosas.

Prevenção contra adulteração na páginas da Web para servidores de Linux

Proteger os arquivos de página da Web estáticos em seus servidores de sites do Linux contra modificações maliciosas.

WTP dinâmica

Proteger os arquivos de página da Web estáticos em seus servidores de sites do Windows e Linux contra modificações maliciosas.

Proteção da aplicação

Proteger as aplicações em execução. Você simplesmente precisa adicionar sondas às aplicações, sem ter que modificar os arquivos da aplicação.

Atualmente, apenas servidores de Linux são suportados e apenas aplicações Java podem ser conectadas.

Real-Time Alarm Notifications

Quando ocorre um evento, uma notificação de alarme é imediatamente enviada.

Invasões

Programas maliciosos

Verificar e lidar com programas maliciosos detectados em um só lugar, incluindo web shells, cavalos de Troia, software de mineração, worms e vírus.

Rootkits

Detectar ativos do servidor e relatar alarmes para módulos, arquivos e pastas do kernel suspeitos.

Ransomware

Verificar se há ransomware em mídias como páginas da Web, software, e-mails e mídia de armazenamento.

O ransomware pode criptografar e controlar seus ativos de dados, como documentos, e-mails, bancos de dados, código-fonte, imagens e arquivos compactados, para aproveitar a extorsão da vítima.

Web shells

Verificar se os arquivos (frequentemente arquivos PHP e JSP) detectados pelo HSS em seus diretórios da Web são web shells.

  • As informações de web shell incluem o caminho do arquivo do cavalo de Troia, o status, a hora da primeira descoberta e a hora da última descoberta. Você pode optar por ignorar o aviso em arquivos confiáveis.
  • Você pode usar a função de detecção manual para detectar web shells em servidores.

Shells reversos

Monitorar o comportamento do processo do usuário em tempo real para detectar shells reversos causados por conexões inválidas.

Os shells reversos podem ser detectados para protocolos, incluindo TCP, UDP e ICMP.

Explosões de vulnerabilidade do Redis

Detectar as modificações feitas pelo processo de Redis nos principais diretórios em tempo real e relatar alarmes.

Explosões de vulnerabilidade de Hadoop

Detectar as modificações feitas pelo processo de Hadoop nos principais diretórios em tempo real e relatar alarmes.

Explorações de vulnerabilidade do MySQL

Detectar as modificações feitas pelo processo do MySQL nos principais diretórios em tempo real e informe os alarmes.

Escalonamentos de privilégio de arquivo

Verificar os escalonamentos de privilégios de arquivos em seu sistema.

Escalonamentos de privilégio do processo
As seguintes operações de escalonamento de privilégios de processo podem ser detectadas:
  • Escalonamento de privilégio de raiz explorando vulnerabilidades do programa SUID
  • Escalonamento de privilégios de raiz explorando vulnerabilidades do kernel

Alterações em arquivo crítico

Receber alarmes quando arquivos críticos do sistema forem modificados.

Alterações de arquivo/diretório

Os arquivos e diretórios do sistema são monitorados. Quando um arquivo ou diretório é modificado, um alarme é gerado, indicando que o arquivo ou diretório pode ser adulterado.

Detecção de comportamento anormal do processo

Verificar os processos em servidores, incluindo seus IDs, linhas de comando, caminhos de processo e comportamento.

Enviar alarmes sobre operações de processo não autorizadas e intrusões.

O seguinte comportamento anormal do processo pode ser detectado:

  • Uso anormal da CPU
  • Processos de acesso a endereços IP maliciosos
  • Aumento anormal nas conexões de processos simultâneos

Detecção de execução de comando de alto risco

Verificar os comandos executados em tempo real e gerar alarmes se os comandos de alto risco forem detectados.

Detecção de shell anormal

Detectar ações em shells anormais, incluindo mover, copiar e excluir arquivos de shell e modificar as permissões de acesso e links físicos dos arquivos.

Tarefas suspeitas de crontab

Verificar e listar serviços iniciados automaticamente, tarefas agendadas, bibliotecas dinâmicas pré-carregadas, chaves de registro de execução e pastas de inicialização.

Você pode ser notificado imediatamente quando itens anormais de inicialização automática forem detectados e localizar rapidamente os cavalos de Troia.

Estatística de exceção

Verificar e lidar com logons remotos.

Se a localização de logon de um usuário não for qualquer localização de logon comum que você definiu, um alarme será acionado.

Conta inválida

Verificar contas em servidores e listar contas suspeitas em tempo hábil.

Escapes de vulnerabilidade

O serviço relata um alarme se detectar o comportamento do processo de container que corresponde ao comportamento de vulnerabilidades conhecidas (como Dirty COW, ataque de força bruta, runC e shocker).

Escapes de arquivo

O serviço reporta um alarme se ele detecta que um processo de container acessa um diretório de arquivo de chave (por exemplo, /etc/shadow ou /etc/crontab). Os diretórios que atendem às regras de mapeamento de diretórios de containers também podem acionar esses alarmes.

Processos de container anormal

Os serviços de container geralmente são simples. Se você tiver certeza de que apenas processos específicos são executados em um container, poderá adicionar os processos à lista branca de uma política e vincular a política ao container.

O serviço relata um alarme se detectar que um processo que não está na lista branca está sendo executado no container.

Inicializações anormais de containers

Verificar se há configurações de parâmetros inseguros usadas durante a inicialização do container.

Determinados parâmetros de inicialização especificam permissões de container. Se suas configurações forem inadequadas, elas podem ser exploradas por invasores para invadir containers.

Chamadas de sistema de alto risco

Os usuários podem executar tarefas em kernels por chamadas do sistema de Linux. O serviço relata um alarme se detectar uma chamada de alto risco, como open_by_handle_at, ptrace, setns e reboot.

Acesso a arquivos confidenciais

Detectar comportamentos de acesso suspeitos (como escalonamento e persistência de privilégios) em arquivos importantes.

Prevenção de adulteração na páginas da Web para servidores de Windows

Proteger os arquivos de página da Web estáticos em seus servidores de site do Windows contra modificações maliciosas.

Prevenção contra adulteração na páginas da Web para servidores de Linux

Proteger os arquivos de página da Web estáticos em seus servidores de sites do Linux contra modificações maliciosas.

WTP dinâmica

Proteger os arquivos de página da Web estáticos em seus servidores de sites do Windows e Linux contra modificações maliciosas.

Proteção da aplicação

Proteger as aplicações em execução. Você simplesmente precisa adicionar sondas às aplicações, sem ter que modificar os arquivos da aplicação.

Atualmente, apenas servidores de Linux são suportados e apenas aplicações Java podem ser conectadas.
Tópico principal: Ativação do HSS