Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda/ Host Security Service/ Guia de usuário/ Detecção de intrusão/ Alarmes/ Alarmes do HSS/ Alarmes do servidor

Atualizado em 2024-01-04 GMT+08:00

Ver PDF

Alarmes do servidor

O HSS gera alarmes em uma variedade de eventos de intrusão, incluindo ataques de força bruta, comportamentos anormais de processos, web shells, logons anormais e processos maliciosos. Você pode aprender todos esses eventos no console e eliminar os riscos de segurança em seus ativos em tempo hábil.

Os alarmes gerados pela detecção AV e detecção HIPS são exibidos em diferentes tipos de eventos.

Os alarmes gerados pela detecção AV são exibidos apenas sob os eventos Malware.
Os alarmes gerados pela detecção HIPS são exibidos em subcategorias de todos os eventos.

Restrições

Os servidores que não estão protegidos pelo HSS não suportam operações relacionadas com alarmes.

Alarmes e eventos suportados

Tipo de evento	Nome do alarme	Descrição	Edição básica	Edição profissional	Edição empresarial	Edição premium	Edição WTP	SO suportado	Adicionar à lista branca de alarmes	Isolar e eliminar
Malware	Unclassified malware	Os programas maliciosos incluem cavalos de Troia e web shells implementados por hackers para roubar seus dados ou controlar seus servidores. Por exemplo, hackers provavelmente usarão seus servidores como mineiros ou zumbis DDoS. Isso ocupa um grande número de recursos de CPU e rede, afetando a estabilidade do serviço. Verificar malware, como web shells, cavalos de Troia, software de mineração, worms e outros vírus e variantes, e elimine-os com um clique. O malware é encontrado e removido pela análise das características e comportamentos do programa, algoritmos de impressão digital de imagem de IA e verificação e eliminação na nuvem.	×	√	√	√	√	Linux e Windows	√	√
	Viruses	Detectar vírus em ativos do servidor, informar alarmes e suportar ao isolamento e eliminação automáticos ou manuais de vírus com base nos alarmes.	×	√	√	√	√	Linux e Windows	√	√
	Worms	Detectar e eliminar worms em servidores e relatar alarmes.	×	√	√	√	√	Linux e Windows	√	√
	Trojans	Detectar e remover cavalos de Troia e vírus em servidores e informar alarmes.	×	√	√	√	√	Linux e Windows	√	√
	Botnets	Detectar e eliminar botnets em servidores e relatar alarmes.	×	√	√	√	√	Linux e Windows	√	√
	Backdoors	Detectar backdoors em servidores e relatar alarmes.	×	√	√	√	√	Linux e Windows	√	√
	Rootkits	Detectar ativos do servidor e relatar alarmes para módulos, arquivos e pastas do kernel suspeitos.	×	√	√	√	√	Linux	√	×
	Ransomware	Verificar se há ransomware em páginas da Web, software, e-mails e mídia de armazenamento. O ransomware pode criptografar e controlar seus ativos de dados, como documentos, e-mails, bancos de dados, código-fonte, imagens e arquivos compactados, para aproveitar a extorsão da vítima.	×	×	×	√	√	Linux e Windows	√	√ (Parcialmente suportado)
	Hacker tools	Detectar e eliminar ferramentas de hackers em servidores e relatar alarmes.	×	×	√	√	√	Linux e Windows	√	√
	Web shells	Verificar se os arquivos (frequentemente arquivos PHP e JSP) detectados pelo HSS em seus diretórios da Web são web shells. Você pode configurar a regra de detecção de web shell na regra de Web Shell Detection na página Policies. O HSS verificará se há comandos suspeitos ou executados remotamente. Você precisa adicionar um diretório protegido no gerenciamento de políticas. Para mais detalhes, consulte Detecção de web shell.	×	√	√	√	√	Linux e Windows	√	×
	Mining	Detectar, verificar e remover software de mineração em servidores e informar alarmes.	×	√	√	√	√	Linux e Windows	√	√
Explorações de vulnerabilidades	Remote code execution	Detectar e relatar alarmes sobre invasões de servidores que exploram vulnerabilidades em tempo real.	×	×	√	√	√	Linux e Windows	√	×
	Explosões de vulnerabilidade do Redis	Detectar as modificações feitas pelo processo do Redis nos principais diretórios em tempo real e relatar alarmes.	×	√	√	√	√	Linux	√	×
	Hadoop vulnerability exploits	Detectar as modificações feitas pelo processo de Hadoop nos principais diretórios em tempo real e relatar alarmes.	×	√	√	√	√	Linux	√	×
	MySQL vulnerability exploits	Detectar as modificações feitas pelo processo de MySQL nos principais diretórios em tempo real e relatar alarmes.	×	√	√	√	√	Linux	√	×
Comportamento anormal do sistema	Reverse shells	Monitorar os comportamentos do processo do usuário em tempo real para relatar alarmes e bloquear shells reversos causados por conexões inválidas. Os shells reversos podem ser detectados para protocolos, incluindo TCP, UDP e ICMP. Você pode configurar a regra de detecção de shell reverso e o bloqueio automático na regra de Malicious File Detection na página Policies. O HSS verificará se há comandos suspeitos ou executados remotamente. Você também pode configurar o bloqueio automático de shells reversos na regra de HIPS Detection na página Policies.	×	√	√	√	√	Linux	√	×
	File privilege escalations	Detectar comportamentos de escalonamento de privilégios de arquivos e gerar alarmes.	×	√	√	√	√	Linux	√	×
	Process privilege escalations	Detectar as operações de escalonamento de privilégios dos seguintes processos e gerar alarmes: Escalonamento de privilégios da raiz por meio da exploração de vulnerabilidades do programa SUID Escalonamento de privilégios da raiz por meio da exploração de vulnerabilidades do kernel	×	√	√	√	√	Linux	√	×
	Important file changes	Monitorar arquivos importantes do sistema (como ls, ps, login e top) em tempo real e gerar alarmes se esses arquivos forem modificados. Para obter detalhes sobre os caminhos monitorados, consulte Caminhos de arquivos importantes monitorados. O HSS reporta todas as alterações em arquivos importantes, independentemente de as alterações serem realizadas manualmente ou por processos.	×	√	√	√	√	Linux	√	×
	File/Directory changes	Monitorar arquivos e diretórios do sistema em tempo real e gerar alarmes se esses arquivos forem criados, excluídos, movidos ou se seus atributos ou conteúdo forem modificados.	×	√	√	√	√	Linux e Windows	√	×
	Abnormal process behavior	Verificar os processos em servidores, incluindo seus IDs, linhas de comando, caminhos de processo e comportamento. Enviar alarmes sobre operações de processo não autorizadas e intrusões. O seguinte comportamento anormal do processo pode ser detectado: Uso anormal da CPU Processos que acessam endereços IP maliciosos Aumento anormal nas conexões de processos simultâneos	×	×	√	√	√	Linux e Windows	√	x (parcialmente suportado)
	High-risk command executions	Você pode configurar quais comandos acionarão alarmes na regra de High-risk Command Scan na página Policies. O HSS verifica os comandos executados em tempo real e gera alarmes se forem detectados os comandos de alto risco.	×	√	√	√	√	Linux e Windows	√	×
	Abnormal shells	Detectar ações em shells anormais, incluindo mover, copiar e excluir arquivos de shell e modificar as permissões de acesso e links físicos dos arquivos. Você pode configurar a regra de detecção de shell anormal na regra de Malicious File Detection na página Policies. O HSS verificará se há comandos suspeitos ou executados remotamente.	×	√	√	√	√	Linux	√	×
	Suspicious crontab tasks	Verificar e listar serviços iniciados automaticamente, tarefas agendadas, bibliotecas dinâmicas pré-carregadas, chaves de registro de execução e pastas de inicialização. Você pode ser notificado imediatamente quando itens anormais de inicialização automática forem detectados e localizar rapidamente os cavalos de Troia.	×	×	×	√	√	Linux e Windows	√	×
	System protection disabling	Detectar os preparativos para a criptografia de ransomware: desativar a função de proteção em tempo real do Windows Defender por meio do registro. Uma vez que a função é desativada, um alarme é relatado imediatamente.	×	×	√	√	√	Windows	√	×
	Backup deletion	Excluir os preparativos para a criptografia de ransomware: excluir arquivos de backup ou arquivos na pasta Backup. Uma vez que a exclusão de backup é detectada, um alarme é relatado imediatamente.	×	×	√	√	√	Windows	√	×
	Suspicious registry operations	Detectar operações como desativar o firewall do sistema por meio de registro e usar o ransomware Stop para modificar o registro e gravar cadeias específicas no registro. Um alarme é relatado imediatamente quando essas operações são detectadas.	×	×	√	√	√	Windows	√	×
	System log deletions	Um alarme é gerado quando um comando ou ferramenta é usado para limpar os registros do sistema.	×	×	√	√	√	Windows	√	×
	Suspicious command executions	Verificar se uma tarefa agendada ou uma tarefa de inicialização automatizada é criada ou excluída executando comandos ou ferramentas. Detectar execução de comandos remotos suspeitos.	×	×	√	√	√	Windows	√	×
	Suspicious process execution	Detectar e relatar alarmes em processos de aplicações não autenticados ou não autorizados.	×	×	√	√	√	Linux e Windows	√	×
	Suspicious process file access	Detectar e relatar alarmes nos processos de aplicações não autenticados ou não autorizados que acessam diretórios específicos.	×	×	√	√	√	Linux e Windows	√	×
Comportamento anormal do usuário	Brute-force attacks	Se hackers fizerem logon em seus servidores por meio de ataques de força bruta, eles podem obter as permissões de controle dos servidores e realizar operações maliciosas, como roubar dados do usuário; implementar ransomware, mineradores ou cavalos de Troia; criptografar dados; ou usar seus servidores como zumbis para realizar ataques DDoS. Detectar ataques de força bruta em contas SSH, RDP, FTP, SQL Server e MySQL. Se o número de ataques de força bruta (tentativas consecutivas de senha incorreta) de um endereço IP atingir 5 em 30 segundos, o endereço IP será bloqueado. Por padrão, os invasores SSH suspeitos são bloqueados por 12 horas. Outros tipos de invasores suspeitos são bloqueados por 24 horas. Você pode verificar se o endereço IP é confiável com base no seu tipo de ataque e quantas vezes ele foi bloqueado. Você pode desbloquear manualmente os endereços IP confiáveis.	√	√	√	√	√	Linux e Windows	√	×
	Abnormal logins	Detectar comportamento anormal de logon, como logon remoto e ataques de força bruta. Se logons anormais forem relatados, seus servidores podem ter sido invadidos por hackers. Verificar e lidar com logons remotos. Você pode verificar os endereços IP de logon bloqueados e quem os usou para fazer logon em qual servidor e a que horas. Se a localização de logon de um usuário não for qualquer localização de logon comum que você definiu, um alarme será acionado. Acionar um alarme se um usuário efetuar logon no host por meio de um ataque de força bruta.	√	√	√	√	√	Linux e Windows	√	×
	Invalid accounts	Hackers provavelmente podem quebrar contas inseguras em seus servidores e controlar os servidores. O HSS verifica contas ocultas suspeitas e contas clonadas e gera alarmes sobre elas.	×	√	√	√	√	Linux e Windows	√	×
	User account added	Detectar os comandos usados para criar contas ocultas. As contas ocultas não podem ser encontradas na interface de interação com o usuário nem ser consultadas por comandos.	×	×	√	√	√	Windows	√	×
	Password theft	Detectar a obtenção anormal de contas de sistema e hashes de senha em servidores e relatar alarmes.	×	×	√	√	√	Windows	√	×
Acesso anormal à rede	Abnormal outbound connection	Relatar alarmes sobre endereços IP suspeitos que iniciam conexões de saída.	×	√	√	√	√	Linux	√	×
	Port forwarding	Relatar alarmes sobre o encaminhamento de porta realizado usando ferramentas suspeitas.	×	√	√	√	√	Linux	√	×
	Suspicious download requests	Um alarme é gerado quando uma solicitação HTTP suspeita que usa ferramentas do sistema para baixar programas é detectada.	×	×	√	√	√	Windows	√	×
	Suspicious HTTP requests	Um alarme é gerado quando uma solicitação HTTP suspeita que usa uma ferramenta ou processo do sistema para executar um script de hospedagem remota é detectada.	×	×	√	√	√	Windows	√	×
Reconhecimento	Port scan	Detectar verificação ou sniffing em portas especificadas e relatar alarmes.	×	×	×	√	√	Linux	×	×
Reconhecimento	Host scan	Detectar as atividades de verificação de rede com base nas regras do servidor (incluindo ICMP, ARP e nbtscan) e informar alarmes.	×	×	×	√	√	Linux	√	×

Caminhos de arquivos importantes monitorados

Tipo	Linux
bin	/bin/ls /bin/ps /bin/bash /bin/login
usr	/usr/bin/ls /usr/bin/ps /usr/bin/bash /usr/bin/login /usr/bin/passwd /usr/bin/top /usr/bin/killall /usr/bin/ssh /usr/bin/wget /usr/bin/curl

Tipo

Linux

bin

/bin/ls

/bin/ps

/bin/bash

/bin/login

usr

/usr/bin/ls

/usr/bin/ps

/usr/bin/bash

/usr/bin/login

/usr/bin/passwd

/usr/bin/top

/usr/bin/killall

/usr/bin/ssh

/usr/bin/wget

/usr/bin/curl

Tópico principal: Alarmes do HSS

Tópico anterior: Alarmes do HSS

Próximo tópico: Visualização de alarmes de intrusão

Feedback

Esta página foi útil?

Sim Não

Deixar um comentário

Obrigado por seus comentários. Estamos trabalhando para melhorar a documentação.

O sistema está ocupado. Tente novamente mais tarde.

Quais dos seguintes problemas você encontrou?

O conteúdo é inconsistente com a UI do produto

Descrições pouco claras

Falta de exemplos ou código

Passos incorretos

Não encontro o que preciso

Falta de melhores práticas

Feedback (opcional)

0/500

Selecione pelo menos um tipo de problema e insira seus comentários ou sugestões.

Insira um máximo de 500 caracteres.

Enviar Cancelar