Visualização de alarmes de container
O HSS exibe estatísticas de alarmes e eventos e seu resumo em uma única página. Você pode ter uma visão geral rápida dos alarmes, incluindo o número de alarmes urgentes, alarmes totais, containers com alarmes e alarmes manipulados.
A página Events exibe os eventos de alarme gerados nos últimos 30 dias.
O status de um evento manipulado muda de Unhandled para Handled.
Restrições
Os servidores que não estão protegidos pelo HSS não suportam operações relacionadas a alarmes e eventos.
Procedimento
- Faça logon no console de gerenciamento.
- No canto superior esquerdo da página, selecione uma região, clique em e escolha
.Figura 1 Acessar o HSS
- No painel de navegação, escolha Detection > Alarms e clique na guia Container Alarms para visualizar os alarmes e eventos do container.
- Visualize a visão geral dos alarmes e eventos do container.
- Urgent Alarms: número de alarmes urgentes que precisam ser manipulados. Você pode clicar no número para ver a lista de alarmes.
- Total Alarms: número total de alarmes relatados em seus ativos. Você pode clicar no número para ver todos os alarmes.
- Containers with Alarms: número de containers com alarmes.
- Handled Alarms: número de alarmes manipulados.
- Visualize os alarmes de um determinado tipo ou fase ATT&CK.
Na área Alarms to Be Handled, selecione um tipo de alarme ou fase att&ck.
As tags de fase de ataque ATT&CK também são exibidas abaixo dos nomes dos alarmes. Para obter mais informações, consulte Tabela 1.
Adversarial Tactics, Techniques and Common Knowledge (ATT&CK) é uma estrutura que ajuda as organizações a entender as táticas e técnicas de adversário cibernético usadas pelos atores de ameaças em todo o ciclo de vida do ataque.
Tabela 1 Fases ATT&CK Fase ATT&CK
Descrição
Reconnaissance
Os atacantes buscam vulnerabilidades em seu sistema ou rede.
Initial Access
Os atacantes tentam entrar em seu sistema ou rede.
Execution
Os atacantes tentam executar código malicioso.
Persistence
Os atacantes tentam manter sua posição.
Privilege Escalation
Os atacantes tentam obter permissões mais altas.
Defense Evasion
Os atacantes tentam evitar serem detectados.
Credential Access
Os atacantes tentam roubar nomes e senhas de contas.
Command and Control
Os atacantes tentam se comunicar com máquinas comprometidas para controlá-las.
Impact
Os atacantes tentam manipular, interromper ou destruir seu sistema ou dados.
- Visualize detalhes sobre alarmes e eventos de container.
Clique em um nome de alarme para ir para sua página de detalhes. Você pode visualizar a descrição do alarme, a sugestão, o caminho e o endereço do alarme na análise forense do HSS e o histórico de manipulação de alarmes semelhantes.
Você pode baixar os arquivos de origem de alarme de determinado malware para o seu PC local para análise. A senha para descompactar os arquivos é unlock.
- Visualize os detalhes do pod do evento de alarme do container.
Clique no nome do pod do evento de alarme de destino para visualizar os detalhes do pod, incluindo o endereço IP do nó, namespace, endereço IP do pod, rótulo do pod e lista de containers.
- Visualize a visão geral dos alarmes e eventos do container.