Manipulação de alarmes do servidor
O HSS exibe estatísticas de alarmes e eventos e seu resumo em uma única página. Você pode ter uma visão geral rápida dos alarmes, incluindo o número de alarmes urgentes, alarmes totais, servidores com alarmes, endereços IP bloqueados e arquivos isolados.
A página Events exibe os alarmes gerados nos últimos 30 dias.
O status de um alarme manipulado muda de Unhandled para Handled.
Os alarmes gerados pela detecção AV e detecção HIPS são exibidos em diferentes tipos de eventos.
- Os alarmes gerados pela detecção AV são exibidos apenas sob os eventos Malware.
- Os alarmes gerados pela detecção HIPS são exibidos em subcategorias de todos os eventos.
Limitações e restrições
- Para ignorar as verificações de execução de comandos de alto risco, escalações de privilégio, shells reversos, shells anormais ou web shells, desative manualmente as políticas correspondentes nos grupos de políticas na página Policies. O HSS não verificará os servidores vinculados às políticas desativadas. Para obter detalhes, consulte Verificação ou criação de um grupo de políticas.
- Outros itens de detecção não podem ser desativados manualmente.
- Os servidores que não estão protegidos pelo HSS não suportam operações relacionadas a alarmes e eventos.
Procedimento
Esta seção descreve como você deve lidar com alarmes para melhorar a segurança do servidor.
Não confie totalmente na manipulação de alarmes para se defender contra ataques, porque nem todos os problemas podem ser detectados em tempo hábil. É aconselhável tomar mais medidas para prevenir ameaças, como verificar e corrigir vulnerabilidades e configurações inseguras.
- Faça logon no console de gerenciamento.
- No canto superior esquerdo da página, selecione uma região, clique em
e escolha .
Figura 1 Acessar o HSS
- No painel de navegação à esquerda, escolha Detection > Alarms e clique em Server Alarms.
If your servers are managed by enterprise projects, you can select an enterprise project to view or operate the asset and scan information.
Tabela 1 Estatísticas de alarme Parâmetro
Descrição
Enterprise Project
Selecione um projeto empresarial e visualize os detalhes do alarme por projeto empresarial.
Time range
Você pode selecionar um período fixo ou personalizar um intervalo de tempo para procurar alarmes. Somente alarmes gerados dentro de 30 dias podem ser consultados.
As opções são as seguintes:
- Last 24 hours
- Last 3 days
- Last 7 days
- Last 30 days
Urgent Alarms
Número de alarmes urgentes que precisam ser manipulados.
Total Alarms
Número total de alarmes em seus ativos.
Affected Servers
Número de servidores para os quais os alarmes são gerados.
Ao verificar os alarmes gerados nas últimas 24 horas, você pode clicar no número de servidores para ir para a página Servers & Quota e verificar os servidores correspondentes.
Handled Alarms
Número de alarmes manipulados.
Blocked IP Addresses
Número de endereços IP bloqueados. Você pode clicar no número para verificar a lista de endereços IP bloqueados.
A lista de endereços IP bloqueados exibe o nome do servidor, o endereço IP da origem do ataque, o tipo de logon, o status do bloqueio, o número de blocos, a hora de início do bloqueio e a hora de bloqueio mais recente.
Se um endereço IP válido for bloqueado por engano (por exemplo, após a equipe de O&M inserir senhas incorretas várias vezes), você poderá desbloqueá-lo manualmente. Se um servidor é frequentemente atacado, é aconselhável corrigir suas vulnerabilidades em tempo hábil e eliminar os riscos.
AVISO:- Depois que um endereço IP bloqueado for desbloqueado, o HSS não bloqueará mais as operações realizadas pelo endereço IP.
- Um máximo de 10.000 endereços IP podem ser bloqueados para cada tipo de software.
Se o seu servidor do Linux não suportar ipset, um máximo de 50 endereços IP podem ser bloqueados para MySQL e vsftp.
Se o seu servidor do Linux não suporta ipset ou hosts.deny, um máximo de 50 endereços IP podem ser bloqueados para SSH.
Isolated Files
O HSS pode isolar arquivos de ameaças detectados. Os arquivos que foram isolados são exibidos em um painel deslizante na página Server Alarms. Você pode clicar em Isolated Files no canto superior direito para verificá-los.
Você pode recuperar arquivos isolados. Para mais detalhes, consulte Gerenciamento de arquivos isolados.
- Clique no nome de um alarme para ver os detalhes e sugestões do alarme.
- Lide com os alarmes.
Os alarmes são exibidos na página Server Alarms. Aqui você pode verificar até 30 dias de alarmes históricos.
Verifique e lide com alarmes conforme necessário. O status de um alarme manipulado muda de Unhandled para Handled. O HSS não coletará mais suas estatísticas nem as exibirá na página Dashboard.
- Manipulação de um único alarme
- Manipulação de alarmes em lotes
Selecione todos os alarmes e clique em Batch Handle acima da lista de alarmes.
- Manipulação de todos os alarmes
Na área Alarms to be Handled no painel esquerdo da lista de alarmes, selecione um tipo de alarmes e clique em Handle All acima da lista de alarmes.
Figura 2 Manipulação de todos os alarmes
- Na caixa de diálogo Handle Event, selecione uma ação. Para obter detalhes sobre as ações de manipulação de alarmes, consulte Tabela 2.
Ao manipular um único evento de alarme ou manipular alarmes em lotes, é possível selecionar Handle duplicate alarms in batches na caixa de diálogo Handle Event.
Tabela 2 Métodos de manipulação de alarmes Ação
Descrição
Ignore
Ignorar o alarme atual. Quaisquer novos alarmes do mesmo tipo ainda serão relatados pelo HSS.
Isolate and kill
Se um programa for isolado e eliminado, ele será encerrado imediatamente e não poderá mais executar operações de leitura ou gravação. Arquivos de origem isolados de programas ou processos são exibidos no painel deslizante Isolated Files e não podem prejudicar seus servidores.
Você pode clicar em Isolated Files no canto superior direito para verificar os arquivos. Para mais detalhes, consulte Gerenciamento de arquivos isolados.
Para detalhes sobre eventos que podem ser isolados e eliminados, veja Alarmes do servidor.
NOTA:Quando um programa é isolado e eliminado, o processo do programa é encerrado imediatamente. Para evitar impacto nos serviços, verifique o resultado da detecção e cancele o isolamento ou deixe de ignorar programas maliciosos reportados incorretamente (se houver).
Mark as handled
Marcar o evento como manipulado. É possível adicionar observações ao evento para registrar mais detalhes.
Add to process whitelist
Se você puder confirmar que um processo que aciona um alarme pode ser confiável, você pode adicioná-lo à lista branca do processo. O HSS não reportará mais alarmes sobre processos na lista branca.
Add to login whitelist
Adicionar itens com alarme falso dos tipos Brute-force attack e Abnormal login à lista branca de logon.
O HSS não reportará mais alarmes sobre os itens da lista branca. Um evento de logon na lista branca não acionará alarmes.
Os seguintes alarmes podem ser adicionados à lista branca de logon:
- Ataques de força bruta
- Logons anormais
Add to alarm whitelist
Adicionar itens com alarme falso dos seguintes tipos à lista branca de alarmes.
O HSS não reportará mais alarmes sobre os itens da lista branca. Um alarme na lista branca não acionará alarmes.
Você pode clicar em Add Rule e configurar caminhos de arquivo, caminhos de processo ou linhas de comando de processo em regras de mascaramento de alarme. O HSS não relatará os alarmes correspondentes a essas regras.
Para detalhes sobre eventos que podem ser isolados e eliminados, veja Alarmes do servidor.
- Clique em OK.
Verifique os alarmes manipulados. Para mais detalhes, consulte Visualização do histórico de tratamento.
