Manipulação de alarmes de container
O HSS exibe estatísticas de alarme e eventos e seu resumo em uma única página. Você pode ter uma visão geral rápida dos alarmes, incluindo o número de alarmes urgentes, alarmes totais, containers com alarmes e alarmes manipulados.
A página Events exibe os alarmes gerados nos últimos 30 dias.
O status de um alarme manipulado muda de Unhandled para Handled.
Restrições
Os servidores que não estão protegidos pelo HSS não suportam operações relacionadas a alarmes e eventos.
Procedimento
Esta seção descreve como você deve lidar com alarmes para melhorar a segurança do servidor.
Não confie totalmente na manipulação de alarmes para se defender contra ataques, porque nem todos os problemas podem ser detectados em tempo hábil. Recomendamos que você tome mais medidas para evitar ameaças, como verificar e corrigir vulnerabilidades e configurações inseguras.
- Faça logon no console de gerenciamento.
- No canto superior esquerdo da página, selecione uma região, clique em e escolha
.Figura 1 Acessar o HSS
- No painel de navegação à esquerda, escolha Detection > Alarms e clique em Container Alarms.
Figura 2 Alarmes de container
Tabela 1 Estatísticas de alarme Evento de alarme
Descrição
Alarmes urgentes
Número de alarmes urgentes que precisam ser manipulados.
Alarmes totais
Número total de alarmes em seus ativos.
Containers com alarmes
Número de containers para os quais os alarmes são gerados.
Alarmes manipulados
Número de alarmes manipulados.
- Clique no nome de um alarme para ver os detalhes e sugestões do alarme.
- Manipule os alarmes.
Os alarmes são exibidos na página Container Alarms. Aqui você pode verificar até 30 dias de alarmes históricos.
Verifique e manuseie alarmes conforme necessário. O status de um alarme manipulado muda de Unhandled para Handled. O HSS não coletará mais suas estatísticas.
- Manipulação de um único alarme
- Manipulação de alarmes em lotes
Selecione todos os alarmes e clique em Batch Handle acima da lista de alarmes.
- Manipulação de todos os alarmes
Na área Alarms to be Handled, no painel esquerdo da lista de alarmes, selecione um tipo de alarme e clique em Handle All, acima da lista de alarmes.
Figura 3 Manipulação de todos os alarmes
- Na caixa de diálogo Handle Event, selecione uma ação. Para obter detalhes sobre os modos de processamento, consulte Tabela 2.
Ao manipular um único evento de alarme ou manipular alarmes em lotes, é possível selecionar Handle duplicate alarms in batches na caixa de diálogo Handle Event.
Tabela 2 Métodos de tratamento de alarmes Ação
Descrição
Ignorar
Ignorar o alarme atual. Quaisquer novos alarmes do mesmo tipo ainda serão relatados pelo HSS.
Marcar como manipulado
Marcar o evento como manipulado. É possível adicionar observações ao evento para registrar mais detalhes.
Adicionar à lista branca de logon
Adicionar itens de alarmes falsos do Brute-force attack e tipos de Abnormal login à lista branca de logon.
O HSS não relatará mais alarmes sobre os itens da lista branca. Um evento de logon na lista branca não acionará alarmes.
Os seguintes alarmes podem ser adicionados à lista branca de logon:
- Ataques de força bruta
- Logons anormais
Adicionar à lista branca do processo
Se você puder confirmar que um processo que aciona um alarme pode ser confiável, você pode adicioná-lo à lista branca do processo.
Adicionar à lista branca do alarme
Adicionar itens com alarme falso à lista branca de logon.
O HSS não relatará mais alarmes sobre os itens da lista branca. Um alarme na lista branca não acionará alarmes.
Você pode clicar em Add Rule e configurar caminhos de arquivo, caminhos de processo ou linhas de comando de processo em regras de mascaramento de alarme. O HSS não relatará os alarmes correspondentes a essas regras.
Para detalhes sobre eventos que podem ser isolados e eliminados, veja Eventos de alarme de container.
- Clique em OK.
Verifique os alarmes manuseados. Para obter detalhes, consulte Registros históricos.