威胁告警简介-凯发k8国际娱乐官网入口
背景信息
态势感知威胁告警功能汇集了华为云多个安全服务的告警能力,按照告警类型和等级统一维度呈现,可以准确实时监控云上威胁攻击、检测您资产中的安全告警事件。
同时,通过威胁分析,从攻击源和受攻击资产两个维度,帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。
态势感知威胁告警支持以下功能项:
告警类型
目前sa支持检测8类威胁告警事件,共包括200 种子告警类型。
sa基础版支持检测部分威胁攻击事件。为全面快速地了解并处理资产遭受的威胁,确保云上资产安全,建议您购买标准版或专业版。
ddos事件
“实时检测”华为云、非华为云及idc的互联网主机的ddos攻击。
共支持检测100 种子类型的ddos威胁。
- 网络层攻击
ntp flood攻击、cc攻击等。
- 传输层攻击
syn flood攻击、ack flood攻击等。
- 会话层攻击
ssl连接攻击等。
- 应用层攻击
http get flood攻击、http post flood攻击等。
暴力破解事件
“实时检测”入侵资产的行为和主机资产内部的风险,检测ssh、rdp、ftp、sql server、mysql等账户是否遭受的口令破解攻击,以及检测资产账户是否被破解异常登录。
共支持检测22种子类型的暴力破解威胁。
- 支持检测的暴力破解威胁
包括ssh暴力破解(2种)、rdp暴力破解、mssql暴力破解、mysql暴力破解、ftp暴力破解、smb暴力破解(3种)、http暴力破解(4种)、telnet暴力破解。
- 接入的hss服务上报的告警事件
包括ssh暴力破解、rdp暴力破解、ftp暴力破解、mysql暴力破解、irc暴力破解、webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。
web攻击事件
“实时检测”web恶意扫描器、ip、网马等威胁。
共支持检测38种子类型的web攻击威胁。
- 支持检测的web攻击威胁
包括webshell攻击(3种)、跨站脚本攻击、代码注入攻击(7种)、sql注入攻击(9种)、命令注入攻击。
- 接入的hss服务上报的告警事件
包括webshell攻击、linux网页篡改、windows网页篡改。
- 接入的waf服务上报的告警事件
包括跨站脚本攻击、命令注入攻击、sql注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、ip信誉库、恶意爬虫、网页防篡改、网页防爬虫。
后门木马事件
“实时检测”资产系统是否存在后门木马风险,以及被后门木马程序入侵后的恶意请求行为。
共支持检测5种子类型的后门木马威胁。
- 检测主机资产上web目录中的php、jsp等后门木马文件类型。
- 检测资产被植入木马特性
检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的dns解析请求、被入侵后尝试下载木马程序,被入侵后访问hfs下载服务器等。
僵尸主机事件
“实时检测”资产被入侵后对外发起攻击的威胁。共支持检测7种子类型的僵尸主机威胁。
- 对外发起ssh暴力破解
- 对外发起rdp暴力破解
- 对外发起web暴力破解
- 对外发起mysql暴力破解
- 对外发起sqlserver暴力破解
- 对外发起ddos攻击
- 被入侵后安装挖矿程序
异常行为事件
“实时检测”资产系统异常变更和操作行为。共支持检测21种子类型的异常行为威胁。
- 支持检测的异常行为威胁
包括文件系统被扫描、cms v1.0漏洞、敏感文件被访问。
- 接入的hss服务上报的告警事件
包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹shell、异常shell、高危命令执行、异常自启动、文件提权、进程提权、rootkit程序。
- 接入的waf服务上报的告警事件
包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、ip黑白名单、非法访问。
- 接入的mtd服务上报的告警事件
包括暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为。
漏洞攻击事件
“实时检测”资产被尝试使用漏洞进行攻击。共支持检测2种子类型的漏洞攻击威胁。
- smbv1漏洞攻击
- webcms漏洞攻击
命令控制事件
“实时检测”资产可能被命令与控制服务器(c&c,command and control server)远程控制,访问与恶意软件或建立与恶意软件之间的链接。
共支持检测3种子类型的命令控制威胁。
- 监控主机存在访问dga域名行为
- 监控主机存在访问恶意c&c域名行为
- 监控主机存在恶意c&c通道行为
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨
