启用安全模型
在智能建模页面安全云脑内置了基于应用、网络、主机多维度的安全分析模型,自动化的完成数据汇聚、分析和报警。
护网/重保期间建议使用全量内置的模板创建告警模型并启用模型。
通过模型汇聚分析筛选告警,降低误报率,提升值班人员分析处理效率。同时,也可以结合用户场景编辑模型进行模型调整,适配不同用户场景,降噪告警。
启用安全模型
执行管道
模型名称 |
管道 |
是否开启 |
状态 |
备注 |
---|---|---|---|---|
应用-分布式url遍历攻击 |
sec-waf-access |
推荐开启 |
开箱即用已开启 |
-- |
应用-源ip对域名进行爆破攻击 |
sec-waf-attack |
推荐开启 |
开箱即用已开启 |
-- |
应用-源ip进行url遍历 |
sec-waf-access |
推荐开启 |
开箱即用已开启 |
-- |
应用-WAF关键攻击告警 |
sec-waf-attack |
推荐开启 |
开箱即用已开启 |
-- |
主机-虚拟机横向连接 |
sec-hss-log |
推荐开启 |
开箱即用已开启 |
-- |
网络-高危端口对外暴露 |
sec-nip-attack |
推荐开启 |
开箱即用已开启 |
-- |
网络-登录爆破告警 |
sec-nip-attack |
推荐开启 |
开箱即用已开启 |
-- |
主机-异常网络连接 |
sec-hss-alarm |
推荐开启 |
开箱即用已开启 |
-- |
网络-源ip对多个目标进行攻击 |
sec-nip-attack |
推荐开启 |
开箱即用已开启 |
-- |
IPS告警去重 |
sec-nip-attack |
按需开启 |
-- |
-- |
网络-命令注入告警 |
sec-nip-attack |
推荐开启 |
开箱即用已开启 |
-- |
网络-恶意外联 |
sec-nip-attack |
推荐开启 |
开箱即用已开启 |
-- |
主机-rootkit事件 |
sec-hss-alarm |
推荐开启 |
开箱即用已开启 |
-- |
主机-反弹shell |
sec-hss-alarm |
推荐开启 |
开箱即用已开启 |
已升级,需更新模型 |
主机-异地登录 |
sec-hss-alarm |
推荐开启 |
开箱即用已开启 |
-- |
主机-异常shell |
sec-hss-alarm |
推荐开启 |
开箱即用已开启 |
-- |
主机-弱口令 |
sec-hss-alarm |
推荐开启 |
开箱即用已开启 |
-- |
主机-恶意程序 |
sec-hss-alarm |
推荐开启 |
开箱即用已开启 |
-- |
主机-暴力破解成功 |
sec-hss-alarm |
推荐开启 |
开箱即用已开启 |
-- |
主机-高危命令检测 |
sec-hss-alarm |
推荐开启 |
开箱即用已开启 |
已升级,需更新模型 |
网络-检测异常连接行为 |
sec-nip-attack |
推荐开启 |
开箱即用已开启 |
-- |
网络-检测黑客工具攻击 |
sec-nip-attack |
推荐开启 |
开箱即用已开启 |
-- |
网络-恶意软件 [蠕虫、病毒、木马] |
sec-nip-attack |
推荐开启 |
开箱即用已开启 |
-- |
网络-僵尸网络 |
sec-nip-attack |
推荐开启 |
开箱即用已开启 |
-- |
网络-后门 |
sec-nip-attack |
推荐开启 |
开箱即用已开启 |
-- |
应用-疑似存在源码泄露风险 |
sec-waf-access |
推荐开启 |
开箱即用已开启 |
-- |
身份-IAM账号爆破 |
sec-iam-audit |
推荐开启 |
开箱即用已开启 |
-- |
应用-疑似存在log4j2漏洞 |
sec-waf-attack |
推荐开启 |
开箱即用已开启 |
-- |
身份-创建IAM委托 |
sec-iam-audit |
推荐开启 |
开箱即用已开启 |
-- |
身份-创建联邦登录 |
sec-iam-audit |
推荐开启 |
开箱即用已开启 |
-- |
身份-IAM账户添加子用户 |
sec-iam-audit |
推荐开启 |
开箱即用已开启 |
-- |
运维-挂载网卡 |
sec-cts-audit |
推荐开启 |
开箱即用已开启 |
-- |
运维-创建peering对等连接 |
sec-cts-audit |
推荐开启 |
开箱即用已开启 |
-- |
运维-资源绑定EIP |
sec-cts-audit |
推荐开启 |
开箱即用已开启 |
-- |
应用-疑似存在fastjson漏洞 |
sec-waf-attack |
推荐开启 |
开箱即用已开启 |
-- |
应用-疑似存在 Java框架通用代码执行漏洞 |
sec-waf-attack |
推荐开启 |
开箱即用已开启 |
-- |
应用-疑似存在Shiro漏洞 |
sec-waf-attack |
推荐开启 |
开箱即用已开启 |
-- |
网络-CFW异常外联 |
sec-cfw-risk |
推荐开启 |
开箱即用已开启 |
-- |
网络-疑似存在DOS攻击 |
sec-cfw-block |
按需开启 |
开箱即用已开启 |
-- |
应用-登录爆破攻击 |
sec-waf-attack |
推荐开启 |
开箱即用已开启 |
-- |
主机-异常文件属性修改 |
sec-hss-log |
推荐开启 |
开箱即用已开启 |
-- |
主机-恶意定时任务写入 |
sec-hss-log |
推荐开启 |
开箱即用已开启 |
-- |
主机-进程和端口信息隐匿 |
sec-hss-log |
推荐开启 |
开箱即用已开启 |
-- |
主机-异常文件权限修改 |
sec-hss-log |
推荐开启 |
开箱即用已开启 |
-- |
网络-疑似存在远程代码执行漏洞 |
sec-nip-attack |
推荐开启 |
-- |
-- |
网络-存在敏感文件泄露 /目录遍历漏洞 |
sec-nip-attack |
推荐开启 |
-- |
-- |
应用-疑似存在openfire鉴权绕过漏洞 |
sec-waf-access |
推荐开启 |
-- |
-- |
应用-疑似存在 nginxWebUI 远程命令执行漏洞 |
sec-waf-access |
推荐开启 |
-- |
-- |
应用-疑似存在 MinIO 信息泄露 |
sec-waf-access |
推荐开启 |
-- |
-- |
应用-疑似存在 F5 BIG-IP 命令执行漏洞 |
sec-waf-access |
推荐开启 |
-- |
-- |
应用-存在Spring Actuator信息泄露 |
sec-waf-access |
推荐开启 |
-- |
-- |
主机-计划任务异常 |
sec-hss-alarm |
推荐开启 |
-- |
-- |
主机-疑似注册启动信息修改 |
sec-hss-log |
推荐开启 |
-- |
-- |
主机-疑似发现webshell木马 |
sec-hss-alarm |
推荐开启 |
-- |
-- |
主机-疑似使用内网扫描工具 |
sec-hss-log |
推荐开启 |
-- |
-- |
主机-挖矿行为检测 |
sec-hss-alarm |
推荐开启 |
-- |
-- |
主机-异常脚本调用 |
sec-hss-log |
推荐开启 |
-- |
-- |
主机-勒索软件 |
sec-hss-alarm |
推荐开启 |
-- |
-- |
应用-疑似人为WEB恶意入侵攻击 |
sec-waf-attack |
推荐开启 |
-- |
-- |
网络-目录遍历攻击 |
sec-ndr-risk |
按需开启 |
-- |
-- |
网络-文件读写执行 |
sec-ndr-risk |
按需开启 |
-- |
-- |
网络-绕过 |
sec-ndr-risk |
按需开启 |
-- |
-- |
网络-代码执行 |
sec-ndr-risk |
按需开启 |
-- |
-- |
网络-检测后门 |
sec-ndr-risk |
按需开启 |
-- |
-- |
网络-log4j漏洞攻击 |
sec-ndr-risk |
按需开启 |
-- |
-- |
网络-提权 |
sec-ndr-risk |
按需开启 |
-- |
-- |
网络-检测恶意外联 |
sec-ndr-risk |
按需开启 |
-- |
-- |
主机-异常权限提升 |
sec-hss-alarm |
推荐开启 |
-- |
-- |
应用-疑似泛微 e-cology9登录漏洞 |
sec-waf-access |
推荐开启 |
-- |
-- |
主机-信息破坏 |
sec-hss-alarm |
推荐开启 |
-- |
-- |
主机-网络异常行为 |
sec-hss-alarm |
推荐开启 |
-- |
-- |
主机-用户异常行为 |
sec-hss-alarm |
推荐开启 |
-- |
已升级,需更新模型 |
主机-容器异常 |
sec-hss-alarm |
推荐开启 |
-- |
-- |
应用-waf 告警恶意ip攻击 |
sec-waf-attack |
推荐开启 |
-- |
-- |
主机-系统异常变更 |
sec-hss-alarm |
推荐开启 |
-- |
-- |
主机-漏洞利用 |
sec-hss-alarm |
推荐开启 |
-- |
已升级,需更新模型 |
主机-集群异常行为 |
sec-hss-alarm |
推荐开启 |
-- |
-- |
主机-异常进程 |
sec-hss-alarm |
推荐开启 |
-- |
-- |
主机-黑客工具检测 |
sec-hss-alarm |
推荐开启 |
-- |
-- |
主机-扫描侦查 |
sec-hss-alarm |
推荐开启 |
-- |
-- |
主机-关键文件路径变更 |
sec-hss-alarm |
推荐开启 |
-- |
新增 |
主机-异常外联行为 |
sec-hss-alarm |
推荐开启 |
-- |
新增 |
主机-文件/目录变更 |
sec-hss-alarm |
推荐开启 |
-- |
新增 |
主机-尝试暴力破解 |
sec-hss-alarm |
推荐开启 |
-- |
新增 |
主机-可疑进程异常访问文件 |
sec-hss-alarm |
推荐开启 |
-- |
新增 |
主机-容器异常启动 |
sec-hss-alarm |
推荐开启 |
-- |
新增 |
主机-非可信进程运行 |
sec-hss-alarm |
推荐开启 |
-- |
新增 |
主机-Crontab可疑任务 |
sec-hss-alarm |
推荐开启 |
-- |
新增 |
主机-用户账号变更 |
sec-hss-alarm |
推荐开启 |
-- |
新增 |
网络-CFW恶意外部攻击 |
sec-cfw-risk |
推荐开启 |
-- |
新增 |
应用-疑似存在目录爆破 |
sec-nginx-access |
按需开启 |
-- |
-- |
应用-疑似存在dos攻击风险 |
sec-nginx-access |
按需开启 |
-- |
-- |
应用-python恶意爬虫 |
sec-nginx-access |
按需开启 |
-- |
-- |
应用-用户异常登录疑似爆破 |
sec-nginx-access |
按需开启 |
-- |
-- |
应用-疑似撞库攻击 |
sec-nginx-access |
按需开启 |
-- |
-- |
网络-主机非法探测 |
sec-vpc-flow |
按需开启 |
-- |
-- |
网络-端口非法扫描 |
sec-vpc-flow |
按需开启 |
-- |
-- |