更新时间:2024-12-09 GMT+08:00
分享

启用安全模型

在智能建模页面安全云脑内置了基于应用、网络、主机多维度的安全分析模型,自动化的完成数据汇聚、分析和报警。

护网/重保期间建议使用全量内置的模板创建告警模型并启用模型

通过模型汇聚分析筛选告警,降低误报率,提升值班人员分析处理效率。同时,也可以结合用户场景编辑模型进行模型调整,适配不同用户场景,降噪告警。

启用安全模型

  1. 登录安全云脑控制台,并进入目标工作空间管理页面。
  2. 在左侧导航栏选择威胁运营 > 智能建模,进入智能建模页面后,选择“模型模板”页签,进入模型模板页面。

    图1 模型模板页面

  3. 在模型模板列表中,选择未创建模型的模板,单击目标模板所在行“操作”列的“详情”,右侧弹出模板详情页面。
  4. 在模板详情页面,单击右下角“创建模型”,进入新建告警模型页面。
  5. 在新增告警模型页面中,配置告警模型信息。

    • 管道名称:选择该告警模型的执行管道。
      模型对应管道可以从模型描述中的使用约束中获取,须与约束中的管道信息保持一致,也可以参考执行管道进行填写。
      图2 基础配置
    • 其他参数、设置保持默认值即可。

  6. 设置完成后,单击“确定”,完成创建。
  7. 重复3-6为其他模板创建告警模型。

执行管道

表1 模型的执行管道

模型名称

管道

是否开启

状态

备注

应用-分布式url遍历攻击

sec-waf-access

推荐开启

开箱即用已开启

--

应用-源ip对域名进行爆破攻击

sec-waf-attack

推荐开启

开箱即用已开启

--

应用-源ip进行url遍历

sec-waf-access

推荐开启

开箱即用已开启

--

应用-WAF关键攻击告警

sec-waf-attack

推荐开启

开箱即用已开启

--

主机-虚拟机横向连接

sec-hss-log

推荐开启

开箱即用已开启

--

网络-高危端口对外暴露

sec-nip-attack

推荐开启

开箱即用已开启

--

网络-登录爆破告警

sec-nip-attack

推荐开启

开箱即用已开启

--

主机-异常网络连接

sec-hss-alarm

推荐开启

开箱即用已开启

--

网络-源ip对多个目标进行攻击

sec-nip-attack

推荐开启

开箱即用已开启

--

IPS告警去重

sec-nip-attack

按需开启

--

--

网络-命令注入告警

sec-nip-attack

推荐开启

开箱即用已开启

--

网络-恶意外联

sec-nip-attack

推荐开启

开箱即用已开启

--

主机-rootkit事件

sec-hss-alarm

推荐开启

开箱即用已开启

--

主机-反弹shell

sec-hss-alarm

推荐开启

开箱即用已开启

已升级,需更新模型

主机-异地登录

sec-hss-alarm

推荐开启

开箱即用已开启

--

主机-异常shell

sec-hss-alarm

推荐开启

开箱即用已开启

--

主机-弱口令

sec-hss-alarm

推荐开启

开箱即用已开启

--

主机-恶意程序

sec-hss-alarm

推荐开启

开箱即用已开启

--

主机-暴力破解成功

sec-hss-alarm

推荐开启

开箱即用已开启

--

主机-高危命令检测

sec-hss-alarm

推荐开启

开箱即用已开启

已升级,需更新模型

网络-检测异常连接行为

sec-nip-attack

推荐开启

开箱即用已开启

--

网络-检测黑客工具攻击

sec-nip-attack

推荐开启

开箱即用已开启

--

网络-恶意软件 [蠕虫、病毒、木马]

sec-nip-attack

推荐开启

开箱即用已开启

--

网络-僵尸网络

sec-nip-attack

推荐开启

开箱即用已开启

--

网络-后门

sec-nip-attack

推荐开启

开箱即用已开启

--

应用-疑似存在源码泄露风险

sec-waf-access

推荐开启

开箱即用已开启

--

身份-IAM账号爆破

sec-iam-audit

推荐开启

开箱即用已开启

--

应用-疑似存在log4j2漏洞

sec-waf-attack

推荐开启

开箱即用已开启

--

身份-创建IAM委托

sec-iam-audit

推荐开启

开箱即用已开启

--

身份-创建联邦登录

sec-iam-audit

推荐开启

开箱即用已开启

--

身份-IAM账户添加子用户

sec-iam-audit

推荐开启

开箱即用已开启

--

运维-挂载网卡

sec-cts-audit

推荐开启

开箱即用已开启

--

运维-创建peering对等连接

sec-cts-audit

推荐开启

开箱即用已开启

--

运维-资源绑定EIP

sec-cts-audit

推荐开启

开箱即用已开启

--

应用-疑似存在fastjson漏洞

sec-waf-attack

推荐开启

开箱即用已开启

--

应用-疑似存在 Java框架通用代码执行漏洞

sec-waf-attack

推荐开启

开箱即用已开启

--

应用-疑似存在Shiro漏洞

sec-waf-attack

推荐开启

开箱即用已开启

--

网络-CFW异常外联

sec-cfw-risk

推荐开启

开箱即用已开启

--

网络-疑似存在DOS攻击

sec-cfw-block

按需开启

开箱即用已开启

--

应用-登录爆破攻击

sec-waf-attack

推荐开启

开箱即用已开启

--

主机-异常文件属性修改

sec-hss-log

推荐开启

开箱即用已开启

--

主机-恶意定时任务写入

sec-hss-log

推荐开启

开箱即用已开启

--

主机-进程和端口信息隐匿

sec-hss-log

推荐开启

开箱即用已开启

--

主机-异常文件权限修改

sec-hss-log

推荐开启

开箱即用已开启

--

网络-疑似存在远程代码执行漏洞

sec-nip-attack

推荐开启

--

--

网络-存在敏感文件泄露 /目录遍历漏洞

sec-nip-attack

推荐开启

--

--

应用-疑似存在openfire鉴权绕过漏洞

sec-waf-access

推荐开启

--

--

应用-疑似存在 nginxWebUI 远程命令执行漏洞

sec-waf-access

推荐开启

--

--

应用-疑似存在 MinIO 信息泄露

sec-waf-access

推荐开启

--

--

应用-疑似存在 F5 BIG-IP 命令执行漏洞

sec-waf-access

推荐开启

--

--

应用-存在Spring Actuator信息泄露

sec-waf-access

推荐开启

--

--

主机-计划任务异常

sec-hss-alarm

推荐开启

--

--

主机-疑似注册启动信息修改

sec-hss-log

推荐开启

--

--

主机-疑似发现webshell木马

sec-hss-alarm

推荐开启

--

--

主机-疑似使用内网扫描工具

sec-hss-log

推荐开启

--

--

主机-挖矿行为检测

sec-hss-alarm

推荐开启

--

--

主机-异常脚本调用

sec-hss-log

推荐开启

--

--

主机-勒索软件

sec-hss-alarm

推荐开启

--

--

应用-疑似人为WEB恶意入侵攻击

sec-waf-attack

推荐开启

--

--

网络-目录遍历攻击

sec-ndr-risk

按需开启

--

--

网络-文件读写执行

sec-ndr-risk

按需开启

--

--

网络-绕过

sec-ndr-risk

按需开启

--

--

网络-代码执行

sec-ndr-risk

按需开启

--

--

网络-检测后门

sec-ndr-risk

按需开启

--

--

网络-log4j漏洞攻击

sec-ndr-risk

按需开启

--

--

网络-提权

sec-ndr-risk

按需开启

--

--

网络-检测恶意外联

sec-ndr-risk

按需开启

--

--

主机-异常权限提升

sec-hss-alarm

推荐开启

--

--

应用-疑似泛微 e-cology9登录漏洞

sec-waf-access

推荐开启

--

--

主机-信息破坏

sec-hss-alarm

推荐开启

--

--

主机-网络异常行为

sec-hss-alarm

推荐开启

--

--

主机-用户异常行为

sec-hss-alarm

推荐开启

--

已升级,需更新模型

主机-容器异常

sec-hss-alarm

推荐开启

--

--

应用-waf 告警恶意ip攻击

sec-waf-attack

推荐开启

--

--

主机-系统异常变更

sec-hss-alarm

推荐开启

--

--

主机-漏洞利用

sec-hss-alarm

推荐开启

--

已升级,需更新模型

主机-集群异常行为

sec-hss-alarm

推荐开启

--

--

主机-异常进程

sec-hss-alarm

推荐开启

--

--

主机-黑客工具检测

sec-hss-alarm

推荐开启

--

--

主机-扫描侦查

sec-hss-alarm

推荐开启

--

--

主机-关键文件路径变更

sec-hss-alarm

推荐开启

--

新增

主机-异常外联行为

sec-hss-alarm

推荐开启

--

新增

主机-文件/目录变更

sec-hss-alarm

推荐开启

--

新增

主机-尝试暴力破解

sec-hss-alarm

推荐开启

--

新增

主机-可疑进程异常访问文件

sec-hss-alarm

推荐开启

--

新增

主机-容器异常启动

sec-hss-alarm

推荐开启

--

新增

主机-非可信进程运行

sec-hss-alarm

推荐开启

--

新增

主机-Crontab可疑任务

sec-hss-alarm

推荐开启

--

新增

主机-用户账号变更

sec-hss-alarm

推荐开启

--

新增

网络-CFW恶意外部攻击

sec-cfw-risk

推荐开启

--

新增

应用-疑似存在目录爆破

sec-nginx-access

按需开启

--

--

应用-疑似存在dos攻击风险

sec-nginx-access

按需开启

--

--

应用-python恶意爬虫

sec-nginx-access

按需开启

--

--

应用-用户异常登录疑似爆破

sec-nginx-access

按需开启

--

--

应用-疑似撞库攻击

sec-nginx-access

按需开启

--

--

网络-主机非法探测

sec-vpc-flow

按需开启

--

--

网络-端口非法扫描

sec-vpc-flow

按需开启

--

--

相关文档