启用安全模型
在智能建模页面安全云脑内置了基于应用、网络、主机多维度的安全分析模型,自动化的完成数据汇聚、分析和报警。
建议使用全量内置的模板创建告警模型并启用模型。
通过模型汇聚分析筛选告警,降低误报率,提升值班人员分析处理效率。同时,也可以结合用户场景编辑模型进行模型调整,适配不同用户场景,降噪告警。
启用安全模型
执行管道
模型名称 | 管道 | 是否开启 | 状态 | 备注 |
|---|---|---|---|---|
应用-分布式url遍历攻击 | sec-waf-access | 推荐开启 | 开箱即用已开启 | -- |
应用-源ip对域名进行爆破攻击 | sec-waf-attack | 推荐开启 | 开箱即用已开启 | -- |
应用-源ip进行url遍历 | sec-waf-access | 推荐开启 | 开箱即用已开启 | -- |
应用-WAF关键攻击告警 | sec-waf-attack | 推荐开启 | 开箱即用已开启 | -- |
主机-虚拟机横向连接 | sec-hss-log | 推荐开启 | 开箱即用已开启 | -- |
网络-高危端口对外暴露 | sec-nip-attack | 推荐开启 | 开箱即用已开启 | -- |
网络-登录爆破告警 | sec-nip-attack | 推荐开启 | 开箱即用已开启 | -- |
主机-异常网络连接 | sec-hss-alarm | 推荐开启 | 开箱即用已开启 | -- |
网络-源ip对多个目标进行攻击 | sec-nip-attack | 推荐开启 | 开箱即用已开启 | -- |
IPS告警去重 | sec-nip-attack | 按需开启 | -- | -- |
网络-命令注入告警 | sec-nip-attack | 推荐开启 | 开箱即用已开启 | -- |
网络-恶意外联 | sec-nip-attack | 推荐开启 | 开箱即用已开启 | -- |
主机-rootkit事件 | sec-hss-alarm | 推荐开启 | 开箱即用已开启 | -- |
主机-反弹shell | sec-hss-alarm | 推荐开启 | 开箱即用已开启 | 已升级,需更新模型 |
主机-异地登录 | sec-hss-alarm | 推荐开启 | 开箱即用已开启 | -- |
主机-异常shell | sec-hss-alarm | 推荐开启 | 开箱即用已开启 | -- |
主机-弱口令 | sec-hss-alarm | 推荐开启 | 开箱即用已开启 | -- |
主机-恶意程序 | sec-hss-alarm | 推荐开启 | 开箱即用已开启 | -- |
主机-暴力破解成功 | sec-hss-alarm | 推荐开启 | 开箱即用已开启 | -- |
主机-高危命令检测 | sec-hss-alarm | 推荐开启 | 开箱即用已开启 | 已升级,需更新模型 |
网络-检测异常连接行为 | sec-nip-attack | 推荐开启 | 开箱即用已开启 | -- |
网络-检测黑客工具攻击 | sec-nip-attack | 推荐开启 | 开箱即用已开启 | -- |
网络-恶意软件 [蠕虫、病毒、木马] | sec-nip-attack | 推荐开启 | 开箱即用已开启 | -- |
网络-僵尸网络 | sec-nip-attack | 推荐开启 | 开箱即用已开启 | -- |
网络-后门 | sec-nip-attack | 推荐开启 | 开箱即用已开启 | -- |
应用-疑似存在源码泄露风险 | sec-waf-access | 推荐开启 | 开箱即用已开启 | -- |
身份-IAM账号爆破 | sec-iam-audit | 推荐开启 | 开箱即用已开启 | -- |
应用-疑似存在log4j2漏洞 | sec-waf-attack | 推荐开启 | 开箱即用已开启 | -- |
身份-创建IAM委托 | sec-iam-audit | 推荐开启 | 开箱即用已开启 | -- |
身份-创建联邦登录 | sec-iam-audit | 推荐开启 | 开箱即用已开启 | -- |
身份-IAM账户添加子用户 | sec-iam-audit | 推荐开启 | 开箱即用已开启 | -- |
运维-挂载网卡 | sec-cts-audit | 推荐开启 | 开箱即用已开启 | -- |
运维-创建peering对等连接 | sec-cts-audit | 推荐开启 | 开箱即用已开启 | -- |
运维-资源绑定EIP | sec-cts-audit | 推荐开启 | 开箱即用已开启 | -- |
应用-疑似存在fastjson漏洞 | sec-waf-attack | 推荐开启 | 开箱即用已开启 | -- |
应用-疑似存在 Java框架通用代码执行漏洞 | sec-waf-attack | 推荐开启 | 开箱即用已开启 | -- |
应用-疑似存在Shiro漏洞 | sec-waf-attack | 推荐开启 | 开箱即用已开启 | -- |
网络-CFW异常外联 | sec-cfw-risk | 推荐开启 | 开箱即用已开启 | -- |
网络-疑似存在DOS攻击 | sec-cfw-block | 按需开启 | 开箱即用已开启 | -- |
应用-登录爆破攻击 | sec-waf-attack | 推荐开启 | 开箱即用已开启 | -- |
主机-异常文件属性修改 | sec-hss-log | 推荐开启 | 开箱即用已开启 | -- |
主机-恶意定时任务写入 | sec-hss-log | 推荐开启 | 开箱即用已开启 | -- |
主机-进程和端口信息隐匿 | sec-hss-log | 推荐开启 | 开箱即用已开启 | -- |
主机-异常文件权限修改 | sec-hss-log | 推荐开启 | 开箱即用已开启 | -- |
网络-疑似存在远程代码执行漏洞 | sec-nip-attack | 推荐开启 | -- | -- |
网络-存在敏感文件泄露 /目录遍历漏洞 | sec-nip-attack | 推荐开启 | -- | -- |
应用-疑似存在openfire鉴权绕过漏洞 | sec-waf-access | 推荐开启 | -- | -- |
应用-疑似存在 nginxWebUI 远程命令执行漏洞 | sec-waf-access | 推荐开启 | -- | -- |
应用-疑似存在 MinIO 信息泄露 | sec-waf-access | 推荐开启 | -- | -- |
应用-疑似存在 F5 BIG-IP 命令执行漏洞 | sec-waf-access | 推荐开启 | -- | -- |
应用-存在Spring Actuator信息泄露 | sec-waf-access | 推荐开启 | -- | -- |
主机-计划任务异常 | sec-hss-alarm | 推荐开启 | -- | -- |
主机-疑似注册启动信息修改 | sec-hss-log | 推荐开启 | -- | -- |
主机-疑似发现webshell木马 | sec-hss-alarm | 推荐开启 | -- | -- |
主机-疑似使用内网扫描工具 | sec-hss-log | 推荐开启 | -- | -- |
主机-挖矿行为检测 | sec-hss-alarm | 推荐开启 | -- | -- |
主机-异常脚本调用 | sec-hss-log | 推荐开启 | -- | -- |
主机-勒索软件 | sec-hss-alarm | 推荐开启 | -- | -- |
应用-疑似人为WEB恶意入侵攻击 | sec-waf-attack | 推荐开启 | -- | -- |
网络-目录遍历攻击 | sec-ndr-risk | 按需开启 | -- | -- |
网络-文件读写执行 | sec-ndr-risk | 按需开启 | -- | -- |
网络-绕过 | sec-ndr-risk | 按需开启 | -- | -- |
网络-代码执行 | sec-ndr-risk | 按需开启 | -- | -- |
网络-检测后门 | sec-ndr-risk | 按需开启 | -- | -- |
网络-log4j漏洞攻击 | sec-ndr-risk | 按需开启 | -- | -- |
网络-提权 | sec-ndr-risk | 按需开启 | -- | -- |
网络-检测恶意外联 | sec-ndr-risk | 按需开启 | -- | -- |
主机-异常权限提升 | sec-hss-alarm | 推荐开启 | -- | -- |
应用-疑似泛微 e-cology9登录漏洞 | sec-waf-access | 推荐开启 | -- | -- |
主机-信息破坏 | sec-hss-alarm | 推荐开启 | -- | -- |
主机-网络异常行为 | sec-hss-alarm | 推荐开启 | -- | -- |
主机-用户异常行为 | sec-hss-alarm | 推荐开启 | -- | 已升级,需更新模型 |
主机-容器异常 | sec-hss-alarm | 推荐开启 | -- | -- |
应用-waf 告警恶意ip攻击 | sec-waf-attack | 推荐开启 | -- | -- |
主机-系统异常变更 | sec-hss-alarm | 推荐开启 | -- | -- |
主机-漏洞利用 | sec-hss-alarm | 推荐开启 | -- | 已升级,需更新模型 |
主机-集群异常行为 | sec-hss-alarm | 推荐开启 | -- | -- |
主机-异常进程 | sec-hss-alarm | 推荐开启 | -- | -- |
主机-黑客工具检测 | sec-hss-alarm | 推荐开启 | -- | -- |
主机-扫描侦查 | sec-hss-alarm | 推荐开启 | -- | -- |
主机-关键文件路径变更 | sec-hss-alarm | 推荐开启 | -- | 新增 |
主机-异常外联行为 | sec-hss-alarm | 推荐开启 | -- | 新增 |
主机-文件/目录变更 | sec-hss-alarm | 推荐开启 | -- | 新增 |
主机-尝试暴力破解 | sec-hss-alarm | 推荐开启 | -- | 新增 |
主机-可疑进程异常访问文件 | sec-hss-alarm | 推荐开启 | -- | 新增 |
主机-容器异常启动 | sec-hss-alarm | 推荐开启 | -- | 新增 |
主机-非可信进程运行 | sec-hss-alarm | 推荐开启 | -- | 新增 |
主机-Crontab可疑任务 | sec-hss-alarm | 推荐开启 | -- | 新增 |
主机-用户账号变更 | sec-hss-alarm | 推荐开启 | -- | 新增 |
网络-CFW恶意外部攻击 | sec-cfw-risk | 推荐开启 | -- | 新增 |
应用-疑似存在目录爆破 | sec-nginx-access | 按需开启 | -- | -- |
应用-疑似存在dos攻击风险 | sec-nginx-access | 按需开启 | -- | -- |
应用-python恶意爬虫 | sec-nginx-access | 按需开启 | -- | -- |
应用-用户异常登录疑似爆破 | sec-nginx-access | 按需开启 | -- | -- |
应用-疑似撞库攻击 | sec-nginx-access | 按需开启 | -- | -- |
网络-主机非法探测 | sec-vpc-flow | 按需开启 | -- | -- |
网络-端口非法扫描 | sec-vpc-flow | 按需开启 | -- | -- |
