更新时间:2024-07-12 GMT+08:00

主机安全告警事件概述

企业主机安全支持账户暴力破解、进程异常行为、网站后门、异常登录、恶意进程等入侵检测能力,用户可通过事件管理全面了解告警事件类型,帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。

AV检测和HIPS检测的告警分类会按照具体的告警情况在不同的告警类型中呈现。

  • AV检测告警结果只在恶意软件下的不同类别呈现。
  • HIPS检测的告警结果会根据实际种类在所有类型的子类别中呈现。

约束限制

未开启防护不支持告警事件相关操作。

主机告警事件支持情况说明

事件类型

告警名称

告警说明

基础版

专业版

企业版

旗舰版

网页防篡改版

支持的操作系统

加入告警白名单

隔离查杀

恶意软件

未分类恶意软件

恶意程序可能是黑客入侵成功之后植入的木马、后门等,用于窃取数据或攫取不当利益。

例如:黑客入侵之后植入木马,将受害主机作为挖矿、DDoS肉鸡使用,这类程序会大量占用主机的CPU资源或者网络资源,破坏用户业务的稳定性。

通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序,也可检测出主机中未知的恶意程序和病毒变种,并提供一键隔离查杀能力。

×

Linux、Windows

病毒

检测服务器资产中存在的各种病毒,进行告警上报,支持对告警信息进行自动或手动隔离查杀。

×

Linux、Windows

蠕虫

对服务器中入侵的蠕虫或已存在的蠕虫进行检测、查杀,并进行告警上报。

×

Linux、Windows

木马

对服务器中入侵的木马或已存在的木马病毒进行检测、查杀,并进行告警上报。

×

Linux、Windows

僵尸网络

对服务器中入侵的僵尸网络或已存在的僵尸网络进行检测、查杀,并进行告警上报。

×

Linux、Windows

后门

检测服务器中存在的后门,并进行告警上报。

×

Linux、Windows

Rootkits

检测服务器资产,对可疑的内核模块和可疑的文件或文件夹进行告警上报。

×

Linux

×

勒索软件

检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。

勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产,并以此作为向您勒索钱财的筹码。

×

×

×

Linux、Windows

√(部分支持)

黑客工具

对服务器中入侵的黑客工具或已存在的黑客工具进行检测、查杀,并进行告警上报。

×

×

Linux、Windows

Webshell

检测云服务器上web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。

您可以在“策略管理”的“Webshell检测”中配置Webshell检测,HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。

该告警需要您在策略管理中添加防护目录,添加详情请参见Webshell检测

×

Linux、Windows

×

挖矿软件

对服务器中入侵的挖矿软件或已存在的挖矿软件进行检测、查杀,并进行告警上报。

×

Linux、Windows

漏洞利用

远程代码执行

实时检测利用漏洞入侵主机的行为,对发现的入侵行为进行告警上报。

×

×

Linux、Windows

×

系统异常行为

反弹Shell

支持对TCP、UDP、ICMP等协议的检测。

您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测,HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。

×

Linux

×

文件提权

检测当前系统对文件的提权行为并进行告警。

×

Linux

×

进程提权

检测以下进程提权操作并进行告警:
  • 利用SUID程序漏洞进行root提权。
  • 利用内核漏洞进行root提权。

×

Linux

×

关键文件变更

实时监控系统关键文件(例如:ls、ps、login、top等),对修改文件内容的操作进行告警,提醒用户关键文件可能被篡改。监控的关键文件的路径请参见关键文件变更监控路径

对于关键文件变更,HSS只检测文件内容是否被修改,不关注是人为还是进程进行的修改。

×

Linux

×

文件/目录变更

实时监控系统文件/目录,对创建、删除、移动、修改属性或修改内容的操作进行告警,提醒用户文件/目录可能被篡改。

×

Linux、Windows

×

进程异常行为

检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。

对于进程的非法行为、黑客入侵过程进行告警。

进程异常行为可以监控以下异常行为:

  • 监控进程CPU使用异常。
  • 检测进程对恶意IP的访问。
  • 检测进程并发连接数异常等。

×

×

Linux、Windows

×(部分支持)

高危命令执行

您可以在策略管理 > 实时进程“高危命令检测”中预置高危命令。

HSS实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。

×

Linux、Windows

×

异常Shell

检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。

您可以在“策略管理”“恶意文件检测”中配置异常Shell检测,HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。

×

Linux

×

Crontab可疑任务

检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。

帮助用户通过自启动变更情况,及时发现异常自启动项,快速定位木马程序的问题。

×

×

×

Linux、Windows

×

系统安全防护被禁用

检测勒索软件加密前准备动作:通过注册表关闭 Windows Defender 实时保护功能,一旦发现立即上报告警。

×

×

Windows

×

备份删除

检测勒索软件加密前准备动作:删除备份格式文件或Backup文件夹下的文件,一旦发现立即上报告警。

×

×

Windows

×

异常注册表操作

检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作,一旦发现立即上报告警。

×

×

Windows

×

系统日志删除

检测到通过命令或工具清除系统日志的操作时进行告警。

×

×

Windows

×

可疑命令执行

  • 检测通过命令或工具创建、删除计划任务或自启动任务。
  • 检测远程执行命令的可疑行为。

×

×

Windows

×

用户异常行为

暴力破解

黑客通过账户暴力破解成功登录主机后,便可获得主机的控制权限,进而窃取用户数据、勒索加密、植入挖矿程序、DDoS木马攻击等恶意操作,严重危害主机的安全。

检测SSH、RDP、FTP、SQL Server、MySQL等账户遭受的口令破解攻击。
  • 如果30秒内,账户暴力破解次数(连续输入错误密码)达到5次及以上,HSS就会拦截该源IP,禁止其再次登录,防止主机因账户破解被入侵。

    SSH类型攻击默认拦截12小时,其他类型攻击默认拦截24小时。

  • 根据账户暴力破解告警详情,如“攻击源IP”“攻击类型”“拦截次数”,您能够快速识别出该源IP是否为可信IP,如果为可信IP,您可以通过手动解除拦截的方式,解除拦截的可信IP。

Linux、Windows

×

异常登录

检测“异地登录”“账户暴力破解成功”等异常登录。若发生异常登录,则说明您的主机可能被黑客入侵成功。

  • 检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施(例如:忽略、修改密码等)。

    异地登录检测信息包括被拦截的“登录源IP”“登录时间”,攻击者尝试登录主机时使用的“用户名”“云服务器名称”

    若在非常用登录地登录,则触发安全事件告警。

  • 若账户暴力破解成功,登录到云主机,则触发安全事件告警。

Linux、Windows

×

非法系统账号

黑客可能通过风险账号入侵主机,以达到控制主机的目的,需要您及时排查系统中的账户。

HSS检查系统中存在的可疑隐藏账号、克隆账号;若存在可疑账号、克隆账号等,则触发告警。

×

Linux、Windows

×

用户账号添加

检测使用命令创建隐藏账户,一旦创建成功后用户交互界面和命令查询均不可见。

×

×

Windows

×

用户密码窃取

检测主机中的系统账号和密码Hash值被异常获取的行为,一旦发现进行告警上报。

×

×

Windows

×

网络异常访问

可疑的下载请求

检测到利用系统工具下载程序的可疑HTTP请求时进行告警。

×

×

Windows

×

可疑的HTTP请求

检测到利用系统工具或进程执行远程托管脚本的可疑HTTP请求时进行告警。

×

×

Windows

×

资源侦查

端口扫描

检测用户指定的端口存在被扫描或者嗅探的行为,一旦发现进行告警上报。

×

×

×

Linux

×

×

主机扫描

检测网络对主机规则覆盖ICMP ARP nbtscan的扫描活动,一旦发现立即上报告警。

×

×

×

Linux

×

关键文件变更监控路径

类型

Linux

bin

/bin/ls

/bin/ps

/bin/bash

/bin/login

usr

/usr/bin/ls

/usr/bin/ps

/usr/bin/bash

/usr/bin/login

/usr/bin/passwd

/usr/bin/top

/usr/bin/killall

/usr/bin/ssh

/usr/bin/wget

/usr/bin/curl