威胁告警简介
背景信息
态势感知威胁告警功能汇集了多个安全服务的告警能力,按照告警类型和等级统一维度呈现,可以准确实时监控云上威胁攻击、检测您资产中的安全告警事件。
同时,通过威胁分析,从攻击源和受攻击资产两个维度,帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。
态势感知威胁告警支持以下功能项:
告警类型
目前SA支持检测8类威胁告警事件,共包括200+种子告警类型。
DDoS事件
“实时检测”互联网主机的DDoS攻击。
共支持检测100+种子类型的DDoS威胁。
暴力破解事件
“实时检测”入侵资产的行为和主机资产内部的风险,检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击,以及检测资产账户是否被破解异常登录。
共支持检测22种子类型的暴力破解威胁。
Web攻击事件
“实时检测”Web恶意扫描器、IP、网马等威胁。
共支持检测38种子类型的Web攻击威胁。
后门木马事件
“实时检测”资产系统是否存在后门木马风险,以及被后门木马程序入侵后的恶意请求行为。
共支持检测5种子类型的后门木马威胁。
僵尸主机事件
“实时检测”资产被入侵后对外发起攻击的威胁。共支持检测7种子类型的僵尸主机威胁。
- 对外发起SSH暴力破解
- 对外发起RDP暴力破解
- 对外发起Web暴力破解
- 对外发起MySQL暴力破解
- 对外发起SQLServer暴力破解
- 对外发起DDoS攻击
- 被入侵后安装挖矿程序
异常行为事件
“实时检测”资产系统异常变更和操作行为。共支持检测21种子类型的异常行为威胁。
漏洞攻击事件
“实时检测”资产被尝试使用漏洞进行攻击。共支持检测2种子类型的漏洞攻击威胁。
- WebCMS漏洞攻击
命令控制事件
“实时检测”资产可能被命令与控制服务器(C&C,Command and Control Server)远程控制,访问与恶意软件或建立与恶意软件之间的链接。
共支持检测3种子类型的命令控制威胁。
- 监控主机存在访问DGA域名行为
- 监控主机存在访问恶意C&C域名行为
- 监控主机存在恶意C&C通道行为