内置类型

本章节介绍安全云脑支持的内置告警类型、内置事件类型、内置威胁情报类型、内置漏洞类型。

内置告警类型

表1 内置告警类型列表
类型名称	子类型/子类型标识	描述
DDoS攻击	DNS协议攻击 Tcp Dns	DNS协议攻击
	异常端口通信 Unusual Network Port	异常端口通信
	异常协议攻击 Unusual Protocol	异常协议攻击
	ACK Flood ACK Flood	ACK Flood
	BGP Flood攻击 BGP Flood Attack	BGP Flood攻击
	DNS IP TTL DNS IP TTL Check Fail	DNS IP TTL
	DNS Reply Flood 攻击 DNS Reply Flood	DNS Reply Flood 攻击
	DNS查询攻击 DNS Query Flood	DNS查询攻击
	DNS大小异常 DNS Size Abnormal	DNS大小异常
	DNS反射 DNS Reflection	DNS反射
	DNS返回域名流异常 DNS Reply Domain Flow Abnormal	DNS返回域名流异常
	DNS格式错误 DNS Format Error	DNS格式错误
	DNS缓存匹配 DNS Cache Match	DNS缓存匹配
	DNS缓存投毒 DNS Cache Poisoning	DNS缓存投毒
	DNS请求域名流异常 DNS Request Domain Flow Abnormal	DNS请求域名流异常
	DNS无效域名 DNS No Such Name	DNS无效域名
	FIN/RST Flood FIN/RST Flood	FIN/RST Flood
	HTTPS Flood HTTPS Flood	HTTPS Flood
	HTTP慢速攻击 HTTP Slow Attack	HTTP慢速攻击
	ICMP协议封禁 ICMP Protocol Block	ICMP协议封禁
	IP信誉 IP Reputation	IP信誉
	SIP Flood SIP Flood	SIP Flood
	SIP源速率异常 SIP Source Rate Abnormity	SIP源速率异常
	SYN Flood SYN Flood	SYN Flood
	SYN-ACK Flood SYN-ACK Flood	SYN-ACK Flood
	TCP带宽溢出 TCP Bandwidth Overflow	TCP带宽溢出
	TCP多连接攻击 TCP Connection Flood	TCP多连接攻击
	TCP分片带宽溢出 TCP Fragment Bandwidth Overflow	TCP分片带宽溢出
	TCP分片攻击 TCP Fragment Flood	TCP分片攻击
	TCP畸形报文 TCP Malformed	TCP畸形报文
	TCP认证UDP攻击 TCP-authenticated UDP Attack	TCP认证UDP攻击
	TCP协议封禁 TCP Protocol Block	TCP协议封禁
	UDP带宽溢出 UDP Bandwidth Overflow	UDP带宽溢出
	UDP分片 UDP Fragment Flood	UDP分片
	UDP分片带宽溢出 UDP Fragment Bandwidth Overflow	UDP分片带宽溢出
	UDP畸形报文 UDP Malformed	UDP畸形报文
	UDP协议封禁 UDP Protocol Block	UDP协议封禁
	URI监控 URI Monitor	URI监控
	暗网IP Dark IP	暗网IP
	单IP带宽溢出 Single IP Bandwidth Overflow	单IP带宽溢出
	当前连接耗尽攻击 Concurrent Connections Flood	当前连接耗尽攻击
	端口扫描攻击 Port Scanning Attack	端口扫描攻击
	恶意域名攻击 Malicious Domains Attack	恶意域名攻击
	反恶意软件 Anti-Malware	反恶意软件
	分布式拒绝服务攻击 DDOS	分布式拒绝服务攻击
	分区带宽溢出 Zone Bandwidth Overflow	分区带宽溢出
	过滤器攻击 Filter Attack	过滤器攻击
	黑名单 Blacklist	黑名单
	僵尸网络/特洛伊木马/蠕虫 Botnets/Trojan horses/Worms Attack	僵尸网络/特洛伊木马/蠕虫
	目的IP新会话限速 Destination IP new session rate limiting	目的IP新会话限速
	其他Flood攻击 Other Flood	其他Flood攻击
	其他带宽溢出 Other Bandwidth Overflow	其他带宽溢出
	其他全局异常 Global Other Abnormal	其他全局异常
	其他协议封禁 Other Protocol Block	其他协议封禁
	全局ICMP异常 Global ICMP Abnormal	全局ICMP异常
	全局TCP分片异常 Global TCP Fragment Abnormal	全局TCP分片异常
	全局TCP异常 Global TCP Abnormal	全局TCP异常
	全局UDP分片异常 Global UDP Fragment Abnormal	全局UDP分片异常
	全局UDP异常 Global UDP Abnormal	全局UDP异常
	网页攻击 Web Attack	网页攻击
	位置攻击 Location Attack	位置攻击
	新连接耗尽攻击 New Connections Flood	新连接耗尽攻击
	域名劫持 Domain Hijacking	域名劫持
	源DNS返回流异常 Source DNS Reply Flow Abnormal	源DNS返回流异常
源DNS请求流异常 Source DNS Request Flow Abnormal	源DNS请求流异常
主机流量溢出 Host Traffic Over Flow	主机流量溢出
HTTP Flood HTTP Flood	HTTP Flood
ICMP Flood ICMP Flood	ICMP Flood
SSL Flood SSL Flood	SSL Flood
TCP Flood TCP Flood	TCP Flood
UDP Flood UDP Flood	UDP Flood
XML Flood XML Flood	XML Flood
放大攻击 Amplification	放大攻击
Web恶意代码	网页暗链 Web Page Dark Link	网页暗链
Web恶意代码	网页挂马 Web Page Trojan	网页挂马
Web攻击	Webshell Webshell	Webshell
	WAF机器人 WAF Robot	WAF机器人
	白名单IP White IP	白名单IP
	攻击惩罚 Known Attack Source	攻击惩罚
	黑名单IP Black IP	黑名单IP
	漏洞攻击 Vulnerability Attack	漏洞攻击
	命中隐私泄露规则 Leakage	命中隐私泄露规则
	默认 Default	默认
	扫描/爬虫 Scanner & Crawler	扫描/爬虫
	CC攻击 Challenge Collapsar	CC攻击
	IP信誉库 IP Reputation	IP信誉库
	SQL注入 SQL Injection	SQL注入
	XSS Cross-Site Scripting	XSS
	本地文件包含 Local Code Inclusion	本地文件包含
	地理访问控制拦截 Geo IP	地理访问控制拦截
	恶意爬虫 Malicious Web Crawlers	恶意爬虫
	反爬虫 Anticrawler	反爬虫
	防篡改 AntiTamper	防篡改
	非法请求 Illegal Access	非法请求
	黑白名单拦截 White or Black IP	黑白名单拦截
	精准防护 Custom Rule	精准防护
	命令注入 Command Injection	命令注入
	目录遍历 Path Traversal	目录遍历
	网站木马 Website Trojan	网站木马
	网站信息防泄漏 Information Leakage	网站信息防泄漏
	网站信息泄露 Web Service Exfiltration	网站信息泄露
	远程代码执行 Remote Code Execute	远程代码执行
	远程文件包含 Remote Code Inclusion	远程文件包含
恶意软件	加密货币挖矿 Cryptomining	加密货币挖矿
	Docker恶意程序 Docker Malware	Docker恶意程序
	钓鱼 Phishing	钓鱼
	恶意广告软件 Adware	恶意广告软件
	恶意软件 Malicious Software	恶意软件
	黑客工具 Hacktool	黑客工具
	灰色软件 Grayware	灰色软件
	间谍软件 Spyware	间谍软件
	垃圾邮件 Spam	垃圾邮件
	Rootkit Rootkit	Rootkit
	Webshell Webshell	Webshell
	病毒、蠕虫 Virus and Worm	病毒、蠕虫
	恶意文件 Malicious File	恶意文件
	反弹shell Reverse Shell	反弹shell
	后门木马 Backdoor Trojan	后门木马
	僵尸网络程序 Botnet Program	僵尸网络程序
	勒索软件 Ransomware	勒索软件
	挖矿程序 Bitcoin Miner	挖矿程序
	挖矿软件 Mining Software	挖矿软件
风险审计	Webcms漏洞 Webcms Vulnerability	Webcms漏洞
	Windows OS 漏洞 Windows Vulnerability	Windows OS 漏洞
	本地访问漏洞 Local Access Vulnerability	本地访问漏洞
	错误配置策略 Mis-Configured Policy	错误配置策略
	其它OS漏洞 Other OS Vulnerability	其它OS漏洞
	其它漏洞 Other Vulnerability	其它漏洞
	应用程序漏洞 Application Vulnerability	应用程序漏洞
	远程访问漏洞 Remote Access Vulnerability	远程访问漏洞
风险审计	弱口令 Weak Password	弱口令
风险审计	系统风险配置 System Risk Configuration	系统风险配置
攻击探测	钓鱼 Phishing	钓鱼
	网络拓扑构建 Map Network Topology	网络拓扑构建
	账户、组信息收集 Identify Groups/Roles	账户、组信息收集
	指纹扫描 Fingerprinting	指纹扫描
	主机发现 Determine IP Address	主机发现
漏洞利用	ActiveX漏洞利用 ActiveX Exploit	ActiveX漏洞利用
	CGI攻击 CGI Attack	CGI攻击
	DNS漏洞利用 DNS Exploit	DNS漏洞利用
	FTP漏洞利用 FTP Exploit	FTP漏洞利用
	Hadoop漏洞利用 Hadoop Vulnerability Exploit	Hadoop漏洞利用
	Hypervisor漏洞利用 Hypervisor Exploit	Hypervisor漏洞利用
	LDAP注入攻击 LDAP Injection Attack	LDAP注入攻击
	MacOS漏洞利用 MacOS Exploit	MacOS漏洞利用
	MySQL漏洞利用 MySQL Vulnerability Exploit	MySQL漏洞利用
	Office软件漏洞利用 Office Exploit	Office软件漏洞利用
	Redis漏洞利用 Redis Vulnerability Exploit	Redis漏洞利用
	RPC漏洞利用 RPC Exploit	RPC漏洞利用
	SQL注入 SQL Injection	SQL注入
	SSH漏洞利用 SSH Exploit	SSH漏洞利用
	SSI注入攻击 SSI Injection Attack	SSI注入攻击
	Struts2 OGNL注入 Struts2 OGNL Injection	Struts2 OGNL注入
	Telnet漏洞利用 TELNET Exploit	Telnet漏洞利用
	Unix漏洞利用 Unix Exploit	Unix漏洞利用
	Web漏洞利用 Web Exploit	Web漏洞利用
	XSS攻击 Cross-Site Scripting	XSS攻击
	本地文件包含 Local File Inclusion	本地文件包含
	恶意文件投递 Malicious File Delivery	恶意文件投递
	恶意文件执行 Malicious File Execution	恶意文件执行
	缓冲区溢出攻击 Buffer Overflow	缓冲区溢出攻击
	会话劫持 Session Hijack	会话劫持
	口令猜测 Password Cracking	口令猜测
	浏览器漏洞利用 Browser Exploit	浏览器漏洞利用
	弱口令访问 Weak Password Access	弱口令访问
	数据库漏洞利用 Database Exploit	数据库漏洞利用
	未知漏洞利用 Unknown Exploit	未知漏洞利用
	隐藏链接访问 Hide Link Access	隐藏链接访问
	邮件漏洞利用 Mail Exploit	邮件漏洞利用
	远程代码执行 Remote Code Execution	远程代码执行
	远程访问漏洞利用 Remote Access Exploit	远程访问漏洞利用
	远程文件包含攻击 Remote File Inclusion	远程文件包含攻击
	远程文件注入 Remote File Injection	远程文件注入
	组合漏洞利用 Misc Exploit	组合漏洞利用
	CMS漏洞 CMS Exploit	CMS漏洞
	CSRF攻击 CSRF Attack	CSRF攻击
	JNDI注入攻击 JNDI Injection Attack	JNDI注入攻击
	Linux漏洞 Linux Exploit	Linux漏洞
	SMB漏洞 SMB Exploit	SMB漏洞
	Windows漏洞 Windows Exploit	Windows漏洞
	XML注入 XML Injection	XML注入
	代码注入 Code Injection	代码注入
	漏洞逃逸攻击 Vulnerability Escape Attack	漏洞逃逸攻击
	命令执行 Command Execution	命令执行
	命令注入 Command Injection	命令注入
	文件逃逸攻击 File Escape Attack	文件逃逸攻击
	虚拟机逃逸攻击 VM Escape Attack	虚拟机逃逸攻击
	一般漏洞利用 General Exploit	一般漏洞利用
命令与控制	ECS存在当前IP被用于向高危网络发送消息 Command Control Activity	ECS存在当前IP被用于向高危网络发送消息
	可疑的域名、IP地址、端口动态生成访问 Dynamic Resolution	可疑的域名、IP地址、端口动态生成访问
	其他可疑连接 Abnormal Connection	其他可疑连接
	其他可疑行为 Abnormal Behaviour	其他可疑行为
	外连恶意DNS Malicious Domain Query	外连恶意DNS
	外连恶意IP地址 Malicious Ip Address Query	外连恶意IP地址
	隐蔽隧道 Protocol Tunneling	隐蔽隧道
	与矿池地址通信 Mining Pool Communication	与矿池地址通信
其他	公共舆情 Public_Opinion	公共舆情
其他	云防火墙攻击 CFW_RISK	云防火墙攻击
数据泄露	数据窃取 Steal Data	数据窃取
数据泄露	违规外传 Transfer Data Abnormal	违规外传
网络异常行为	IP访问频率异常 IP Access Frequency Abnormal	IP访问频率异常
	IP切换异常 IP Switch Abnormal	IP切换异常
	IP首次访问 IP First Access	IP首次访问
	Sinkhole攻击IP访问 Sink Hole	Sinkhole攻击IP访问
	代理IP访问 Proxy	代理IP访问
	恶意资源访问 Resource Permissions	恶意资源访问
	欺诈付款网站IP/域名访问 Payment	欺诈付款网站IP/域名访问
	洋葱网络IP访问 Tor	洋葱网络IP访问
	C&C异常通信 C&C Abnormal Communication	C&C异常通信
	IP黑名单访问 IP Blacklist Access	IP黑名单访问
	URL黑名单访问 URL Blacklist Access	URL黑名单访问
	恶意URL访问 Malicious URL Access	恶意URL访问
	恶意域名访问 Malicious Domain Name Access	恶意域名访问
	非授权访问企图 Unauthorized Access Attempt	非授权访问企图
	可疑的网络流量 Suspicious Network Traffic	可疑的网络流量
	容器网络外联 Container Network Connect	容器网络外联
	未知网络访问 Unknown Abnormal Network Access	未知网络访问
	文件MD5黑名单访问 File MD5 Blacklist Access	文件MD5黑名单访问
	异常外联行为 Abnormal External Behavior	异常外联行为
	域名黑名单访问 Domain Name Blacklist Access	域名黑名单访问
	周期外联通信 Periodic Outreach	周期外联通信
	可疑的端口转发 Suspicious Port Forward	可疑的端口转发
无文件攻击	VDSO劫持 VDSO Hijacking	VDSO劫持
	动态库注入进程 Dynamic Library Inject Process	动态库注入进程
	关键配置变更 Critical File Change	关键配置变更
	环境变量变更 Environment Change	环境变量变更
	进程注入 Process Inject	进程注入
	内存文件进程 Memfd Process	内存文件进程
	文件操纵 File Manipulation	文件操纵
系统行为异常	Crontab可疑任务 Crontab Suspicious Task	Crontab可疑任务
	Socket连接异常 Abnormal Socket Connection	Socket连接异常
	备份删除 Backup Deletion	备份删除
	非法数据库访问 Unauthorized Database Access	非法数据库访问
	权限异常访问 Privilege Abnormal Access	权限异常访问
	日志异常变化 Unexpected Log Change	日志异常变化
	容器进程退出 Container Process Exist	容器进程退出
	未知主机异常行为 Unknown Host Abnormal Activity	未知主机异常行为
	文件黑名单访问 File blocklist access	文件黑名单访问
	文件权限异常改变 Unexpected File Permission Change	文件权限异常改变
	系统安全防护被禁用 System Security Protection disabled	系统安全防护被禁用
	系统账号变更 System Account Change	系统账号变更
	异常注册表操作 Abnormal Registry Operation	异常注册表操作
	Crontab脚本提权 Crontab Script Privilege Escalation	Crontab脚本提权
	Crontab脚本修改 Crontab Script Change	Crontab脚本修改
	高危命令执行 High-risk Command Execution	高危命令执行
	高危系统调用 High-Risk Syscall	高危系统调用
	关键文件/目录变更 File/Directory Change	关键文件/目录变更
	关键文件变更 Key File Change	关键文件变更
	进程提权 Process Privilege Escalation	进程提权
	进程异常行为 Process Abnormal Activity	进程异常行为
	敏感文件访问 Sensitive File Access	敏感文件访问
	容器进程异常 Container Abnormal Process	容器进程异常
	容器异常启动 Container Abnormal Start	容器异常启动
	数据库连接异常 Abnormal Database Connection	数据库连接异常
	网卡混杂模式 Network Adapter Promiscuous Mode	网卡混杂模式
	文件提权 File Privilege Escalation	文件提权
	文件异常删除 File Abnormal Delete	文件异常删除
	系统启动脚本改变 System Start Script Change	系统启动脚本改变
	异常shell Abnormal Shell	异常shell
	异常命令执行 Abnormal Command Execution	异常命令执行
信息破坏	信息篡改 Information Tampering	信息篡改
	信息丢失 Information Loss	信息丢失
	信息假冒 Information Masquerading	信息假冒
	信息窃取 Information Interception	信息窃取
	信息泄漏 Information Disclosure	信息泄漏
	Linux网页篡改 Linux Web Page Tampering	Linux网页篡改
	Windows网页篡改 Windows Web Page Tampering	Windows网页篡改
	目录遍历 Directory Traversal	目录遍历
用户行为异常	Token恶意利用 Token Leakage	Token恶意利用
	Token恶意利用成功 Token Leakage Success	Token恶意利用成功
	异常用户首次访问 User First Cross Domain Access	异常用户首次访问
	用户访问频率异常 User Access Frequency Abnormal	用户访问频率异常
	用户访问时段异常 User Hour Level Access Abnormal	用户访问时段异常
	用户使用特定IP下载行为异常 User IP Download Abnormal	用户使用特定IP下载行为异常
	用户首次访问桶对象 Client First Access	用户首次访问桶对象
	用户下载行为异常 User Download Abnormal	用户下载行为异常
	暴力破解 Brute Force Cracking	暴力破解
	违规登录 Illegal Login	违规登录
	未知用户异常行为 Unknown User Abnormal Activity	未知用户异常行为
	异常登录 Abnormal Login	异常登录
	用户登录尝试 User Login Attempt	用户登录尝试
	用户密码窃取 User Password Theft	用户密码窃取
	用户权限提升成功 User Privilege Escalation Succeeded	用户权限提升成功
	用户权限提升失败 User Privilege Escalation Failed	用户权限提升失败
	用户首次登录 User First login	用户首次登录
	用户账号删除 User Account Removed	用户账号删除
	用户账号添加 User Account Added	用户账号添加
	用户组变更 User Group Changed	用户组变更
	用户组删除 User Group Removed	用户组删除
	用户组添加 User Group Added	用户组添加
	账号伪冒 Account Forgery	账号伪冒
	ECS可疑账号创建 Suspicious Ecs User Create	ECS可疑账号创建
	ECS账号权限修改 ECS User Escalate Privilege	ECS账号权限修改
	IAM可疑账号创建 Suspicious IAM Account Create	IAM可疑账号创建
	IAM账号权限修改 IAM Permissions Escalation	IAM账号权限修改
	暴力破解登录ECS ECS BruteForce Login	暴力破解登录ECS
	暴力破解登录IAM IAM BruteForce Login	暴力破解登录IAM
	非法系统账号 Invalid System Account	非法系统账号
	风险账号 Risky Account	风险账号
	可疑IP登录ECS Suspicious IP Address Login	可疑IP登录ECS
	可疑IP登录IAM Suspicious IP Address Login	可疑IP登录IAM
	异常登录IAM IAM Abnormal Login	异常登录IAM
	异地登录ECS Instance Credential Exfiltration	异地登录ECS
	用户登录成功 User Login Success	用户登录成功
	用户登录拒绝 User Login Denied	用户登录拒绝
	用户账号变更 User Account Changed	用户账号变更
资源操控	恶意逻辑插入 Malicious Logic Insertion	恶意逻辑插入
	基础设施操纵 Infrastructure Manipulation	基础设施操纵
	配置/环境操纵 Configuration/Environment Manipulation	配置/环境操纵
	容器逃逸 Container Escape	容器逃逸
	容器资源操纵 Container Resource Manipulation	容器资源操纵
	软件完整性 Software Integrity Attack	软件完整性
资源侦查	端口探测数量异常 Port Detection	端口探测数量异常
	ARP 扫描 ARP Scan	ARP 扫描
	DNS探测 DNS Recon	DNS探测
	Hypervisor探测 Hypervisor Recon	Hypervisor探测
	ICMP探测 ICMP Recon	ICMP探测
	Linux探测 Linux Recon	Linux探测
	MacOS探测 MacOS Recon	MacOS探测
	NMAP扫描 NMAP Scan	NMAP扫描
	RPC请求探测 RPC Recon	RPC请求探测
	SNMP扫描 SNMP Recon	SNMP扫描
	TCP扫描 TCP Recon	TCP扫描
	UDP扫描 UDP Recon	UDP扫描
	Unix探测 Unix Recon	Unix探测
	WEB探测 Web Recon	WEB探测
	Windows探测 Windows Recon	Windows探测
	加密渗透扫描 Encrypted Penetration Scan	加密渗透扫描
	普通扫描事件 General Scanner	普通扫描事件
	数据库探测 Database Recon	数据库探测
	邮件探测 Mail Recon	邮件探测
	主机扫描 Host Scan	主机扫描
	组合探测 Misc Recon	组合探测
	端口扫描 Port Scan	端口扫描

告警类型相关操作

告警的基本概念请参见运营对象管理概述。
告警类型支持查看、新增、编辑、启用、禁用、删除操作，详细操作指导请参见管理告警类型。

内置事件类型

表2 内置事件类型列表
类型名称	子类型/子类型标识	描述
DDoS攻击	DNS协议攻击 Tcp Dns	DNS协议攻击
	异常端口通信 Unusual Network Port	异常端口通信
	异常协议攻击 Unusual Protocol	异常协议攻击
	ACK Flood ACK Flood	ACK Flood
	BGP Flood攻击 BGP Flood Attack	BGP Flood攻击
	DNS IP TTL DNS IP TTL Check Fail	DNS IP TTL
	DNS Reply Flood 攻击 DNS Reply Flood	DNS Reply Flood 攻击
	DNS查询攻击 DNS Query Flood	DNS查询攻击
	DNS大小异常 DNS Size Abnormal	DNS大小异常
	DNS反射 DNS Reflection	DNS反射
	DNS返回域名流异常 DNS Reply Domain Flow Abnormal	DNS返回域名流异常
	DNS格式错误 DNS Format Error	DNS格式错误
	DNS缓存匹配 DNS Cache Match	DNS缓存匹配
	DNS缓存投毒 DNS Cache Poisoning	DNS缓存投毒
	DNS请求域名流异常 DNS Request Domain Flow Abnormal	DNS请求域名流异常
	DNS无效域名 DNS No Such Name	DNS无效域名
	FIN/RST Flood FIN/RST Flood	FIN/RST Flood
	HTTPS Flood HTTPS Flood	HTTPS Flood
	HTTP慢速攻击 HTTP Slow Attack	HTTP慢速攻击
	ICMP协议封禁 ICMP Protocol Block	ICMP协议封禁
	IP信誉 IP Reputation	IP信誉
	SIP Flood SIP Flood	SIP Flood
	SIP源速率异常 SIP Source Rate Abnormity	SIP源速率异常
	SYN Flood SYN Flood	SYN Flood
	SYN-ACK Flood SYN-ACK Flood	SYN-ACK Flood
	TCP带宽溢出 TCP Bandwidth Overflow	TCP带宽溢出
	TCP多连接攻击 TCP Connection Flood	TCP多连接攻击
	TCP分片带宽溢出 TCP Fragment Bandwidth Overflow	TCP分片带宽溢出
	TCP分片攻击 TCP Fragment Flood	TCP分片攻击
	TCP畸形报文 TCP Malformed	TCP畸形报文
	TCP认证UDP攻击 TCP-authenticated UDP Attack	TCP认证UDP攻击
	TCP协议封禁 TCP Protocol Block	TCP协议封禁
	UDP带宽溢出 UDP Bandwidth Overflow	UDP带宽溢出
	UDP分片 UDP Fragment Flood	UDP分片
	UDP分片带宽溢出 UDP Fragment Bandwidth Overflow	UDP分片带宽溢出
	UDP畸形报文 UDP Malformed	UDP畸形报文
	UDP协议封禁 UDP Protocol Block	UDP协议封禁
	URI监控 URI Monitor	URI监控
	暗网IP Dark IP	暗网IP
	单IP带宽溢出 Single IP Bandwidth Overflow	单IP带宽溢出
	当前连接耗尽攻击 Concurrent Connections Flood	当前连接耗尽攻击
	端口扫描攻击 Port Scanning Attack	端口扫描攻击
	恶意域名攻击 Malicious Domains Attack	恶意域名攻击
	反恶意软件 Anti-Malware	反恶意软件
	分布式拒绝服务攻击 DDOS	分布式拒绝服务攻击
	分区带宽溢出 Zone Bandwidth Overflow	分区带宽溢出
	过滤器攻击 Filter Attack	过滤器攻击
	黑名单 Blacklist	黑名单
	僵尸网络/特洛伊木马/蠕虫 Botnets/Trojan horses/Worms Attack	僵尸网络/特洛伊木马/蠕虫
	目的IP新会话限速 Destination IP new session rate limiting	目的IP新会话限速
	其他Flood攻击 Other Flood	其他Flood攻击
	其他带宽溢出 Other Bandwidth Overflow	其他带宽溢出
	其他全局异常 Global Other Abnormal	其他全局异常
	其他协议封禁 Other Protocol Block	其他协议封禁
	全局ICMP异常 Global ICMP Abnormal	全局ICMP异常
	全局TCP分片异常 Global TCP Fragment Abnormal	全局TCP分片异常
	全局TCP异常 Global TCP Abnormal	全局TCP异常
	全局UDP分片异常 Global UDP Fragment Abnormal	全局UDP分片异常
	全局UDP异常 Global UDP Abnormal	全局UDP异常
	网页攻击 Web Attack	网页攻击
	位置攻击 Location Attack	位置攻击
	新连接耗尽攻击 New Connections Flood	新连接耗尽攻击
	域名劫持 Domain Hijacking	域名劫持
	源DNS返回流异常 Source DNS Reply Flow Abnormal	源DNS返回流异常
源DNS请求流异常 Source DNS Request Flow Abnormal	源DNS请求流异常
主机流量溢出 Host Traffic Over Flow	主机流量溢出
HTTP Flood HTTP Flood	HTTP Flood
ICMP Flood ICMP Flood	ICMP Flood
SSL Flood SSL Flood	SSL Flood
TCP Flood TCP Flood	TCP Flood
UDP Flood UDP Flood	UDP Flood
XML Flood XML Flood	XML Flood
放大攻击 Amplification	放大攻击
Web恶意代码	网页暗链 Web Page Dark Link	网页暗链
Web恶意代码	网页挂马 Web Page Trojan	网页挂马
Web攻击	Webshell Webshell	Webshell
	WAF机器人 WAF Robot	WAF机器人
	白名单IP White IP	白名单IP
	攻击惩罚 Known Attack Source	攻击惩罚
	黑名单IP Black IP	黑名单IP
	漏洞攻击 Vulnerability Attack	漏洞攻击
	命中隐私泄露规则 Leakage	命中隐私泄露规则
	默认 Default	默认
	扫描/爬虫 Scanner & Crawler	扫描/爬虫
	CC攻击 Challenge Collapsar	CC攻击
	IP信誉库 IP Reputation	IP信誉库
	SQL注入 SQL Injection	SQL注入
	XSS Cross-Site Scripting	XSS
	本地文件包含 Local Code Inclusion	本地文件包含
	地理访问控制拦截 Geo IP	地理访问控制拦截
	恶意爬虫 Malicious Web Crawlers	恶意爬虫
	反爬虫 Anticrawler	反爬虫
	防篡改 AntiTamper	防篡改
	非法请求 Illegal Access	非法请求
	黑白名单拦截 White or Black IP	黑白名单拦截
	精准防护 Custom Rule	精准防护
	命令注入 Command Injection	命令注入
	目录遍历 Path Traversal	目录遍历
	网站木马 Website Trojan	网站木马
	网站信息防泄漏 Information Leakage	网站信息防泄漏
	网站信息泄露 Web Service Exfiltration	网站信息泄露
	远程代码执行 Remote Code Execute	远程代码执行
	远程文件包含 Remote Code Inclusion	远程文件包含
恶意软件	加密货币挖矿 Cryptomining	加密货币挖矿
	Docker恶意程序 Docker Malware	Docker恶意程序
	钓鱼 Phishing	钓鱼
	恶意广告软件 Adware	恶意广告软件
	恶意软件 Malicious Software	恶意软件
	黑客工具 Hacktool	黑客工具
	灰色软件 Grayware	灰色软件
	间谍软件 Spyware	间谍软件
	垃圾邮件 Spam	垃圾邮件
	Rootkit Rootkit	Rootkit
	Webshell Webshell	Webshell
	病毒、蠕虫 Virus and Worm	病毒、蠕虫
	恶意文件 Malicious File	恶意文件
	反弹shell Reverse Shell	反弹shell
	后门木马 Backdoor Trojan	后门木马
	僵尸网络程序 Botnet Program	僵尸网络程序
	勒索软件 Ransomware	勒索软件
	挖矿程序 Bitcoin Miner	挖矿程序
	挖矿软件 Mining Software	挖矿软件
风险审计	Webcms漏洞 Webcms Vulnerability	Webcms漏洞
	Windows OS 漏洞 Windows Vulnerability	Windows OS 漏洞
	本地访问漏洞 Local Access Vulnerability	本地访问漏洞
	错误配置策略 Mis-Configured Policy	错误配置策略
	其它OS漏洞 Other OS Vulnerability	其它OS漏洞
	其它漏洞 Other Vulnerability	其它漏洞
	应用程序漏洞 Application Vulnerability	应用程序漏洞
	远程访问漏洞 Remote Access Vulnerability	远程访问漏洞
风险审计	弱口令 Weak Password	弱口令
风险审计	系统风险配置 System Risk Configuration	系统风险配置
攻击探测	钓鱼 Phishing	钓鱼
	网络拓扑构建 Map Network Topology	网络拓扑构建
	账户、组信息收集 Identify Groups/Roles	账户、组信息收集
	指纹扫描 Fingerprinting	指纹扫描
	主机发现 Determine IP Address	主机发现
漏洞利用	ActiveX漏洞利用 ActiveX Exploit	ActiveX漏洞利用
	CGI攻击 CGI Attack	CGI攻击
	DNS漏洞利用 DNS Exploit	DNS漏洞利用
	FTP漏洞利用 FTP Exploit	FTP漏洞利用
	Hadoop漏洞利用 Hadoop Vulnerability Exploit	Hadoop漏洞利用
	Hypervisor漏洞利用 Hypervisor Exploit	Hypervisor漏洞利用
	LDAP注入攻击 LDAP Injection Attack	LDAP注入攻击
	MacOS漏洞利用 MacOS Exploit	MacOS漏洞利用
	MySQL漏洞利用 MySQL Vulnerability Exploit	MySQL漏洞利用
	Office软件漏洞利用 Office Exploit	Office软件漏洞利用
	Redis漏洞利用 Redis Vulnerability Exploit	Redis漏洞利用
	RPC漏洞利用 RPC Exploit	RPC漏洞利用
	SQL注入 SQL Injection	SQL注入
	SSH漏洞利用 SSH Exploit	SSH漏洞利用
	SSI注入攻击 SSI Injection Attack	SSI注入攻击
	Struts2 OGNL注入 Struts2 OGNL Injection	Struts2 OGNL注入
	Telnet漏洞利用 TELNET Exploit	Telnet漏洞利用
	Unix漏洞利用 Unix Exploit	Unix漏洞利用
	Web漏洞利用 Web Exploit	Web漏洞利用
	XSS攻击 Cross-Site Scripting	XSS攻击
	本地文件包含 Local File Inclusion	本地文件包含
	恶意文件投递 Malicious File Delivery	恶意文件投递
	恶意文件执行 Malicious File Execution	恶意文件执行
	缓冲区溢出攻击 Buffer Overflow	缓冲区溢出攻击
	会话劫持 Session Hijack	会话劫持
	口令猜测 Password Cracking	口令猜测
	浏览器漏洞利用 Browser Exploit	浏览器漏洞利用
	弱口令访问 Weak Password Access	弱口令访问
	数据库漏洞利用 Database Exploit	数据库漏洞利用
	未知漏洞利用 Unknown Exploit	未知漏洞利用
	隐藏链接访问 Hide Link Access	隐藏链接访问
	邮件漏洞利用 Mail Exploit	邮件漏洞利用
	远程代码执行 Remote Code Execution	远程代码执行
	远程访问漏洞利用 Remote Access Exploit	远程访问漏洞利用
	远程文件包含攻击 Remote File Inclusion	远程文件包含攻击
	远程文件注入 Remote File Injection	远程文件注入
	组合漏洞利用 Misc Exploit	组合漏洞利用
	CMS漏洞 CMS Exploit	CMS漏洞
	CSRF攻击 CSRF Attack	CSRF攻击
	JNDI注入攻击 JNDI Injection Attack	JNDI注入攻击
	Linux漏洞 Linux Exploit	Linux漏洞
	SMB漏洞 SMB Exploit	SMB漏洞
	Windows漏洞 Windows Exploit	Windows漏洞
	XML注入 XML Injection	XML注入
	代码注入 Code Injection	代码注入
	漏洞逃逸攻击 Vulnerability Escape Attack	漏洞逃逸攻击
	命令执行 Command Execution	命令执行
	命令注入 Command Injection	命令注入
	文件逃逸攻击 File Escape Attack	文件逃逸攻击
	虚拟机逃逸攻击 VM Escape Attack	虚拟机逃逸攻击
	一般漏洞利用 General Exploit	一般漏洞利用
命令与控制	ECS存在当前IP被用于向高危网络发送消息 Command Control Activity	ECS存在当前IP被用于向高危网络发送消息
	可疑的域名、IP地址、端口动态生成访问 Dynamic Resolution	可疑的域名、IP地址、端口动态生成访问
	其他可疑连接 Abnormal Connection	其他可疑连接
	其他可疑行为 Abnormal Behaviour	其他可疑行为
	外连恶意DNS Malicious Domain Query	外连恶意DNS
	外连恶意IP地址 Malicious Ip Address Query	外连恶意IP地址
	隐蔽隧道 Protocol Tunneling	隐蔽隧道
	与矿池地址通信 Mining Pool Communication	与矿池地址通信
其他	公共舆情 Public_Opinion	公共舆情
其他	云防火墙攻击 CFW_RISK	云防火墙攻击
数据泄露	数据窃取 Steal Data	数据窃取
数据泄露	违规外传 Transfer Data Abnormal	违规外传
网络异常行为	IP访问频率异常 IP Access Frequency Abnormal	IP访问频率异常
	IP切换异常 IP Switch Abnormal	IP切换异常
	IP首次访问 IP First Access	IP首次访问
	Sinkhole攻击IP访问 Sink Hole	Sinkhole攻击IP访问
	代理IP访问 Proxy	代理IP访问
	恶意资源访问 Resource Permissions	恶意资源访问
	欺诈付款网站IP/域名访问 Payment	欺诈付款网站IP/域名访问
	洋葱网络IP访问 Tor	洋葱网络IP访问
	C&C异常通信 C&C Abnormal Communication	C&C异常通信
	IP黑名单访问 IP Blacklist Access	IP黑名单访问
	URL黑名单访问 URL Blacklist Access	URL黑名单访问
	恶意URL访问 Malicious URL Access	恶意URL访问
	恶意域名访问 Malicious Domain Name Access	恶意域名访问
	非授权访问企图 Unauthorized Access Attemp	非授权访问企图
	可疑的网络流量 Suspicious Network Traffic	可疑的网络流量
	容器网络外联 Container Network Connect	容器网络外联
	未知网络访问 Unknown Abnormal Network Access	未知网络访问
	文件MD5黑名单访问 File MD5 Blacklist Access	文件MD5黑名单访问
	异常外联行为 Abnormal External Behavior	异常外联行为
	域名黑名单访问 Domain Name Blacklist Access	域名黑名单访问
	周期外联通信 Periodic Outreach	周期外联通信
	可疑的端口转发 Suspicious Port Forward	可疑的端口转发
无文件攻击	VDSO劫持 VDSO Hijacking	VDSO劫持
	动态库注入进程 Dynamic Library Inject Process	动态库注入进程
	关键配置变更 Critical File Change	关键配置变更
	环境变量变更 Environment Change	环境变量变更
	进程注入 Process Inject	进程注入
	内存文件进程 Memfd Process	内存文件进程
	文件操纵 File Manipulation	文件操纵
系统行为异常	Crontab可疑任务 Crontab Suspicious Task	Crontab可疑任务
	Socket连接异常 Abnormal Socket Connection	Socket连接异常
	备份删除 Backup Deletion	备份删除
	非法数据库访问 Unauthorized Database Access	非法数据库访问
	权限异常访问 Privilege Abnormal Access	权限异常访问
	日志异常变化 Unexpected Log Change	日志异常变化
	容器进程退出 Container Process Exist	容器进程退出
	未知主机异常行为 Unknown Host Abnormal Activity	未知主机异常行为
	文件黑名单访问 File blocklist access	文件黑名单访问
	文件权限异常改变 Unexpected File Permission Change	文件权限异常改变
	系统安全防护被禁用 System Security Protection disabled	系统安全防护被禁用
	系统账号变更 System Account Change	系统账号变更
	异常注册表操作 Abnormal Registry Operation	异常注册表操作
	Crontab脚本提权 Crontab Script Privilege Escalation	Crontab脚本提权
	Crontab脚本修改 Crontab Script Change	Crontab脚本修改
	高危命令执行 High-risk Command Execution	高危命令执行
	高危系统调用 High-Risk Syscall	高危系统调用
	关键文件/目录变更 File/Directory Change	关键文件/目录变更
	关键文件变更 Key File Change	关键文件变更
	进程提权 Process Privilege Escalation	进程提权
	进程异常行为 Process Abnormal Activity	进程异常行为
	敏感文件访问 Sensitive File Access	敏感文件访问
	容器进程异常 Container Abnormal Process	容器进程异常
	容器异常启动 Container Abnormal Start	容器异常启动
	数据库连接异常 Abnormal Database Connection	数据库连接异常
	网卡混杂模式 Network Adapter Promiscuous Mode	网卡混杂模式
	文件提权 File Privilege Escalation	文件提权
	文件异常删除 File Abnormal Delete	文件异常删除
	系统启动脚本改变 System Start Script Change	系统启动脚本改变
	异常shell Abnormal Shell	异常shell
	异常命令执行 Abnormal Command Execution	异常命令执行
信息破坏	信息篡改 Information Tampering	信息篡改
	信息丢失 Information Loss	信息丢失
	信息假冒 Information Masquerading	信息假冒
	信息窃取 Information Interception	信息窃取
	信息泄漏 Information Disclosure	信息泄漏
	Linux网页篡改 Linux Web Page Tampering	Linux网页篡改
	Windows网页篡改 Windows Web Page Tampering	Windows网页篡改
	目录遍历 Directory Traversal	目录遍历
用户行为异常	Token恶意利用 Token Leakage	Token恶意利用
	Token恶意利用成功 Token Leakage Success	Token恶意利用成功
	异常用户首次访问 User First Cross Domain Access	异常用户首次访问
	用户访问频率异常 User Access Frequency Abnormal	用户访问频率异常
	用户访问时段异常 User Hour Level Access Abnormal	用户访问时段异常
	用户使用特定IP下载行为异常 User IP Download Abnormal	用户使用特定IP下载行为异常
	用户首次访问桶对象 Client First Access	用户首次访问桶对象
	用户下载行为异常 User Download Abnormal	用户下载行为异常
	暴力破解 Brute Force Cracking	暴力破解
	违规登录 Illegal Login	违规登录
	未知用户异常行为 Unknown User Abnormal Activity	未知用户异常行为
	异常登录 Abnormal Login	异常登录
	用户登录尝试 User Login Attempt	用户登录尝试
	用户密码窃取 User Password Theft	用户密码窃取
	用户权限提升成功 User Privilege Escalation Succeeded	用户权限提升成功
	用户权限提升失败 User Privilege Escalation Failed	用户权限提升失败
	用户首次登录 User First login	用户首次登录
	用户账号删除 User Account Removed	用户账号删除
	用户账号添加 User Account Added	用户账号添加
	用户组变更 User Group Changed	用户组变更
	用户组删除 User Group Removed	用户组删除
	用户组添加 User Group Added	用户组添加
	账号伪冒 Account Forgery	账号伪冒
	ECS可疑账号创建 Suspicious Ecs User Create	ECS可疑账号创建
	ECS账号权限修改 ECS User Escalate Privilege	ECS账号权限修改
	IAM可疑账号创建 Suspicious IAM Account Create	IAM可疑账号创建
	IAM账号权限修改 IAM Permissions Escalation	IAM账号权限修改
	暴力破解登录ECS ECS BruteForce Login	暴力破解登录ECS
	暴力破解登录IAM IAM BruteForce Login	暴力破解登录IAM
	非法系统账号 Invalid System Account	非法系统账号
	风险账号 Risky Account	风险账号
	可疑IP登录ECS Suspicious IP Address Login	可疑IP登录ECS
	可疑IP登录IAM Suspicious IP Address Login	可疑IP登录IAM
	异常登录IAM IAM Abnormal Login	异常登录IAM
	异地登录ECS Instance Credential Exfiltration	异地登录ECS
	用户登录成功 User Login Success	用户登录成功
	用户登录拒绝 User Login Denied	用户登录拒绝
	用户账号变更 User Account Changed	用户账号变更
资源操控	恶意逻辑插入 Malicious Logic Insertion	恶意逻辑插入
	基础设施操纵 Infrastructure Manipulation	基础设施操纵
	配置/环境操纵 Configuration/Environment Manipulation	配置/环境操纵
	容器逃逸 Container Escape	容器逃逸
	容器资源操纵 Container Resource Manipulation	容器资源操纵
	软件完整性 Software Integrity Attack	软件完整性
资源侦查	端口探测数量异常 Port Detection	端口探测数量异常
	ARP 扫描 ARP Scan	ARP 扫描
	DNS探测 DNS Recon	DNS探测
	Hypervisor探测 Hypervisor Recon	Hypervisor探测
	ICMP探测 ICMP Recon	ICMP探测
	Linux探测 Linux Recon	Linux探测
	MacOS探测 MacOS Recon	MacOS探测
	NMAP扫描 NMAP Scan	NMAP扫描
	RPC请求探测 RPC Recon	RPC请求探测
	SNMP扫描 SNMP Recon	SNMP扫描
	TCP扫描 TCP Recon	TCP扫描
	UDP扫描 UDP Recon	UDP扫描
	Unix探测 Unix Recon	Unix探测
	WEB探测 Web Recon	WEB探测
	Windows探测 Windows Recon	Windows探测
	加密渗透扫描 Encrypted Penetration Scan	加密渗透扫描
	普通扫描事件 General Scanner	普通扫描事件
	数据库探测 Database Recon	数据库探测
	邮件探测 Mail Recon	邮件探测
	主机扫描 Host Scan	主机扫描
	组合探测 Misc Recon	组合探测
	端口扫描 Port Scan	端口扫描

事件类型相关操作

事件的基本概念请参见运营对象管理概述。
事件类型支持查看、新增、编辑、启用、禁用、删除操作，详细操作指导请参见管理事件类型。

内置威胁情报类型

表3 内置威胁情报类型列表
类型名称/类型标识	描述
IPv4 IPv4	IPv4
IPv6 IPv6	IPv6
邮件 Email	邮件
域名 domain	域名
URL URL	URL
其他 Unclassified	其他

威胁情报类型相关操作

查看威胁情报类型，详细操作指导请参见查看威胁情报。

内置漏洞类型

表4 内置漏洞类型列表
类型名称/类型标识	描述
网站漏洞 Website Vulnerabilities	网站漏洞
Linux软件漏洞 Linux Vulnerabilities	Linux软件漏洞
Web-CMS漏洞 Web-CMS Vulnerabilities	Web-CMS漏洞
Windows系统漏洞 Windows Vulnerabilities	Windows系统漏洞
应用漏洞 Application Vulnerabilities	应用漏洞

漏洞类型相关操作

漏洞类型支持查看、新增、编辑、启用、禁用、删除操作，详细操作指导请参见管理漏洞类型。

父主题： 经验包

上一篇：内置剧本

下一篇：约束与限制

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消