内置类型
本章节介绍安全云脑支持的内置告警类型、内置事件类型、内置威胁情报类型、内置漏洞类型。
内置告警类型
|
类型名称 |
子类型/子类型标识 |
内置 |
描述 |
|---|---|---|---|
|
DDoS攻击 |
DNS协议攻击 Tcp Dns |
是 |
DNS协议攻击 |
|
异常端口通信 Unusual Network Port |
是 |
异常端口通信 |
|
|
异常协议攻击 Unusual Protocol |
是 |
异常协议攻击 |
|
|
ACK Flood ACK Flood |
是 |
ACK Flood |
|
|
BGP Flood攻击 BGP Flood Attack |
是 |
BGP Flood攻击 |
|
|
DNS IP TTL DNS IP TTL Check Fail |
是 |
DNS IP TTL |
|
|
DNS Reply Flood 攻击 DNS Reply Flood |
是 |
DNS Reply Flood 攻击 |
|
|
DNS查询攻击 DNS Query Flood |
是 |
DNS查询攻击 |
|
|
DNS大小异常 DNS Size Abnormal |
是 |
DNS大小异常 |
|
|
DNS反射 DNS Reflection |
是 |
DNS反射 |
|
|
DNS返回域名流异常 DNS Reply Domain Flow Abnormal |
是 |
DNS返回域名流异常 |
|
|
DNS格式错误 DNS Format Error |
是 |
DNS格式错误 |
|
|
DNS缓存匹配 DNS Cache Match |
是 |
DNS缓存匹配 |
|
|
DNS缓存投毒 DNS Cache Poisoning |
是 |
DNS缓存投毒 |
|
|
DNS请求域名流异常 DNS Request Domain Flow Abnormal |
是 |
DNS请求域名流异常 |
|
|
DNS无效域名 DNS No Such Name |
是 |
DNS无效域名 |
|
|
FIN/RST Flood FIN/RST Flood |
是 |
FIN/RST Flood |
|
|
HTTPS Flood HTTPS Flood |
是 |
HTTPS Flood |
|
|
HTTP慢速攻击 HTTP Slow Attack |
是 |
HTTP慢速攻击 |
|
|
ICMP协议封禁 ICMP Protocol Block |
是 |
ICMP协议封禁 |
|
|
IP信誉 IP Reputation |
是 |
IP信誉 |
|
|
SIP Flood SIP Flood |
是 |
SIP Flood |
|
|
SIP源速率异常 SIP Source Rate Abnormity |
是 |
SIP源速率异常 |
|
|
SYN Flood SYN Flood |
是 |
SYN Flood |
|
|
SYN-ACK Flood SYN-ACK Flood |
是 |
SYN-ACK Flood |
|
|
TCP带宽溢出 TCP Bandwidth Overflow |
是 |
TCP带宽溢出 |
|
|
TCP多连接攻击 TCP Connection Flood |
是 |
TCP多连接攻击 |
|
|
TCP分片带宽溢出 TCP Fragment Bandwidth Overflow |
是 |
TCP分片带宽溢出 |
|
|
TCP分片攻击 TCP Fragment Flood |
是 |
TCP分片攻击 |
|
|
TCP畸形报文 TCP Malformed |
是 |
TCP畸形报文 |
|
|
TCP认证UDP攻击 TCP-authenticated UDP Attack |
是 |
TCP认证UDP攻击 |
|
|
TCP协议封禁 TCP Protocol Block |
是 |
TCP协议封禁 |
|
|
UDP带宽溢出 UDP Bandwidth Overflow |
是 |
UDP带宽溢出 |
|
|
UDP分片 UDP Fragment Flood |
是 |
UDP分片 |
|
|
UDP分片带宽溢出 UDP Fragment Bandwidth Overflow |
是 |
UDP分片带宽溢出 |
|
|
UDP畸形报文 UDP Malformed |
是 |
UDP畸形报文 |
|
|
UPD协议封禁 UDP Protocol Block |
是 |
UPD协议封禁 |
|
|
URI监控 URI Monitor |
是 |
URI监控 |
|
|
暗网IP Dark IP |
是 |
暗网IP |
|
|
单IP带宽溢出 Single IP Bandwidth Overflow |
是 |
单IP带宽溢出 |
|
|
当前连接耗尽攻击 Concurrent Connections Flood |
是 |
当前连接耗尽攻击 |
|
|
端口扫描攻击 Port Scanning Attack |
是 |
端口扫描攻击 |
|
|
恶意域名攻击 Malicious Domains Attack |
是 |
恶意域名攻击 |
|
|
反恶意软件 Anti-Malware |
是 |
反恶意软件 |
|
|
分布式拒绝服务攻击 DDOS |
是 |
分布式拒绝服务攻击 |
|
|
分区带宽溢出 Zone Bandwidth Overflow |
是 |
分区带宽溢出 |
|
|
过滤器攻击 Filter Attack |
是 |
过滤器攻击 |
|
|
黑名单 Blacklist |
是 |
黑名单 |
|
|
僵尸网络/特洛伊木马/蠕虫 Botnets/Trojan horses/Worms Attack |
是 |
僵尸网络/特洛伊木马/蠕虫 |
|
|
目的IP新会话限速 Destination IP new session rate limiting |
是 |
目的IP新会话限速 |
|
|
其他Flood攻击 Other Flood |
是 |
其他Flood攻击 |
|
|
其他带宽溢出 Other Bandwidth Overflow |
是 |
其他带宽溢出 |
|
|
其他全局异常 Global Other Abnormal |
是 |
其他全局异常 |
|
|
其他协议封禁 Other Protocol Block |
是 |
其他协议封禁 |
|
|
全局ICMP异常 Global ICMP Abnormal |
是 |
全局ICMP异常 |
|
|
全局TCP分片异常 Global TCP Fragment Abnormal |
是 |
全局TCP分片异常 |
|
|
全局TCP异常 Global TCP Abnormal |
是 |
全局TCP异常 |
|
|
全局UDP分片异常 Global UDP Fragment Abnormal |
是 |
全局UDP分片异常 |
|
|
全局UDP异常 Global UDP Abnormal |
是 |
全局UDP异常 |
|
|
网页攻击 Web Attack |
是 |
网页攻击 |
|
|
位置攻击 Location Attack |
是 |
位置攻击 |
|
|
新连接耗尽攻击 New Connections Flood |
是 |
新连接耗尽攻击 |
|
|
域名劫持 Domain Hijacking |
是 |
域名劫持 |
|
|
源DNS返回流异常 Source DNS Reply Flow Abnormal |
是 |
源DNS返回流异常 |
|
|
源DNS请求流异常 Source DNS Request Flow Abnormal |
是 |
源DNS请求流异常 |
|
|
主机流量溢出 Host Traffic Over Flow |
是 |
主机流量溢出 |
|
|
HTTP Flood HTTP Flood |
是 |
HTTP Flood |
|
|
ICMP Flood ICMP Flood |
是 |
ICMP Flood |
|
|
SSL Flood SSL Flood |
是 |
SSL Flood |
|
|
TCP Flood TCP Flood |
是 |
TCP Flood |
|
|
UDP Flood UDP Flood |
是 |
UDP Flood |
|
|
XML Flood XML Flood |
是 |
XML Flood |
|
|
放大攻击 Amplification |
是 |
放大攻击 |
|
|
Web恶意代码 |
网页暗链 Web Page Dark Link |
是 |
网页暗链 |
|
网页挂马 Web Page Trojan |
是 |
网页挂马 |
|
|
Web攻击 |
Webshell Webshell |
是 |
Webshell |
|
WAF机器人 WAF Robot |
是 |
WAF机器人 |
|
|
白名单IP White IP |
是 |
白名单IP |
|
|
攻击惩罚 Known Attack Source |
是 |
攻击惩罚 |
|
|
黑名单IP Black IP |
是 |
黑名单IP |
|
|
漏洞攻击 Vulnerability Attack |
是 |
漏洞攻击 |
|
|
命中隐私泄露规则 Leakage |
是 |
命中隐私泄露规则 |
|
|
默认 Default |
是 |
默认 |
|
|
扫描/爬虫 Scanner & Crawler |
是 |
扫描/爬虫 |
|
|
CC攻击 Challenge Collapsar |
是 |
CC攻击 |
|
|
IP信誉库 IP Repuation |
是 |
IP信誉库 |
|
|
SQL注入 SQL Injection |
是 |
SQL注入 |
|
|
XSS Cross-Site Scripting |
是 |
XSS |
|
|
本地文件包含 Local Code Inclusion |
是 |
本地文件包含 |
|
|
地理访问控制拦截 Geo IP |
是 |
地理访问控制拦截 |
|
|
恶意爬虫 Malicious Web Crawlers |
是 |
恶意爬虫 |
|
|
反爬虫 Anticrawler |
是 |
反爬虫 |
|
|
防篡改 AntiTamper |
是 |
防篡改 |
|
|
非法请求 Illegal Access |
是 |
非法请求 |
|
|
黑白名单拦截 White or Black IP |
是 |
黑白名单拦截 |
|
|
精准防护 Custom Rule |
是 |
精准防护 |
|
|
命令注入 Command Injection |
是 |
命令注入 |
|
|
目录遍历 Path Traversal |
是 |
目录遍历 |
|
|
网站木马 Website Trojan |
是 |
网站木马 |
|
|
网站信息防泄漏 Information Leakage |
是 |
网站信息防泄漏 |
|
|
网站信息泄露 Web Service Exfiltration |
是 |
网站信息泄露 |
|
|
远程代码执行 Remote Code Execute |
是 |
远程代码执行 |
|
|
远程文件包含 Remote Code Inclusion |
是 |
远程文件包含 |
|
|
恶意软件 |
加密货币挖矿 Cryptomining |
是 |
加密货币挖矿 |
|
Docker恶意程序 Docker Malware |
是 |
Docker恶意程序 |
|
|
钓鱼 Phishing |
是 |
钓鱼 |
|
|
恶意广告软件 Adware |
是 |
恶意广告软件 |
|
|
恶意软件 Malicious Software |
是 |
恶意软件 |
|
|
黑客工具 Hacktool |
是 |
黑客工具 |
|
|
灰色软件 Grayware |
是 |
灰色软件 |
|
|
间谍软件 Spyware |
是 |
间谍软件 |
|
|
垃圾邮件 Spam |
是 |
垃圾邮件 |
|
|
Rootkit Rootkit |
是 |
Rootkit |
|
|
Webshell Webshell |
是 |
Webshell |
|
|
病毒、蠕虫 Virus and Worm |
是 |
病毒、蠕虫 |
|
|
恶意文件 Malicous File |
是 |
恶意文件 |
|
|
反弹shell Reverse Shell |
是 |
反弹shell |
|
|
后门木马 Backdoor Trojan |
是 |
后门木马 |
|
|
僵尸网络程序 Botnet Program |
是 |
僵尸网络程序 |
|
|
勒索软件 Ransomware |
是 |
勒索软件 |
|
|
挖矿程序 Bitcoin Miner |
是 |
挖矿程序 |
|
|
挖矿软件 Mining Software |
是 |
挖矿软件 |
|
|
风险审计 |
Webcms漏洞 Webcms Vulnerability |
是 |
Webcms漏洞 |
|
Windows OS 漏洞 Windows Vulnerability |
是 |
Windows OS 漏洞 |
|
|
本地访问漏洞 Local Access Vulnerability |
是 |
本地访问漏洞 |
|
|
错误配置策略 Mis-Configured Policy |
是 |
错误配置策略 |
|
|
其它OS漏洞 Other OS Vulnerability |
是 |
其它OS漏洞 |
|
|
其它漏洞 Other Vulnerability |
是 |
其它漏洞 |
|
|
应用程序漏洞 Application Vulnerability |
是 |
应用程序漏洞 |
|
|
远程访问漏洞 Remote Access Vulnerability |
是 |
远程访问漏洞 |
|
|
风险审计 |
弱口令 Weak Password |
是 |
弱口令 |
|
系统风险配置 System Risk Configuration |
是 |
系统风险配置 |
|
|
攻击探测 |
钓鱼 Phishing |
是 |
钓鱼 |
|
网络拓扑构建 Map Network Topology |
是 |
网络拓扑构建 |
|
|
账户、组信息收集 Identify Groups/Roles |
是 |
账户、组信息收集 |
|
|
指纹扫描 Fingerprinting |
是 |
指纹扫描 |
|
|
主机发现 Determine IP Address |
是 |
主机发现 |
|
|
漏洞利用 |
ActiveX漏洞利用 ActiveX Exploit |
是 |
ActiveX漏洞利用 |
|
CGI攻击 CGI Attack |
是 |
CGI攻击 |
|
|
DNS漏洞利用 DNS Exploit |
是 |
DNS漏洞利用 |
|
|
FTP漏洞利用 FTP Exploit |
是 |
FTP漏洞利用 |
|
|
Hadoop漏洞利用 Hadoop Vulnerability Exploit |
是 |
Hadoop漏洞利用 |
|
|
Hypervisor漏洞利用 Hypervisor Exploit |
是 |
Hypervisor漏洞利用 |
|
|
LDAP注入攻击 LDAP Injection Attack |
是 |
LDAP注入攻击 |
|
|
MacOS漏洞利用 MacOS Exploit |
是 |
MacOS漏洞利用 |
|
|
MySQL漏洞利用 MySQL Vulnerability Exploit |
是 |
MySQL漏洞利用 |
|
|
Office软件漏洞利用 Office Exploit |
是 |
Office软件漏洞利用 |
|
|
Redis漏洞利用 Redis Vulnerability Exploit |
是 |
Redis漏洞利用 |
|
|
RPC漏洞利用 RPC Exploit |
是 |
RPC漏洞利用 |
|
|
SQL注入 SQL Injection |
是 |
SQL注入 |
|
|
SSH漏洞利用 SSH Exploit |
是 |
SSH漏洞利用 |
|
|
SSI注入攻击 SSI Injection Attack |
是 |
SSI注入攻击 |
|
|
Struts2 OGNL注入 Struts2 OGNL Injection |
是 |
Struts2 OGNL注入 |
|
|
Telnet漏洞利用 TELNET Exploit |
是 |
Telnet漏洞利用 |
|
|
Unix漏洞利用 Unix Exploit |
是 |
Unix漏洞利用 |
|
|
Web漏洞利用 Web Exploit |
是 |
Web漏洞利用 |
|
|
XSS攻击 Cross-Site Scripting |
是 |
XSS攻击 |
|
|
本地文件包含 Local File Inclusion |
是 |
本地文件包含 |
|
|
恶意文件投递 Malicious File Delivery |
是 |
恶意文件投递 |
|
|
恶意文件执行 Malicious File Execution |
是 |
恶意文件执行 |
|
|
缓冲区溢出攻击 Buffer Overflow |
是 |
缓冲区溢出攻击 |
|
|
会话劫持 Session Hijack |
是 |
会话劫持 |
|
|
口令猜测 Password Cracking |
是 |
口令猜测 |
|
|
浏览器漏洞利用 Browser Exploit |
是 |
浏览器漏洞利用 |
|
|
弱口令访问 Weak Password Access |
是 |
弱口令访问 |
|
|
数据库漏洞利用 Database Exploit |
是 |
数据库漏洞利用 |
|
|
未知漏洞利用 Unknown Exploit |
是 |
未知漏洞利用 |
|
|
隐藏链接访问 Hide Link Access |
是 |
隐藏链接访问 |
|
|
邮件漏洞利用 Mail Exploit |
是 |
邮件漏洞利用 |
|
|
远程代码执行 Remote Code Execution |
是 |
远程代码执行 |
|
|
远程访问漏洞利用 Remote Access Exploit |
是 |
远程访问漏洞利用 |
|
|
远程文件包含攻击 Remote File Inclusion |
是 |
远程文件包含攻击 |
|
|
远程文件注入 Remote File Injection |
是 |
远程文件注入 |
|
|
组合漏洞利用 Misc Exploit |
是 |
组合漏洞利用 |
|
|
CMS漏洞 CMS Exploit |
是 |
CMS漏洞 |
|
|
CSRF攻击 CSRF Attack |
是 |
CSRF攻击 |
|
|
JNDI注入攻击 JNDI Injection Attack |
是 |
JNDI注入攻击 |
|
|
Linux漏洞 Linux Exploit |
是 |
Linux漏洞 |
|
|
SMB漏洞 SMB Exploit |
是 |
SMB漏洞 |
|
|
Windows漏洞 Windows Exploit |
是 |
Windows漏洞 |
|
|
XML注入 XML Injection |
是 |
XML注入 |
|
|
代码注入 Code Injection |
是 |
代码注入 |
|
|
漏洞逃逸攻击 Vulnerability Escape Attack |
是 |
漏洞逃逸攻击 |
|
|
命令执行 Command Execution |
是 |
命令执行 |
|
|
命令注入 Command Injection |
是 |
命令注入 |
|
|
文件逃逸攻击 File Escape Attack |
是 |
文件逃逸攻击 |
|
|
虚拟机逃逸攻击 VM Escape Attack |
是 |
虚拟机逃逸攻击 |
|
|
一般漏洞利用 General Exploit |
是 |
一般漏洞利用 |
|
|
命令与控制 |
ECS存在当前IP被用于向高危网络发送消息 Command Control Activity |
是 |
ECS存在当前IP被用于向高危网络发送消息 |
|
可疑的域名、IP地址、端口动态生成访问 Dynamic Resolution |
是 |
可疑的域名、IP地址、端口动态生成访问 |
|
|
其他可疑连接 Abnormal Connection |
是 |
其他可疑连接 |
|
|
其他可疑行为 Abnormal Behaviour |
是 |
其他可疑行为 |
|
|
外连恶意DNS Malicious Domain Query |
是 |
外连恶意DNS |
|
|
外连恶意IP地址 Malicious Ip Address Query |
是 |
外连恶意IP地址 |
|
|
隐蔽隧道 Protocol Tunneling |
是 |
隐蔽隧道 |
|
|
与矿池地址通信 Mining Pool Communication |
是 |
与矿池地址通信 |
|
|
其他 |
公共舆情 Public_Opinion |
是 |
公共舆情 |
|
云防火墙攻击 CFW_RISK |
是 |
云防火墙攻击 |
|
|
数据泄露 |
数据窃取 Steal Data |
是 |
数据窃取 |
|
违规外传 Transfer Data Abnormal |
是 |
违规外传 |
|
|
网络异常行为 |
IP访问频率异常 IP Access Frequency Abnormal |
是 |
IP访问频率异常 |
|
IP切换异常 IP Switch Abnormal |
是 |
IP切换异常 |
|
|
IP首次访问 IP First Access |
是 |
IP首次访问 |
|
|
Sinkhole攻击IP访问 Sink Hole |
是 |
Sinkhole攻击IP访问 |
|
|
代理IP访问 Proxy |
是 |
代理IP访问 |
|
|
恶意资源访问 Resource Permissions |
是 |
恶意资源访问 |
|
|
欺诈付款网站IP/域名访问 Payment |
是 |
欺诈付款网站IP/域名访问 |
|
|
洋葱网络IP访问 Tor |
是 |
洋葱网络IP访问 |
|
|
C&C异常通信 C&C Abnormal Communication |
是 |
C&C异常通信 |
|
|
IP黑名单访问 IP Blacklist Access |
是 |
IP黑名单访问 |
|
|
URL黑名单访问 URL Blacklist Access |
是 |
URL黑名单访问 |
|
|
恶意URL访问 Malicious URL Access |
是 |
恶意URL访问 |
|
|
恶意域名访问 Malicious Domain Name Access |
是 |
恶意域名访问 |
|
|
非授权访问企图 Unauthorized Access Attemp |
是 |
非授权访问企图 |
|
|
可疑的网络流量 Suspicious Network Traffic |
是 |
可疑的网络流量 |
|
|
容器网络外联 Container Network Connect |
是 |
容器网络外联 |
|
|
未知网络访问 Unknown Abnormal Network Access |
是 |
未知网络访问 |
|
|
文件MD5黑名单访问 File MD5 Blacklist Access |
是 |
文件MD5黑名单访问 |
|
|
异常外联行为 Abnormal External Behavior |
是 |
异常外联行为 |
|
|
域名黑名单访问 Domain Name Blacklist Access |
是 |
域名黑名单访问 |
|
|
周期外联通信 Periodic Outreach |
是 |
周期外联通信 |
|
|
可疑的端口转发 Suspicious Port Forward |
是 |
可疑的端口转发 |
|
|
无文件攻击 |
VDSO劫持 VDSO Hijacking |
是 |
VDSO劫持 |
|
动态库注入进程 Dynamic Library Inject Process |
是 |
动态库注入进程 |
|
|
关键配置变更 Critical File Change |
是 |
关键配置变更 |
|
|
环境变量变更 Environment Change |
是 |
环境变量变更 |
|
|
进程注入 Process Inject |
是 |
进程注入 |
|
|
内存文件进程 Memfd Process |
是 |
内存文件进程 |
|
|
文件操纵 File Manipulation |
是 |
文件操纵 |
|
|
系统行为异常 |
Crontab可疑任务 Crontab Suspicious Task |
是 |
Crontab可疑任务 |
|
Socket连接异常 Abnormal Socket Connection |
是 |
Socket连接异常 |
|
|
备份删除 Backup Deletion |
是 |
备份删除 |
|
|
非法数据库访问 Unauthorized Database Access |
是 |
非法数据库访问 |
|
|
权限异常访问 Privilege Abnormal Access |
是 |
权限异常访问 |
|
|
日志异常变化 Unexpected Log Change |
是 |
日志异常变化 |
|
|
容器进程退出 Container Process Exist |
是 |
容器进程退出 |
|
|
未知主机异常行为 Unknown Host Abnormal Activity |
是 |
未知主机异常行为 |
|
|
文件黑名单访问 File blocklist access |
是 |
文件黑名单访问 |
|
|
文件权限异常改变 Unexpected File Permission Change |
是 |
文件权限异常改变 |
|
|
系统安全防护被禁用 System Security Protection disabled |
是 |
系统安全防护被禁用 |
|
|
系统账号变更 System Account Change |
是 |
系统账号变更 |
|
|
异常注册表操作 Abnormal Registry Operation |
是 |
异常注册表操作 |
|
|
Crontab脚本提权 Crontab Script Privilege Escalation |
是 |
Crontab脚本提权 |
|
|
Crontab脚本修改 Crontab Script Change |
是 |
Crontab脚本修改 |
|
|
高危命令执行 High-risk Command Execution |
是 |
高危命令执行 |
|
|
高危系统调用 High-Risk Syscall |
是 |
高危系统调用 |
|
|
关键文件/目录变更 File/Directory Change |
是 |
关键文件/目录变更 |
|
|
关键文件变更 Key File Change |
是 |
关键文件变更 |
|
|
进程提权 Process Privilege Escalation |
是 |
进程提权 |
|
|
进程异常行为 Process Abnormal Activity |
是 |
进程异常行为 |
|
|
敏感文件访问 Sensitive File Access |
是 |
敏感文件访问 |
|
|
容器进程异常 Container Abnormal Process |
是 |
容器进程异常 |
|
|
容器异常启动 Container Abnormal Start |
是 |
容器异常启动 |
|
|
数据库连接异常 Abnormal Database Connection |
是 |
数据库连接异常 |
|
|
网卡混杂模式 Network Adapter Promiscuous Mode |
是 |
网卡混杂模式 |
|
|
文件提权 File Privilege Escalation |
是 |
文件提权 |
|
|
文件异常删除 File Abnormal Delete |
是 |
文件异常删除 |
|
|
系统启动脚本改变 System Start Script Change |
是 |
系统启动脚本改变 |
|
|
异常shell Abnormal Shell |
是 |
异常shell |
|
|
异常命令执行 Abnormal Command Execution |
是 |
异常命令执行 |
|
|
信息破坏 |
信息篡改 Information Tampering |
是 |
信息篡改 |
|
信息丢失 Information Loss |
是 |
信息丢失 |
|
|
信息假冒 Information Masquerading |
是 |
信息假冒 |
|
|
信息窃取 Information Interception |
是 |
信息窃取 |
|
|
信息泄漏 Information Disclosure |
是 |
信息泄漏 |
|
|
Linux网页篡改 Linux Web Page Tampering |
是 |
Linux网页篡改 |
|
|
Windows网页篡改 Windows Web Page Tampering |
是 |
Windows网页篡改 |
|
|
目录遍历 Directory Traversal |
是 |
目录遍历 |
|
|
用户行为异常 |
Token恶意利用 Token Leakage |
是 |
Token恶意利用 |
|
Token恶意利用成功 Token Leakage Success |
是 |
Token恶意利用成功 |
|
|
异常用户首次访问 User First Cross Domain Access |
是 |
异常用户首次访问 |
|
|
用户访问频率异常 User Access Frequency Abnormal |
是 |
用户访问频率异常 |
|
|
用户访问时段异常 User Hour Level Access Abnormal |
是 |
用户访问时段异常 |
|
|
用户使用特定IP下载行为异常 User IP Download Abnormal |
是 |
用户使用特定IP下载行为异常 |
|
|
用户首次访问桶对象 Client First Access |
是 |
用户首次访问桶对象 |
|
|
用户下载行为异常 User Download Abnormal |
是 |
用户下载行为异常 |
|
|
暴力破解 Brute Force Cracking |
是 |
暴力破解 |
|
|
违规登录 Illegal Login |
是 |
违规登录 |
|
|
未知用户异常行为 Unknown User Abnormal Activity |
是 |
未知用户异常行为 |
|
|
异常登录 Abnormal Login |
是 |
异常登录 |
|
|
用户登录尝试 User Login Attempt |
是 |
用户登录尝试 |
|
|
用户密码窃取 User Password Theft |
是 |
用户密码窃取 |
|
|
用户权限提升成功 User Privilege Escalation Succeeded |
是 |
用户权限提升成功 |
|
|
用户权限提升失败 User Privilege Escalation Failed |
是 |
用户权限提升失败 |
|
|
用户首次登录 User First login |
是 |
用户首次登录 |
|
|
用户账号删除 User Account Removed |
是 |
用户账号删除 |
|
|
用户账号添加 User Account Added |
是 |
用户账号添加 |
|
|
用户组变更 User Group Changed |
是 |
用户组变更 |
|
|
用户组删除 User Group Removed |
是 |
用户组删除 |
|
|
用户组添加 User Group Added |
是 |
用户组添加 |
|
|
账号伪冒 Account Forgery |
是 |
账号伪冒 |
|
|
ECS可疑账号创建 Suspicious Ecs User Create |
是 |
ECS可疑账号创建 |
|
|
ECS账号权限修改 ECS User Escalate Privilege |
是 |
ECS账号权限修改 |
|
|
IAM可疑账号创建 Suspicious IAM Account Create |
是 |
IAM可疑账号创建 |
|
|
IAM账号权限修改 IAM Permissons Escalation |
是 |
IAM账号权限修改 |
|
|
暴力破解登录ECS ECS BruteForce Login |
是 |
暴力破解登录ECS |
|
|
暴力破解登录IAM IAM BruteForce Login |
是 |
暴力破解登录IAM |
|
|
非法系统账号 Invalid System Account |
是 |
非法系统账号 |
|
|
风险账号 Risky Account |
是 |
风险账号 |
|
|
可疑IP登录ECS Suspicious IP Address Login |
是 |
可疑IP登录ECS |
|
|
可疑IP登录IAM Suspicious IP Address Login |
是 |
可疑IP登录IAM |
|
|
异常登录IAM IAM Abnormal Login |
是 |
异常登录IAM |
|
|
异地登录ECS Instance Credential Exfiltration |
是 |
异地登录ECS |
|
|
用户登录成功 User Login Success |
是 |
用户登录成功 |
|
|
用户登录拒绝 User Login Denied |
是 |
用户登录拒绝 |
|
|
用户账号变更 User Account Changed |
是 |
用户账号变更 |
|
|
资源操控 |
恶意逻辑插入 Malicious Logic Insertion |
是 |
恶意逻辑插入 |
|
基础设施操纵 Infrastructure Manipulation |
是 |
基础设施操纵 |
|
|
配置/环境操纵 Configuration/Environment Manipulation |
是 |
配置/环境操纵 |
|
|
容器逃逸 Container Escape |
是 |
容器逃逸 |
|
|
容器资源操纵 Container Resource Manipulation |
是 |
容器资源操纵 |
|
|
软件完整性 Software Integrity Attack |
是 |
软件完整性 |
|
|
资源侦查 |
端口探测数量异常 Port Detection |
是 |
端口探测数量异常 |
|
ARP 扫描 ARP Scan |
是 |
ARP 扫描 |
|
|
DNS探测 DNS Recon |
是 |
DNS探测 |
|
|
Hypervisor探测 Hypervisor Recon |
是 |
Hypervisor探测 |
|
|
ICMP探测 ICMP Recon |
是 |
ICMP探测 |
|
|
Linux探测 Linux Recon |
是 |
Linux探测 |
|
|
MacOS探测 MacOS Recon |
是 |
MacOS探测 |
|
|
NMAP扫描 NMAP Scan |
是 |
NMAP扫描 |
|
|
RPC请求探测 RPC Recon |
是 |
RPC请求探测 |
|
|
SNMP扫描 SNMP Recon |
是 |
SNMP扫描 |
|
|
TCP扫描 TCP Recon |
是 |
TCP扫描 |
|
|
UDP扫描 UDP Recon |
是 |
UDP扫描 |
|
|
Unix探测 Unix Recon |
是 |
Unix探测 |
|
|
WEB探测 Web Recon |
是 |
WEB探测 |
|
|
Windows探测 Windows Recon |
是 |
Windows探测 |
|
|
加密渗透扫描 Encrypted Penetration Scan |
是 |
加密渗透扫描 |
|
|
普通扫描事件 General Scanner |
是 |
普通扫描事件 |
|
|
数据库探测 Database Recon |
是 |
数据库探测 |
|
|
邮件探测 Mail Recon |
是 |
邮件探测 |
|
|
主机扫描 Host Scan |
是 |
主机扫描 |
|
|
组合探测 Misc Recon |
是 |
组合探测 |
|
|
端口扫描 Port Scan |
是 |
端口扫描 |
内置事件类型
|
类型名称 |
子类型/子类型标识 |
内置 |
描述 |
|---|---|---|---|
|
DDoS攻击 |
DNS协议攻击 Tcp Dns |
是 |
DNS协议攻击 |
|
异常端口通信 Unusual Network Port |
是 |
异常端口通信 |
|
|
异常协议攻击 Unusual Protocol |
是 |
异常协议攻击 |
|
|
ACK Flood ACK Flood |
是 |
ACK Flood |
|
|
BGP Flood攻击 BGP Flood Attack |
是 |
BGP Flood攻击 |
|
|
DNS IP TTL DNS IP TTL Check Fail |
是 |
DNS IP TTL |
|
|
DNS Reply Flood 攻击 DNS Reply Flood |
是 |
DNS Reply Flood 攻击 |
|
|
DNS查询攻击 DNS Query Flood |
是 |
DNS查询攻击 |
|
|
DNS大小异常 DNS Size Abnormal |
是 |
DNS大小异常 |
|
|
DNS反射 DNS Reflection |
是 |
DNS反射 |
|
|
DNS返回域名流异常 DNS Reply Domain Flow Abnormal |
是 |
DNS返回域名流异常 |
|
|
DNS格式错误 DNS Format Error |
是 |
DNS格式错误 |
|
|
DNS缓存匹配 DNS Cache Match |
是 |
DNS缓存匹配 |
|
|
DNS缓存投毒 DNS Cache Poisoning |
是 |
DNS缓存投毒 |
|
|
DNS请求域名流异常 DNS Request Domain Flow Abnormal |
是 |
DNS请求域名流异常 |
|
|
DNS无效域名 DNS No Such Name |
是 |
DNS无效域名 |
|
|
FIN/RST Flood FIN/RST Flood |
是 |
FIN/RST Flood |
|
|
HTTPS Flood HTTPS Flood |
是 |
HTTPS Flood |
|
|
HTTP慢速攻击 HTTP Slow Attack |
是 |
HTTP慢速攻击 |
|
|
ICMP协议封禁 ICMP Protocol Block |
是 |
ICMP协议封禁 |
|
|
IP信誉 IP Reputation |
是 |
IP信誉 |
|
|
SIP Flood SIP Flood |
是 |
SIP Flood |
|
|
SIP源速率异常 SIP Source Rate Abnormity |
是 |
SIP源速率异常 |
|
|
SYN Flood SYN Flood |
是 |
SYN Flood |
|
|
SYN-ACK Flood SYN-ACK Flood |
是 |
SYN-ACK Flood |
|
|
TCP带宽溢出 TCP Bandwidth Overflow |
是 |
TCP带宽溢出 |
|
|
TCP多连接攻击 TCP Connection Flood |
是 |
TCP多连接攻击 |
|
|
TCP分片带宽溢出 TCP Fragment Bandwidth Overflow |
是 |
TCP分片带宽溢出 |
|
|
TCP分片攻击 TCP Fragment Flood |
是 |
TCP分片攻击 |
|
|
TCP畸形报文 TCP Malformed |
是 |
TCP畸形报文 |
|
|
TCP认证UDP攻击 TCP-authenticated UDP Attack |
是 |
TCP认证UDP攻击 |
|
|
TCP协议封禁 TCP Protocol Block |
是 |
TCP协议封禁 |
|
|
UDP带宽溢出 UDP Bandwidth Overflow |
是 |
UDP带宽溢出 |
|
|
UDP分片 UDP Fragment Flood |
是 |
UDP分片 |
|
|
UDP分片带宽溢出 UDP Fragment Bandwidth Overflow |
是 |
UDP分片带宽溢出 |
|
|
UDP畸形报文 UDP Malformed |
是 |
UDP畸形报文 |
|
|
UPD协议封禁 UDP Protocol Block |
是 |
UPD协议封禁 |
|
|
URI监控 URI Monitor |
是 |
URI监控 |
|
|
暗网IP Dark IP |
是 |
暗网IP |
|
|
单IP带宽溢出 Single IP Bandwidth Overflow |
是 |
单IP带宽溢出 |
|
|
当前连接耗尽攻击 Concurrent Connections Flood |
是 |
当前连接耗尽攻击 |
|
|
端口扫描攻击 Port Scanning Attack |
是 |
端口扫描攻击 |
|
|
恶意域名攻击 Malicious Domains Attack |
是 |
恶意域名攻击 |
|
|
反恶意软件 Anti-Malware |
是 |
反恶意软件 |
|
|
分布式拒绝服务攻击 DDOS |
是 |
分布式拒绝服务攻击 |
|
|
分区带宽溢出 Zone Bandwidth Overflow |
是 |
分区带宽溢出 |
|
|
过滤器攻击 Filter Attack |
是 |
过滤器攻击 |
|
|
黑名单 Blacklist |
是 |
黑名单 |
|
|
僵尸网络/特洛伊木马/蠕虫 Botnets/Trojan horses/Worms Attack |
是 |
僵尸网络/特洛伊木马/蠕虫 |
|
|
目的IP新会话限速 Destination IP new session rate limiting |
是 |
目的IP新会话限速 |
|
|
其他Flood攻击 Other Flood |
是 |
其他Flood攻击 |
|
|
其他带宽溢出 Other Bandwidth Overflow |
是 |
其他带宽溢出 |
|
|
其他全局异常 Global Other Abnormal |
是 |
其他全局异常 |
|
|
其他协议封禁 Other Protocol Block |
是 |
其他协议封禁 |
|
|
全局ICMP异常 Global ICMP Abnormal |
是 |
全局ICMP异常 |
|
|
全局TCP分片异常 Global TCP Fragment Abnormal |
是 |
全局TCP分片异常 |
|
|
全局TCP异常 Global TCP Abnormal |
是 |
全局TCP异常 |
|
|
全局UDP分片异常 Global UDP Fragment Abnormal |
是 |
全局UDP分片异常 |
|
|
全局UDP异常 Global UDP Abnormal |
是 |
全局UDP异常 |
|
|
网页攻击 Web Attack |
是 |
网页攻击 |
|
|
位置攻击 Location Attack |
是 |
位置攻击 |
|
|
新连接耗尽攻击 New Connections Flood |
是 |
新连接耗尽攻击 |
|
|
域名劫持 Domain Hijacking |
是 |
域名劫持 |
|
|
源DNS返回流异常 Source DNS Reply Flow Abnormal |
是 |
源DNS返回流异常 |
|
|
源DNS请求流异常 Source DNS Request Flow Abnormal |
是 |
源DNS请求流异常 |
|
|
主机流量溢出 Host Traffic Over Flow |
是 |
主机流量溢出 |
|
|
HTTP Flood HTTP Flood |
是 |
HTTP Flood |
|
|
ICMP Flood ICMP Flood |
是 |
ICMP Flood |
|
|
SSL Flood SSL Flood |
是 |
SSL Flood |
|
|
TCP Flood TCP Flood |
是 |
TCP Flood |
|
|
UDP Flood UDP Flood |
是 |
UDP Flood |
|
|
XML Flood XML Flood |
是 |
XML Flood |
|
|
放大攻击 Amplification |
是 |
放大攻击 |
|
|
Web恶意代码 |
网页暗链 Web Page Dark Link |
是 |
网页暗链 |
|
网页挂马 Web Page Trojan |
是 |
网页挂马 |
|
|
Web攻击 |
Webshell Webshell |
是 |
Webshell |
|
WAF机器人 WAF Robot |
是 |
WAF机器人 |
|
|
白名单IP White IP |
是 |
白名单IP |
|
|
攻击惩罚 Known Attack Source |
是 |
攻击惩罚 |
|
|
黑名单IP Black IP |
是 |
黑名单IP |
|
|
漏洞攻击 Vulnerability Attack |
是 |
漏洞攻击 |
|
|
命中隐私泄露规则 Leakage |
是 |
命中隐私泄露规则 |
|
|
默认 Default |
是 |
默认 |
|
|
扫描/爬虫 Scanner & Crawler |
是 |
扫描/爬虫 |
|
|
CC攻击 Challenge Collapsar |
是 |
CC攻击 |
|
|
IP信誉库 IP Repuation |
是 |
IP信誉库 |
|
|
SQL注入 SQL Injection |
是 |
SQL注入 |
|
|
XSS Cross-Site Scripting |
是 |
XSS |
|
|
本地文件包含 Local Code Inclusion |
是 |
本地文件包含 |
|
|
地理访问控制拦截 Geo IP |
是 |
地理访问控制拦截 |
|
|
恶意爬虫 Malicious Web Crawlers |
是 |
恶意爬虫 |
|
|
反爬虫 Anticrawler |
是 |
反爬虫 |
|
|
防篡改 AntiTamper |
是 |
防篡改 |
|
|
非法请求 Illegal Access |
是 |
非法请求 |
|
|
黑白名单拦截 White or Black IP |
是 |
黑白名单拦截 |
|
|
精准防护 Custom Rule |
是 |
精准防护 |
|
|
命令注入 Command Injection |
是 |
命令注入 |
|
|
目录遍历 Path Traversal |
是 |
目录遍历 |
|
|
网站木马 Website Trojan |
是 |
网站木马 |
|
|
网站信息防泄漏 Information Leakage |
是 |
网站信息防泄漏 |
|
|
网站信息泄露 Web Service Exfiltration |
是 |
网站信息泄露 |
|
|
远程代码执行 Remote Code Execute |
是 |
远程代码执行 |
|
|
远程文件包含 Remote Code Inclusion |
是 |
远程文件包含 |
|
|
恶意软件 |
加密货币挖矿 Cryptomining |
是 |
加密货币挖矿 |
|
Docker恶意程序 Docker Malware |
是 |
Docker恶意程序 |
|
|
钓鱼 Phishing |
是 |
钓鱼 |
|
|
恶意广告软件 Adware |
是 |
恶意广告软件 |
|
|
恶意软件 Malicious Software |
是 |
恶意软件 |
|
|
黑客工具 Hacktool |
是 |
黑客工具 |
|
|
灰色软件 Grayware |
是 |
灰色软件 |
|
|
间谍软件 Spyware |
是 |
间谍软件 |
|
|
垃圾邮件 Spam |
是 |
垃圾邮件 |
|
|
Rootkit Rootkit |
是 |
Rootkit |
|
|
Webshell Webshell |
是 |
Webshell |
|
|
病毒、蠕虫 Virus and Worm |
是 |
病毒、蠕虫 |
|
|
恶意文件 Malicous File |
是 |
恶意文件 |
|
|
反弹shell Reverse Shell |
是 |
反弹shell |
|
|
后门木马 Backdoor Trojan |
是 |
后门木马 |
|
|
僵尸网络程序 Botnet Program |
是 |
僵尸网络程序 |
|
|
勒索软件 Ransomware |
是 |
勒索软件 |
|
|
挖矿程序 Bitcoin Miner |
是 |
挖矿程序 |
|
|
挖矿软件 Mining Software |
是 |
挖矿软件 |
|
|
风险审计 |
Webcms漏洞 Webcms Vulnerability |
是 |
Webcms漏洞 |
|
Windows OS 漏洞 Windows Vulnerability |
是 |
Windows OS 漏洞 |
|
|
本地访问漏洞 Local Access Vulnerability |
是 |
本地访问漏洞 |
|
|
错误配置策略 Mis-Configured Policy |
是 |
错误配置策略 |
|
|
其它OS漏洞 Other OS Vulnerability |
是 |
其它OS漏洞 |
|
|
其它漏洞 Other Vulnerability |
是 |
其它漏洞 |
|
|
应用程序漏洞 Application Vulnerability |
是 |
应用程序漏洞 |
|
|
远程访问漏洞 Remote Access Vulnerability |
是 |
远程访问漏洞 |
|
|
风险审计 |
弱口令 Weak Password |
是 |
弱口令 |
|
系统风险配置 System Risk Configuration |
是 |
系统风险配置 |
|
|
攻击探测 |
钓鱼 Phishing |
是 |
钓鱼 |
|
网络拓扑构建 Map Network Topology |
是 |
网络拓扑构建 |
|
|
账户、组信息收集 Identify Groups/Roles |
是 |
账户、组信息收集 |
|
|
指纹扫描 Fingerprinting |
是 |
指纹扫描 |
|
|
主机发现 Determine IP Address |
是 |
主机发现 |
|
|
漏洞利用 |
ActiveX漏洞利用 ActiveX Exploit |
是 |
ActiveX漏洞利用 |
|
CGI攻击 CGI Attack |
是 |
CGI攻击 |
|
|
DNS漏洞利用 DNS Exploit |
是 |
DNS漏洞利用 |
|
|
FTP漏洞利用 FTP Exploit |
是 |
FTP漏洞利用 |
|
|
Hadoop漏洞利用 Hadoop Vulnerability Exploit |
是 |
Hadoop漏洞利用 |
|
|
Hypervisor漏洞利用 Hypervisor Exploit |
是 |
Hypervisor漏洞利用 |
|
|
LDAP注入攻击 LDAP Injection Attack |
是 |
LDAP注入攻击 |
|
|
MacOS漏洞利用 MacOS Exploit |
是 |
MacOS漏洞利用 |
|
|
MySQL漏洞利用 MySQL Vulnerability Exploit |
是 |
MySQL漏洞利用 |
|
|
Office软件漏洞利用 Office Exploit |
是 |
Office软件漏洞利用 |
|
|
Redis漏洞利用 Redis Vulnerability Exploit |
是 |
Redis漏洞利用 |
|
|
RPC漏洞利用 RPC Exploit |
是 |
RPC漏洞利用 |
|
|
SQL注入 SQL Injection |
是 |
SQL注入 |
|
|
SSH漏洞利用 SSH Exploit |
是 |
SSH漏洞利用 |
|
|
SSI注入攻击 SSI Injection Attack |
是 |
SSI注入攻击 |
|
|
Struts2 OGNL注入 Struts2 OGNL Injection |
是 |
Struts2 OGNL注入 |
|
|
Telnet漏洞利用 TELNET Exploit |
是 |
Telnet漏洞利用 |
|
|
Unix漏洞利用 Unix Exploit |
是 |
Unix漏洞利用 |
|
|
Web漏洞利用 Web Exploit |
是 |
Web漏洞利用 |
|
|
XSS攻击 Cross-Site Scripting |
是 |
XSS攻击 |
|
|
本地文件包含 Local File Inclusion |
是 |
本地文件包含 |
|
|
恶意文件投递 Malicious File Delivery |
是 |
恶意文件投递 |
|
|
恶意文件执行 Malicious File Execution |
是 |
恶意文件执行 |
|
|
缓冲区溢出攻击 Buffer Overflow |
是 |
缓冲区溢出攻击 |
|
|
会话劫持 Session Hijack |
是 |
会话劫持 |
|
|
口令猜测 Password Cracking |
是 |
口令猜测 |
|
|
浏览器漏洞利用 Browser Exploit |
是 |
浏览器漏洞利用 |
|
|
弱口令访问 Weak Password Access |
是 |
弱口令访问 |
|
|
数据库漏洞利用 Database Exploit |
是 |
数据库漏洞利用 |
|
|
未知漏洞利用 Unknown Exploit |
是 |
未知漏洞利用 |
|
|
隐藏链接访问 Hide Link Access |
是 |
隐藏链接访问 |
|
|
邮件漏洞利用 Mail Exploit |
是 |
邮件漏洞利用 |
|
|
远程代码执行 Remote Code Execution |
是 |
远程代码执行 |
|
|
远程访问漏洞利用 Remote Access Exploit |
是 |
远程访问漏洞利用 |
|
|
远程文件包含攻击 Remote File Inclusion |
是 |
远程文件包含攻击 |
|
|
远程文件注入 Remote File Injection |
是 |
远程文件注入 |
|
|
组合漏洞利用 Misc Exploit |
是 |
组合漏洞利用 |
|
|
CMS漏洞 CMS Exploit |
是 |
CMS漏洞 |
|
|
CSRF攻击 CSRF Attack |
是 |
CSRF攻击 |
|
|
JNDI注入攻击 JNDI Injection Attack |
是 |
JNDI注入攻击 |
|
|
Linux漏洞 Linux Exploit |
是 |
Linux漏洞 |
|
|
SMB漏洞 SMB Exploit |
是 |
SMB漏洞 |
|
|
Windows漏洞 Windows Exploit |
是 |
Windows漏洞 |
|
|
XML注入 XML Injection |
是 |
XML注入 |
|
|
代码注入 Code Injection |
是 |
代码注入 |
|
|
漏洞逃逸攻击 Vulnerability Escape Attack |
是 |
漏洞逃逸攻击 |
|
|
命令执行 Command Execution |
是 |
命令执行 |
|
|
命令注入 Command Injection |
是 |
命令注入 |
|
|
文件逃逸攻击 File Escape Attack |
是 |
文件逃逸攻击 |
|
|
虚拟机逃逸攻击 VM Escape Attack |
是 |
虚拟机逃逸攻击 |
|
|
一般漏洞利用 General Exploit |
是 |
一般漏洞利用 |
|
|
命令与控制 |
ECS存在当前IP被用于向高危网络发送消息 Command Control Activity |
是 |
ECS存在当前IP被用于向高危网络发送消息 |
|
可疑的域名、IP地址、端口动态生成访问 Dynamic Resolution |
是 |
可疑的域名、IP地址、端口动态生成访问 |
|
|
其他可疑连接 Abnormal Connection |
是 |
其他可疑连接 |
|
|
其他可疑行为 Abnormal Behaviour |
是 |
其他可疑行为 |
|
|
外连恶意DNS Malicious Domain Query |
是 |
外连恶意DNS |
|
|
外连恶意IP地址 Malicious Ip Address Query |
是 |
外连恶意IP地址 |
|
|
隐蔽隧道 Protocol Tunneling |
是 |
隐蔽隧道 |
|
|
与矿池地址通信 Mining Pool Communication |
是 |
与矿池地址通信 |
|
|
其他 |
公共舆情 Public_Opinion |
是 |
公共舆情 |
|
云防火墙攻击 CFW_RISK |
是 |
云防火墙攻击 |
|
|
数据泄露 |
数据窃取 Steal Data |
是 |
数据窃取 |
|
违规外传 Transfer Data Abnormal |
是 |
违规外传 |
|
|
网络异常行为 |
IP访问频率异常 IP Access Frequency Abnormal |
是 |
IP访问频率异常 |
|
IP切换异常 IP Switch Abnormal |
是 |
IP切换异常 |
|
|
IP首次访问 IP First Access |
是 |
IP首次访问 |
|
|
Sinkhole攻击IP访问 Sink Hole |
是 |
Sinkhole攻击IP访问 |
|
|
代理IP访问 Proxy |
是 |
代理IP访问 |
|
|
恶意资源访问 Resource Permissions |
是 |
恶意资源访问 |
|
|
欺诈付款网站IP/域名访问 Payment |
是 |
欺诈付款网站IP/域名访问 |
|
|
洋葱网络IP访问 Tor |
是 |
洋葱网络IP访问 |
|
|
C&C异常通信 C&C Abnormal Communication |
是 |
C&C异常通信 |
|
|
IP黑名单访问 IP Blacklist Access |
是 |
IP黑名单访问 |
|
|
URL黑名单访问 URL Blacklist Access |
是 |
URL黑名单访问 |
|
|
恶意URL访问 Malicious URL Access |
是 |
恶意URL访问 |
|
|
恶意域名访问 Malicious Domain Name Access |
是 |
恶意域名访问 |
|
|
非授权访问企图 Unauthorized Access Attemp |
是 |
非授权访问企图 |
|
|
可疑的网络流量 Suspicious Network Traffic |
是 |
可疑的网络流量 |
|
|
容器网络外联 Container Network Connect |
是 |
容器网络外联 |
|
|
未知网络访问 Unknown Abnormal Network Access |
是 |
未知网络访问 |
|
|
文件MD5黑名单访问 File MD5 Blacklist Access |
是 |
文件MD5黑名单访问 |
|
|
异常外联行为 Abnormal External Behavior |
是 |
异常外联行为 |
|
|
域名黑名单访问 Domain Name Blacklist Access |
是 |
域名黑名单访问 |
|
|
周期外联通信 Periodic Outreach |
是 |
周期外联通信 |
|
|
可疑的端口转发 Suspicious Port Forward |
是 |
可疑的端口转发 |
|
|
无文件攻击 |
VDSO劫持 VDSO Hijacking |
是 |
VDSO劫持 |
|
动态库注入进程 Dynamic Library Inject Process |
是 |
动态库注入进程 |
|
|
关键配置变更 Critical File Change |
是 |
关键配置变更 |
|
|
环境变量变更 Environment Change |
是 |
环境变量变更 |
|
|
进程注入 Process Inject |
是 |
进程注入 |
|
|
内存文件进程 Memfd Process |
是 |
内存文件进程 |
|
|
文件操纵 File Manipulation |
是 |
文件操纵 |
|
|
系统行为异常 |
Crontab可疑任务 Crontab Suspicious Task |
是 |
Crontab可疑任务 |
|
Socket连接异常 Abnormal Socket Connection |
是 |
Socket连接异常 |
|
|
备份删除 Backup Deletion |
是 |
备份删除 |
|
|
非法数据库访问 Unauthorized Database Access |
是 |
非法数据库访问 |
|
|
权限异常访问 Privilege Abnormal Access |
是 |
权限异常访问 |
|
|
日志异常变化 Unexpected Log Change |
是 |
日志异常变化 |
|
|
容器进程退出 Container Process Exist |
是 |
容器进程退出 |
|
|
未知主机异常行为 Unknown Host Abnormal Activity |
是 |
未知主机异常行为 |
|
|
文件黑名单访问 File blocklist access |
是 |
文件黑名单访问 |
|
|
文件权限异常改变 Unexpected File Permission Change |
是 |
文件权限异常改变 |
|
|
系统安全防护被禁用 System Security Protection disabled |
是 |
系统安全防护被禁用 |
|
|
系统账号变更 System Account Change |
是 |
系统账号变更 |
|
|
异常注册表操作 Abnormal Registry Operation |
是 |
异常注册表操作 |
|
|
Crontab脚本提权 Crontab Script Privilege Escalation |
是 |
Crontab脚本提权 |
|
|
Crontab脚本修改 Crontab Script Change |
是 |
Crontab脚本修改 |
|
|
高危命令执行 High-risk Command Execution |
是 |
高危命令执行 |
|
|
高危系统调用 High-Risk Syscall |
是 |
高危系统调用 |
|
|
关键文件/目录变更 File/Directory Change |
是 |
关键文件/目录变更 |
|
|
关键文件变更 Key File Change |
是 |
关键文件变更 |
|
|
进程提权 Process Privilege Escalation |
是 |
进程提权 |
|
|
进程异常行为 Process Abnormal Activity |
是 |
进程异常行为 |
|
|
敏感文件访问 Sensitive File Access |
是 |
敏感文件访问 |
|
|
容器进程异常 Container Abnormal Process |
是 |
容器进程异常 |
|
|
容器异常启动 Container Abnormal Start |
是 |
容器异常启动 |
|
|
数据库连接异常 Abnormal Database Connection |
是 |
数据库连接异常 |
|
|
网卡混杂模式 Network Adapter Promiscuous Mode |
是 |
网卡混杂模式 |
|
|
文件提权 File Privilege Escalation |
是 |
文件提权 |
|
|
文件异常删除 File Abnormal Delete |
是 |
文件异常删除 |
|
|
系统启动脚本改变 System Start Script Change |
是 |
系统启动脚本改变 |
|
|
异常shell Abnormal Shell |
是 |
异常shell |
|
|
异常命令执行 Abnormal Command Execution |
是 |
异常命令执行 |
|
|
信息破坏 |
信息篡改 Information Tampering |
是 |
信息篡改 |
|
信息丢失 Information Loss |
是 |
信息丢失 |
|
|
信息假冒 Information Masquerading |
是 |
信息假冒 |
|
|
信息窃取 Information Interception |
是 |
信息窃取 |
|
|
信息泄漏 Information Disclosure |
是 |
信息泄漏 |
|
|
Linux网页篡改 Linux Web Page Tampering |
是 |
Linux网页篡改 |
|
|
Windows网页篡改 Windows Web Page Tampering |
是 |
Windows网页篡改 |
|
|
目录遍历 Directory Traversal |
是 |
目录遍历 |
|
|
用户行为异常 |
Token恶意利用 Token Leakage |
是 |
Token恶意利用 |
|
Token恶意利用成功 Token Leakage Success |
是 |
Token恶意利用成功 |
|
|
异常用户首次访问 User First Cross Domain Access |
是 |
异常用户首次访问 |
|
|
用户访问频率异常 User Access Frequency Abnormal |
是 |
用户访问频率异常 |
|
|
用户访问时段异常 User Hour Level Access Abnormal |
是 |
用户访问时段异常 |
|
|
用户使用特定IP下载行为异常 User IP Download Abnormal |
是 |
用户使用特定IP下载行为异常 |
|
|
用户首次访问桶对象 Client First Access |
是 |
用户首次访问桶对象 |
|
|
用户下载行为异常 User Download Abnormal |
是 |
用户下载行为异常 |
|
|
暴力破解 Brute Force Cracking |
是 |
暴力破解 |
|
|
违规登录 Illegal Login |
是 |
违规登录 |
|
|
未知用户异常行为 Unknown User Abnormal Activity |
是 |
未知用户异常行为 |
|
|
异常登录 Abnormal Login |
是 |
异常登录 |
|
|
用户登录尝试 User Login Attempt |
是 |
用户登录尝试 |
|
|
用户密码窃取 User Password Theft |
是 |
用户密码窃取 |
|
|
用户权限提升成功 User Privilege Escalation Succeeded |
是 |
用户权限提升成功 |
|
|
用户权限提升失败 User Privilege Escalation Failed |
是 |
用户权限提升失败 |
|
|
用户首次登录 User First login |
是 |
用户首次登录 |
|
|
用户账号删除 User Account Removed |
是 |
用户账号删除 |
|
|
用户账号添加 User Account Added |
是 |
用户账号添加 |
|
|
用户组变更 User Group Changed |
是 |
用户组变更 |
|
|
用户组删除 User Group Removed |
是 |
用户组删除 |
|
|
用户组添加 User Group Added |
是 |
用户组添加 |
|
|
账号伪冒 Account Forgery |
是 |
账号伪冒 |
|
|
ECS可疑账号创建 Suspicious Ecs User Create |
是 |
ECS可疑账号创建 |
|
|
ECS账号权限修改 ECS User Escalate Privilege |
是 |
ECS账号权限修改 |
|
|
IAM可疑账号创建 Suspicious IAM Account Create |
是 |
IAM可疑账号创建 |
|
|
IAM账号权限修改 IAM Permissons Escalation |
是 |
IAM账号权限修改 |
|
|
暴力破解登录ECS ECS BruteForce Login |
是 |
暴力破解登录ECS |
|
|
暴力破解登录IAM IAM BruteForce Login |
是 |
暴力破解登录IAM |
|
|
非法系统账号 Invalid System Account |
是 |
非法系统账号 |
|
|
风险账号 Risky Account |
是 |
风险账号 |
|
|
可疑IP登录ECS Suspicious IP Address Login |
是 |
可疑IP登录ECS |
|
|
可疑IP登录IAM Suspicious IP Address Login |
是 |
可疑IP登录IAM |
|
|
异常登录IAM IAM Abnormal Login |
是 |
异常登录IAM |
|
|
异地登录ECS Instance Credential Exfiltration |
是 |
异地登录ECS |
|
|
用户登录成功 User Login Success |
是 |
用户登录成功 |
|
|
用户登录拒绝 User Login Denied |
是 |
用户登录拒绝 |
|
|
用户账号变更 User Account Changed |
是 |
用户账号变更 |
|
|
资源操控 |
恶意逻辑插入 Malicious Logic Insertion |
是 |
恶意逻辑插入 |
|
基础设施操纵 Infrastructure Manipulation |
是 |
基础设施操纵 |
|
|
配置/环境操纵 Configuration/Environment Manipulation |
是 |
配置/环境操纵 |
|
|
容器逃逸 Container Escape |
是 |
容器逃逸 |
|
|
容器资源操纵 Container Resource Manipulation |
是 |
容器资源操纵 |
|
|
软件完整性 Software Integrity Attack |
是 |
软件完整性 |
|
|
资源侦查 |
端口探测数量异常 Port Detection |
是 |
端口探测数量异常 |
|
ARP 扫描 ARP Scan |
是 |
ARP 扫描 |
|
|
DNS探测 DNS Recon |
是 |
DNS探测 |
|
|
Hypervisor探测 Hypervisor Recon |
是 |
Hypervisor探测 |
|
|
ICMP探测 ICMP Recon |
是 |
ICMP探测 |
|
|
Linux探测 Linux Recon |
是 |
Linux探测 |
|
|
MacOS探测 MacOS Recon |
是 |
MacOS探测 |
|
|
NMAP扫描 NMAP Scan |
是 |
NMAP扫描 |
|
|
RPC请求探测 RPC Recon |
是 |
RPC请求探测 |
|
|
SNMP扫描 SNMP Recon |
是 |
SNMP扫描 |
|
|
TCP扫描 TCP Recon |
是 |
TCP扫描 |
|
|
UDP扫描 UDP Recon |
是 |
UDP扫描 |
|
|
Unix探测 Unix Recon |
是 |
Unix探测 |
|
|
WEB探测 Web Recon |
是 |
WEB探测 |
|
|
Windows探测 Windows Recon |
是 |
Windows探测 |
|
|
加密渗透扫描 Encrypted Penetration Scan |
是 |
加密渗透扫描 |
|
|
普通扫描事件 General Scanner |
是 |
普通扫描事件 |
|
|
数据库探测 Database Recon |
是 |
数据库探测 |
|
|
邮件探测 Mail Recon |
是 |
邮件探测 |
|
|
主机扫描 Host Scan |
是 |
主机扫描 |
|
|
组合探测 Misc Recon |
是 |
组合探测 |
|
|
端口扫描 Port Scan |
是 |
端口扫描 |
内置威胁情报类型
|
类型名称/类型标识 |
内置 |
描述 |
|---|---|---|
|
IPv4 IPv4 |
是 |
IPv4 |
|
IPv6 IPv6 |
是 |
IPv6 |
|
邮件 |
是 |
邮件 |
|
域名 domain |
是 |
域名 |
|
URL URL |
是 |
URL |
|
其他 Unclassified |
是 |
其他 |
内置漏洞类型
|
类型名称/类型标识 |
内置 |
描述 |
|---|---|---|
|
网站漏洞 Website Vulnerabilities |
是 |
网站漏洞 |
|
Linux软件漏洞 Linux Vulnerabilities |
是 |
Linux软件漏洞 |
|
Web-CMS漏洞 Web-CMS Vulnerabilities |
是 |
Web-CMS漏洞 |
|
Windows系统漏洞 Windows Vulnerabilities |
是 |
Windows系统漏洞 |
|
应用漏洞 Application Vulnerabilities |
是 |
应用漏洞 |
