主机安全告警事件概述
企业主机安全支持账户暴力破解、进程异常行为、网站后门、异常登录、恶意进程等入侵检测能力,用户可通过事件管理全面了解告警事件类型,帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。
AV检测和HIPS检测的告警分类会按照具体的告警情况在不同的告警类型中呈现。
- AV检测告警结果只在恶意软件下的不同类别呈现。
- HIPS检测的告警结果会根据实际种类在所有类型的子类别中呈现。
约束限制
未开启防护不支持告警事件相关操作。
主机告警事件支持情况说明
事件类型 |
告警名称 |
告警说明 |
企业版 |
旗舰版 |
网页防篡改版 |
支持的操作系统 |
加入告警白名单 |
隔离查杀 |
---|---|---|---|---|---|---|---|---|
恶意软件 |
未分类恶意软件 |
恶意程序可能是黑客入侵成功之后植入的木马、后门等,用于窃取数据或攫取不当利益。 例如:黑客入侵之后植入木马,将受害主机作为挖矿、DDoS肉鸡使用,这类程序会大量占用主机的CPU资源或者网络资源,破坏用户业务的稳定性。 通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序,也可检测出主机中未知的恶意程序和病毒变种,并提供一键隔离查杀能力。 |
√ |
√ |
√ |
Linux、Windows |
√ |
√ |
病毒 |
检测服务器资产中存在的各种病毒,进行告警上报,支持对告警信息进行自动或手动隔离查杀。 |
√ |
√ |
√ |
Linux、Windows |
√ |
√ |
|
蠕虫 |
对服务器中入侵的蠕虫或已存在的蠕虫进行检测、查杀,并进行告警上报。 |
√ |
√ |
√ |
Linux、Windows |
√ |
√ |
|
木马 |
对服务器中入侵的木马或已存在的木马病毒进行检测、查杀,并进行告警上报。 |
√ |
√ |
√ |
Linux、Windows |
√ |
√ |
|
僵尸网络 |
对服务器中入侵的僵尸网络或已存在的僵尸网络进行检测、查杀,并进行告警上报。 |
√ |
√ |
√ |
Linux、Windows |
√ |
√ |
|
后门 |
检测服务器中存在的后门,并进行告警上报。 |
√ |
√ |
√ |
Linux、Windows |
√ |
√ |
|
Rootkits |
检测服务器资产,对可疑的内核模块和可疑的文件或文件夹进行告警上报。 |
√ |
√ |
√ |
Linux |
√ |
× |
|
勒索软件 |
检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产,并以此作为向您勒索钱财的筹码。 |
× |
√ |
√ |
Linux、Windows |
√ |
√(部分支持) |
|
黑客工具 |
对服务器中入侵的黑客工具或已存在的黑客工具进行检测、查杀,并进行告警上报。 |
√ |
√ |
√ |
Linux、Windows |
√ |
√ |
|
Webshell |
检测云服务器上web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测,HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 该告警需要您在策略管理中添加防护目录,添加详情请参见Webshell检测。 |
√ |
√ |
√ |
Linux、Windows |
√ |
× |
|
挖矿软件 |
对服务器中入侵的挖矿软件或已存在的挖矿软件进行检测、查杀,并进行告警上报。 |
√ |
√ |
√ |
Linux、Windows |
√ |
√ |
|
漏洞利用 |
远程代码执行 |
实时检测利用漏洞入侵主机的行为,对发现的入侵行为进行告警上报。 |
√ |
√ |
√ |
Linux、Windows |
√ |
× |
Redis漏洞利用 |
实时检测Redis进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。 |
√ |
√ |
√ |
Linux |
√ |
× |
|
Hadoop漏洞利用 |
实时检测Hadoop进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。 |
√ |
√ |
√ |
Linux |
√ |
× |
|
MySQL漏洞利用 |
实时检测MySQL进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。 |
√ |
√ |
√ |
Linux |
√ |
× |
|
系统异常行为 |
反弹Shell |
实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测,HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 |
√ |
√ |
√ |
Linux |
√ |
× |
文件提权 |
检测当前系统对文件的提权行为并进行告警。 |
√ |
√ |
√ |
Linux |
√ |
× |
|
进程提权 |
检测以下进程提权操作并进行告警:
|
√ |
√ |
√ |
Linux |
√ |
× |
|
关键文件变更 |
实时监控系统关键文件(例如:ls、ps、login、top等),对修改文件内容的操作进行告警,提醒用户关键文件可能被篡改。监控的关键文件的路径请参见关键文件变更监控路径。 对于关键文件变更,HSS只检测文件内容是否被修改,不关注是人为还是进程进行的修改。 |
√ |
√ |
√ |
Linux |
√ |
× |
|
文件/目录变更 |
实时监控系统文件/目录,对创建、删除、移动、修改属性或修改内容的操作进行告警,提醒用户文件/目录可能被篡改。 |
√ |
√ |
√ |
Linux、Windows |
√ |
× |
|
进程异常行为 |
检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为:
|
√ |
√ |
√ |
Linux、Windows |
√ |
×(部分支持) |
|
高危命令执行 |
您可以在“高危命令检测”中预置高危命令。 的HSS实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。 |
√ |
√ |
√ |
Linux、Windows |
√ |
× |
|
异常Shell |
检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测,HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 |
√ |
√ |
√ |
Linux |
√ |
× |
|
Crontab可疑任务 |
检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况,及时发现异常自启动项,快速定位木马程序的问题。 |
× |
√ |
√ |
Linux、Windows |
√ |
× |
|
系统安全防护被禁用 |
检测勒索软件加密前准备动作:通过注册表关闭 Windows Defender 实时保护功能,一旦发现立即上报告警。 |
√ |
√ |
√ |
Windows |
√ |
× |
|
备份删除 |
检测勒索软件加密前准备动作:删除备份格式文件或Backup文件夹下的文件,一旦发现立即上报告警。 |
√ |
√ |
√ |
Windows |
√ |
× |
|
异常注册表操作 |
检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作,一旦发现立即上报告警。 |
√ |
√ |
√ |
Windows |
√ |
× |
|
系统日志删除 |
检测到通过命令或工具清除系统日志的操作时进行告警。 |
√ |
√ |
√ |
Windows |
√ |
× |
|
可疑命令执行 |
|
√ |
√ |
√ |
Windows |
√ |
× |
|
用户异常行为 |
暴力破解 |
黑客通过账户暴力破解成功登录主机后,便可获得主机的控制权限,进而窃取用户数据、勒索加密、植入挖矿程序、DDoS木马攻击等恶意操作,严重危害主机的安全。 |
√ |
√ |
√ |
Linux、Windows |
√ |
× |
异常登录 |
检测“异地登录”和“账户暴力破解成功”等异常登录。若发生异常登录,则说明您的主机可能被黑客入侵成功。 |
√ |
√ |
√ |
Linux、Windows |
√ |
× |
|
非法系统账号 |
黑客可能通过风险账号入侵主机,以达到控制主机的目的,需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号;若存在可疑账号、克隆账号等,则触发告警。 |
√ |
√ |
√ |
Linux、Windows |
√ |
× |
|
用户账号添加 |
检测使用命令创建隐藏账户,一旦创建成功后用户交互界面和命令查询均不可见。 |
√ |
√ |
√ |
Windows |
√ |
× |
|
用户密码窃取 |
检测主机中的系统账号和密码Hash值被异常获取的行为,一旦发现进行告警上报。 |
√ |
√ |
√ |
Windows |
√ |
× |
|
网络异常访问 |
可疑的下载请求 |
检测到利用系统工具下载程序的可疑HTTP请求时进行告警。 |
√ |
√ |
√ |
Windows |
√ |
× |
可疑的HTTP请求 |
检测到利用系统工具或进程执行远程托管脚本的可疑HTTP请求时进行告警。 |
√ |
√ |
√ |
Windows |
√ |
× |
|
资源侦查 |
端口扫描 |
检测用户指定的端口存在被扫描或者嗅探的行为,一旦发现进行告警上报。 |
× |
√ |
√ |
Linux |
× |
× |
主机扫描 |
检测网络对主机规则覆盖ICMP ARP nbtscan的扫描活动,一旦发现立即上报告警。 |
× |
√ |
√ |
Linux |
√ |
× |