告警事件概述
企业主机安全支持帐户暴力破解、进程异常行为、网站后门、异常登录、恶意进程等13大类入侵检测能力,用户可通过事件管理全面了解告警事件类型,帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。
告警事件列表说明
基础版只支持部分功能的检测能力,不支持防护能力,不支持等保认证。
若需对云服务器进行防护或做等保认证,您需购买企业版及以上(包含企业版、旗舰版、网页防篡改版)版本。
告警名称 |
告警说明 |
基础版 |
企业版 |
旗舰版 |
网页防篡改版 |
---|---|---|---|---|---|
帐户暴力破解 |
黑客通过帐户暴力破解成功登录主机后,便可获得主机的控制权限,进而窃取用户数据、勒索加密、植入挖矿程序,DDoS木马攻击等恶意操作,严重危害主机的安全。 |
√ |
√ |
√ |
√ |
帐户异常登录 |
检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录,则说明您的主机可能被黑客入侵成功。 |
√ |
√ |
√ |
√ |
恶意程序(云查杀) |
恶意程序可能是黑客入侵成功之后植入的木马、后门等,用于窃取数据或攫取不当利益。 例如:黑客入侵之后植入木马,将受害主机作为挖矿、DDoS肉鸡使用,这类程序会大量占用主机的CPU资源或者网络资源,破坏用户业务的稳定性。 通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识后门、木马、挖矿软件、蠕虫和病毒等恶意程序,也可检测出主机中未知的恶意程序和病毒变种,并提供一键隔离查杀能力。
说明:
恶意程序(云查杀)检测功能仅支持检测运行中的恶意程序。 |
× |
√ (隔离查杀) |
√ (隔离查杀) |
√ (隔离查杀) |
进程异常行为 |
检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。
进程异常行为可以监控以下异常行为:
|
× |
√ |
√ |
√ |
关键文件变更 |
篡改系统关键文件,通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。
对于关键文件变更,HSS只检测目录或文件是否被修改,不关注是人为或者某个进程修改的。 |
× |
√ |
√ |
√ |
网站后门 |
以php、jsp等网页文件形式存在的一种命令执行环境。 黑客在入侵了一个网站后,通常会将后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后使用浏览器来访问php或者jsp后门,得到一个命令执行环境,以达到控制网站服务器的目的。 检测云服务器上Web目录中的文件,判断是否为WebShell木马文件,支持检测常见的PHP、JSP等后门文件类型。
|
× |
√ |
√ |
√ |
反弹Shell |
实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“反弹/异常Shell检测”中配置反弹Shell检测,HSS会实时检测执行的可疑指令,主机被远程控制执行任意命令等。 |
× |
× |
√ |
√ |
异常Shell |
检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 您可以在“策略管理”的“反弹/异常Shell检测”中配置异常Shell检测,HSS会实时检测执行的可疑指令,主机被远程控制执行任意命令等。 |
× |
× |
√ |
√ |
高危命令执行 |
您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。 |
× |
× |
√ |
√ |
自启动检测 |
大多数木马通常通过创建自启动服务、定时任务、预加载动态库等方式入侵主机,自启动检测会收集所有云主机自启动的信息,帮助您快速发现主机中可疑的自启动,并清除木马程序问题。 HSS检测并列举当前系统中的自启动服务、定时任务、预加载动态库、Run注册表键和开机启动文件夹,帮助用户及时发现非法自启动。 |
× |
× |
√ |
√ |
风险帐户 |
黑客可能通过风险帐号入侵主机,以达到控制主机的目的,需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号;若存在可疑帐号、克隆帐号等,则触发告警。 |
× |
√ |
√ |
√ |
提权操作 |
当黑客成功入侵主机后,会尝试利用漏洞进行root提权或者文件提权,从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。
检测以下异常提权操作:
|
× |
× |
√ |
√ |
Rootkit程序 |
HSS检测Rootkit安装的文件和目录,帮助用户及时发现可疑的Rootkit安装。
|
× |
× |
√ |
√ |
关键文件变更监控路径
类型 |
Linux |
---|---|
bin |
/bin/ls /bin/ps /bin/bash /bin/netstat /bin/login /bin/find /bin/lsmod /bin/pidof /bin/lsof /bin/ss |
usr |
/usr/bin/ls /usr/bin/ps /usr/sbin/ps /usr/bin/bash /usr/bin/netstat /usr/sbin/netstat /usr/sbin/rsyslogd /usr/sbin/ifconfig /usr/bin/login /usr/bin/find /usr/sbin/lsmod /usr/sbin/pidof /usr/bin/lsof /usr/sbin/lsof /usr/sbin/tcpd /usr/bin/passwd /usr/bin/top /usr/bin/du /usr/bin/chfn /usr/bin/chsh /usr/bin/killall /usr/bin/ss /usr/sbin/ss /usr/bin/ssh /usr/bin/scp |
sbin |
/sbin/syslog-ng /sbin/rsyslogd /sbin/ifconfig /sbin/lsmod /sbin/pidof |