内置类型
本章节介绍安全云脑支持的内置告警类型、内置事件类型、内置威胁情报类型、内置漏洞类型。
内置告警类型
类型名称 | 子类型/子类型标识 | 描述 |
|---|---|---|
DDoS攻击 | DNS协议攻击 Tcp Dns | DNS协议攻击 |
异常端口通信 Unusual Network Port | 异常端口通信 | |
异常协议攻击 Unusual Protocol | 异常协议攻击 | |
ACK Flood ACK Flood | ACK Flood | |
BGP Flood攻击 BGP Flood Attack | BGP Flood攻击 | |
DNS IP TTL DNS IP TTL Check Fail | DNS IP TTL | |
DNS Reply Flood 攻击 DNS Reply Flood | DNS Reply Flood 攻击 | |
DNS查询攻击 DNS Query Flood | DNS查询攻击 | |
DNS大小异常 DNS Size Abnormal | DNS大小异常 | |
DNS反射 DNS Reflection | DNS反射 | |
DNS返回域名流异常 DNS Reply Domain Flow Abnormal | DNS返回域名流异常 | |
DNS格式错误 DNS Format Error | DNS格式错误 | |
DNS缓存匹配 DNS Cache Match | DNS缓存匹配 | |
DNS缓存投毒 DNS Cache Poisoning | DNS缓存投毒 | |
DNS请求域名流异常 DNS Request Domain Flow Abnormal | DNS请求域名流异常 | |
DNS无效域名 DNS No Such Name | DNS无效域名 | |
FIN/RST Flood FIN/RST Flood | FIN/RST Flood | |
HTTPS Flood HTTPS Flood | HTTPS Flood | |
HTTP慢速攻击 HTTP Slow Attack | HTTP慢速攻击 | |
ICMP协议封禁 ICMP Protocol Block | ICMP协议封禁 | |
IP信誉 IP Reputation | IP信誉 | |
SIP Flood SIP Flood | SIP Flood | |
SIP源速率异常 SIP Source Rate Abnormity | SIP源速率异常 | |
SYN Flood SYN Flood | SYN Flood | |
SYN-ACK Flood SYN-ACK Flood | SYN-ACK Flood | |
TCP带宽溢出 TCP Bandwidth Overflow | TCP带宽溢出 | |
TCP多连接攻击 TCP Connection Flood | TCP多连接攻击 | |
TCP分片带宽溢出 TCP Fragment Bandwidth Overflow | TCP分片带宽溢出 | |
TCP分片攻击 TCP Fragment Flood | TCP分片攻击 | |
TCP畸形报文 TCP Malformed | TCP畸形报文 | |
TCP认证UDP攻击 TCP-authenticated UDP Attack | TCP认证UDP攻击 | |
TCP协议封禁 TCP Protocol Block | TCP协议封禁 | |
UDP带宽溢出 UDP Bandwidth Overflow | UDP带宽溢出 | |
UDP分片 UDP Fragment Flood | UDP分片 | |
UDP分片带宽溢出 UDP Fragment Bandwidth Overflow | UDP分片带宽溢出 | |
UDP畸形报文 UDP Malformed | UDP畸形报文 | |
UDP协议封禁 UDP Protocol Block | UDP协议封禁 | |
URI监控 URI Monitor | URI监控 | |
暗网IP Dark IP | 暗网IP | |
单IP带宽溢出 Single IP Bandwidth Overflow | 单IP带宽溢出 | |
当前连接耗尽攻击 Concurrent Connections Flood | 当前连接耗尽攻击 | |
端口扫描攻击 Port Scanning Attack | 端口扫描攻击 | |
恶意域名攻击 Malicious Domains Attack | 恶意域名攻击 | |
反恶意软件 Anti-Malware | 反恶意软件 | |
分布式拒绝服务攻击 DDoS | 分布式拒绝服务攻击 | |
分区带宽溢出 Zone Bandwidth Overflow | 分区带宽溢出 | |
过滤器攻击 Filter Attack | 过滤器攻击 | |
黑名单 Blacklist | 黑名单 | |
僵尸网络/特洛伊木马/蠕虫 Botnets/Trojan horses/Worms Attack | 僵尸网络/特洛伊木马/蠕虫 | |
目的IP新会话限速 Destination IP new session rate limiting | 目的IP新会话限速 | |
其他Flood攻击 Other Flood | 其他Flood攻击 | |
其他带宽溢出 Other Bandwidth Overflow | 其他带宽溢出 | |
其他全局异常 Global Other Abnormal | 其他全局异常 | |
其他协议封禁 Other Protocol Block | 其他协议封禁 | |
全局ICMP异常 Global ICMP Abnormal | 全局ICMP异常 | |
全局TCP分片异常 Global TCP Fragment Abnormal | 全局TCP分片异常 | |
全局TCP异常 Global TCP Abnormal | 全局TCP异常 | |
全局UDP分片异常 Global UDP Fragment Abnormal | 全局UDP分片异常 | |
全局UDP异常 Global UDP Abnormal | 全局UDP异常 | |
网页攻击 Web Attack | 网页攻击 | |
位置攻击 Location Attack | 位置攻击 | |
新连接耗尽攻击 New Connections Flood | 新连接耗尽攻击 | |
域名劫持 Domain Hijacking | 域名劫持 | |
源DNS返回流异常 Source DNS Reply Flow Abnormal | 源DNS返回流异常 | |
源DNS请求流异常 Source DNS Request Flow Abnormal | 源DNS请求流异常 | |
主机流量溢出 Host Traffic Over Flow | 主机流量溢出 | |
HTTP Flood HTTP Flood | HTTP Flood | |
ICMP Flood ICMP Flood | ICMP Flood | |
SSL Flood SSL Flood | SSL Flood | |
TCP Flood TCP Flood | TCP Flood | |
UDP Flood UDP Flood | UDP Flood | |
XML Flood XML Flood | XML Flood | |
放大攻击 Amplification | 放大攻击 | |
Web恶意代码 | 网页暗链 Web Page Dark Link | 网页暗链 |
网页挂马 Web Page Trojan | 网页挂马 | |
Web攻击 | Webshell Webshell | Webshell |
WAF机器人 WAF Robot | WAF机器人 | |
白名单IP White IP | 白名单IP | |
攻击惩罚 Known Attack Source | 攻击惩罚 | |
黑名单IP Black IP | 黑名单IP | |
漏洞攻击 Vulnerability Attack | 漏洞攻击 | |
命中隐私泄露规则 Leakage | 命中隐私泄露规则 | |
默认 Default | 默认 | |
扫描/爬虫 Scanner & Crawler | 扫描/爬虫 | |
CC攻击 Challenge Collapsar | CC攻击 | |
IP信誉库 IP Reputation | IP信誉库 | |
SQL注入 SQL Injection | SQL注入 | |
XSS Cross-Site Scripting | XSS | |
本地文件包含 Local Code Inclusion | 本地文件包含 | |
地理访问控制拦截 Geo IP | 地理访问控制拦截 | |
恶意爬虫 Malicious Web Crawlers | 恶意爬虫 | |
反爬虫 Anticrawler | 反爬虫 | |
防篡改 AntiTamper | 防篡改 | |
非法请求 Illegal Access | 非法请求 | |
黑白名单拦截 White or Black IP | 黑白名单拦截 | |
精准防护 Custom Rule | 精准防护 | |
命令注入 Command Injection | 命令注入 | |
目录遍历 Path Traversal | 目录遍历 | |
网站木马 Website Trojan | 网站木马 | |
网站信息防泄漏 Information Leakage | 网站信息防泄漏 | |
网站信息泄露 Web Service Exfiltration | 网站信息泄露 | |
远程代码执行 Remote Code Execute | 远程代码执行 | |
远程文件包含 Remote Code Inclusion | 远程文件包含 | |
恶意软件 | 加密货币挖矿 Cryptomining | 加密货币挖矿 |
Docker恶意程序 Docker Malware | Docker恶意程序 | |
钓鱼 Phishing | 钓鱼 | |
恶意广告软件 Adware | 恶意广告软件 | |
恶意软件 Malicious Software | 恶意软件 | |
黑客工具 Hacktool | 黑客工具 | |
灰色软件 Grayware | 灰色软件 | |
间谍软件 Spyware | 间谍软件 | |
垃圾邮件 Spam | 垃圾邮件 | |
Rootkit Rootkit | Rootkit | |
Webshell Webshell | Webshell | |
病毒、蠕虫 Virus and Worm | 病毒、蠕虫 | |
恶意文件 Malicious File | 恶意文件 | |
反弹shell Reverse Shell | 反弹shell | |
后门木马 Backdoor Trojan | 后门木马 | |
僵尸网络程序 Botnet Program | 僵尸网络程序 | |
勒索软件 Ransomware | 勒索软件 | |
挖矿程序 Bitcoin Miner | 挖矿程序 | |
挖矿软件 Mining Software | 挖矿软件 | |
风险审计 | Webcms漏洞 Webcms Vulnerability | Webcms漏洞 |
Windows OS 漏洞 Windows Vulnerability | Windows OS 漏洞 | |
本地访问漏洞 Local Access Vulnerability | 本地访问漏洞 | |
错误配置策略 Mis-Configured Policy | 错误配置策略 | |
其它OS漏洞 Other OS Vulnerability | 其它OS漏洞 | |
其它漏洞 Other Vulnerability | 其它漏洞 | |
应用程序漏洞 Application Vulnerability | 应用程序漏洞 | |
远程访问漏洞 Remote Access Vulnerability | 远程访问漏洞 | |
风险审计 | 弱口令 Weak Password | 弱口令 |
系统风险配置 System Risk Configuration | 系统风险配置 | |
攻击探测 | 钓鱼 Phishing | 钓鱼 |
网络拓扑构建 Map Network Topology | 网络拓扑构建 | |
账户、组信息收集 Identify Groups/Roles | 账户、组信息收集 | |
指纹扫描 Fingerprinting | 指纹扫描 | |
主机发现 Determine IP Address | 主机发现 | |
漏洞利用 | ActiveX漏洞利用 ActiveX Exploit | ActiveX漏洞利用 |
CGI攻击 CGI Attack | CGI攻击 | |
DNS漏洞利用 DNS Exploit | DNS漏洞利用 | |
FTP漏洞利用 FTP Exploit | FTP漏洞利用 | |
Hadoop漏洞利用 Hadoop Vulnerability Exploit | Hadoop漏洞利用 | |
Hypervisor漏洞利用 Hypervisor Exploit | Hypervisor漏洞利用 | |
LDAP注入攻击 LDAP Injection Attack | LDAP注入攻击 | |
MacOS漏洞利用 MacOS Exploit | MacOS漏洞利用 | |
MySQL漏洞利用 MySQL Vulnerability Exploit | MySQL漏洞利用 | |
Office软件漏洞利用 Office Exploit | Office软件漏洞利用 | |
Redis漏洞利用 Redis Vulnerability Exploit | Redis漏洞利用 | |
RPC漏洞利用 RPC Exploit | RPC漏洞利用 | |
SQL注入 SQL Injection | SQL注入 | |
SSH漏洞利用 SSH Exploit | SSH漏洞利用 | |
SSI注入攻击 SSI Injection Attack | SSI注入攻击 | |
Struts2 OGNL注入 Struts2 OGNL Injection | Struts2 OGNL注入 | |
Telnet漏洞利用 TELNET Exploit | Telnet漏洞利用 | |
Unix漏洞利用 Unix Exploit | Unix漏洞利用 | |
Web漏洞利用 Web Exploit | Web漏洞利用 | |
XSS攻击 Cross-Site Scripting | XSS攻击 | |
本地文件包含 Local File Inclusion | 本地文件包含 | |
恶意文件投递 Malicious File Delivery | 恶意文件投递 | |
恶意文件执行 Malicious File Execution | 恶意文件执行 | |
缓冲区溢出攻击 Buffer Overflow | 缓冲区溢出攻击 | |
会话劫持 Session Hijack | 会话劫持 | |
口令猜测 Password Cracking | 口令猜测 | |
浏览器漏洞利用 Browser Exploit | 浏览器漏洞利用 | |
弱口令访问 Weak Password Access | 弱口令访问 | |
数据库漏洞利用 Database Exploit | 数据库漏洞利用 | |
未知漏洞利用 Unknown Exploit | 未知漏洞利用 | |
隐藏链接访问 Hide Link Access | 隐藏链接访问 | |
邮件漏洞利用 Mail Exploit | 邮件漏洞利用 | |
远程代码执行 Remote Code Execution | 远程代码执行 | |
远程访问漏洞利用 Remote Access Exploit | 远程访问漏洞利用 | |
远程文件包含攻击 Remote File Inclusion | 远程文件包含攻击 | |
远程文件注入 Remote File Injection | 远程文件注入 | |
组合漏洞利用 Misc Exploit | 组合漏洞利用 | |
CMS漏洞 CMS Exploit | CMS漏洞 | |
CSRF攻击 CSRF Attack | CSRF攻击 | |
JNDI注入攻击 JNDI Injection Attack | JNDI注入攻击 | |
Linux漏洞 Linux Exploit | Linux漏洞 | |
SMB漏洞 SMB Exploit | SMB漏洞 | |
Windows漏洞 Windows Exploit | Windows漏洞 | |
XML注入 XML Injection | XML注入 | |
代码注入 Code Injection | 代码注入 | |
漏洞逃逸攻击 Vulnerability Escape Attack | 漏洞逃逸攻击 | |
命令执行 Command Execution | 命令执行 | |
命令注入 Command Injection | 命令注入 | |
文件逃逸攻击 File Escape Attack | 文件逃逸攻击 | |
虚拟机逃逸攻击 VM Escape Attack | 虚拟机逃逸攻击 | |
一般漏洞利用 General Exploit | 一般漏洞利用 | |
命令与控制 | ECS存在当前IP被用于向高危网络发送消息 Command Control Activity | ECS存在当前IP被用于向高危网络发送消息 |
可疑的域名、IP地址、端口动态生成访问 Dynamic Resolution | 可疑的域名、IP地址、端口动态生成访问 | |
其他可疑连接 Abnormal Connection | 其他可疑连接 | |
其他可疑行为 Abnormal Behavior | 其他可疑行为 | |
外连恶意DNS Malicious Domain Query | 外连恶意DNS | |
外连恶意IP地址 Malicious Ip Address Query | 外连恶意IP地址 | |
隐蔽隧道 Protocol Tunneling | 隐蔽隧道 | |
与矿池地址通信 Mining Pool Communication | 与矿池地址通信 | |
其他 | 公共舆情 Public_Opinion | 公共舆情 |
云防火墙攻击 CFW_RISK | 云防火墙攻击 | |
数据泄露 | 数据窃取 Steal Data | 数据窃取 |
违规外传 Transfer Data Abnormal | 违规外传 | |
网络异常行为 | IP访问频率异常 IP Access Frequency Abnormal | IP访问频率异常 |
IP切换异常 IP Switch Abnormal | IP切换异常 | |
IP首次访问 IP First Access | IP首次访问 | |
Sinkhole攻击IP访问 Sink Hole | Sinkhole攻击IP访问 | |
代理IP访问 Proxy | 代理IP访问 | |
恶意资源访问 Resource Permissions | 恶意资源访问 | |
欺诈付款网站IP/域名访问 Payment | 欺诈付款网站IP/域名访问 | |
洋葱网络IP访问 Tor | 洋葱网络IP访问 | |
C&C异常通信 C&C Abnormal Communication | C&C异常通信 | |
IP黑名单访问 IP Blacklist Access | IP黑名单访问 | |
URL黑名单访问 URL Blacklist Access | URL黑名单访问 | |
恶意URL访问 Malicious URL Access | 恶意URL访问 | |
恶意域名访问 Malicious Domain Name Access | 恶意域名访问 | |
非授权访问企图 Unauthorized Access Attempt | 非授权访问企图 | |
可疑的网络流量 Suspicious Network Traffic | 可疑的网络流量 | |
容器网络外联 Container Network Connect | 容器网络外联 | |
未知网络访问 Unknown Abnormal Network Access | 未知网络访问 | |
文件MD5黑名单访问 File MD5 Blacklist Access | 文件MD5黑名单访问 | |
异常外联行为 Abnormal External Behavior | 异常外联行为 | |
域名黑名单访问 Domain Name Blacklist Access | 域名黑名单访问 | |
周期外联通信 Periodic Outreach | 周期外联通信 | |
可疑的端口转发 Suspicious Port Forward | 可疑的端口转发 | |
无文件攻击 | VDSO劫持 VDSO Hijacking | VDSO劫持 |
动态库注入进程 Dynamic Library Inject Process | 动态库注入进程 | |
关键配置变更 Critical File Change | 关键配置变更 | |
环境变量变更 Environment Change | 环境变量变更 | |
进程注入 Process Inject | 进程注入 | |
内存文件进程 Memfd Process | 内存文件进程 | |
文件操纵 File Manipulation | 文件操纵 | |
系统行为异常 | Crontab可疑任务 Crontab Suspicious Task | Crontab可疑任务 |
Socket连接异常 Abnormal Socket Connection | Socket连接异常 | |
备份删除 Backup Deletion | 备份删除 | |
非法数据库访问 Unauthorized Database Access | 非法数据库访问 | |
权限异常访问 Privilege Abnormal Access | 权限异常访问 | |
日志异常变化 Unexpected Log Change | 日志异常变化 | |
容器进程退出 Container Process Exist | 容器进程退出 | |
未知主机异常行为 Unknown Host Abnormal Activity | 未知主机异常行为 | |
文件黑名单访问 File blocklist access | 文件黑名单访问 | |
文件权限异常改变 Unexpected File Permission Change | 文件权限异常改变 | |
系统安全防护被禁用 System Security Protection disabled | 系统安全防护被禁用 | |
系统账号变更 System Account Change | 系统账号变更 | |
异常注册表操作 Abnormal Registry Operation | 异常注册表操作 | |
Crontab脚本提权 Crontab Script Privilege Escalation | Crontab脚本提权 | |
Crontab脚本修改 Crontab Script Change | Crontab脚本修改 | |
高危命令执行 High-risk Command Execution | 高危命令执行 | |
高危系统调用 High-Risk Syscall | 高危系统调用 | |
关键文件/目录变更 File/Directory Change | 关键文件/目录变更 | |
关键文件变更 Key File Change | 关键文件变更 | |
进程提权 Process Privilege Escalation | 进程提权 | |
进程异常行为 Process Abnormal Activity | 进程异常行为 | |
敏感文件访问 Sensitive File Access | 敏感文件访问 | |
容器进程异常 Container Abnormal Process | 容器进程异常 | |
容器异常启动 Container Abnormal Start | 容器异常启动 | |
数据库连接异常 Abnormal Database Connection | 数据库连接异常 | |
网卡混杂模式 Network Adapter Promiscuous Mode | 网卡混杂模式 | |
文件提权 File Privilege Escalation | 文件提权 | |
文件异常删除 File Abnormal Delete | 文件异常删除 | |
系统启动脚本改变 System Start Script Change | 系统启动脚本改变 | |
异常shell Abnormal Shell | 异常shell | |
异常命令执行 Abnormal Command Execution | 异常命令执行 | |
信息破坏 | 信息篡改 Information Tampering | 信息篡改 |
信息丢失 Information Loss | 信息丢失 | |
信息假冒 Information Masquerading | 信息假冒 | |
信息窃取 Information Interception | 信息窃取 | |
信息泄漏 Information Disclosure | 信息泄漏 | |
Linux网页篡改 Linux Web Page Tampering | Linux网页篡改 | |
Windows网页篡改 Windows Web Page Tampering | Windows网页篡改 | |
目录遍历 Directory Traversal | 目录遍历 | |
用户行为异常 | Token恶意利用 Token Leakage | Token恶意利用 |
Token恶意利用成功 Token Leakage Success | Token恶意利用成功 | |
异常用户首次访问 User First Cross Domain Access | 异常用户首次访问 | |
用户访问频率异常 User Access Frequency Abnormal | 用户访问频率异常 | |
用户访问时段异常 User Hour Level Access Abnormal | 用户访问时段异常 | |
用户使用特定IP下载行为异常 User IP Download Abnormal | 用户使用特定IP下载行为异常 | |
用户首次访问桶对象 Client First Access | 用户首次访问桶对象 | |
用户下载行为异常 User Download Abnormal | 用户下载行为异常 | |
暴力破解 Brute Force Cracking | 暴力破解 | |
违规登录 Illegal Login | 违规登录 | |
未知用户异常行为 Unknown User Abnormal Activity | 未知用户异常行为 | |
异常登录 Abnormal Login | 异常登录 | |
用户登录尝试 User Login Attempt | 用户登录尝试 | |
用户密码窃取 User Password Theft | 用户密码窃取 | |
用户权限提升成功 User Privilege Escalation Succeeded | 用户权限提升成功 | |
用户权限提升失败 User Privilege Escalation Failed | 用户权限提升失败 | |
用户首次登录 User First login | 用户首次登录 | |
用户账号删除 User Account Removed | 用户账号删除 | |
用户账号添加 User Account Added | 用户账号添加 | |
用户组变更 User Group Changed | 用户组变更 | |
用户组删除 User Group Removed | 用户组删除 | |
用户组添加 User Group Added | 用户组添加 | |
账号伪冒 Account Forgery | 账号伪冒 | |
ECS可疑账号创建 Suspicious Ecs User Create | ECS可疑账号创建 | |
ECS账号权限修改 ECS User Escalate Privilege | ECS账号权限修改 | |
IAM可疑账号创建 Suspicious IAM Account Create | IAM可疑账号创建 | |
IAM账号权限修改 IAM Permissions Escalation | IAM账号权限修改 | |
暴力破解登录ECS ECS BruteForce Login | 暴力破解登录ECS | |
暴力破解登录IAM IAM BruteForce Login | 暴力破解登录IAM | |
非法系统账号 Invalid System Account | 非法系统账号 | |
风险账号 Risky Account | 风险账号 | |
可疑IP登录ECS Suspicious IP Address Login | 可疑IP登录ECS | |
可疑IP登录IAM Suspicious IP Address Login | 可疑IP登录IAM | |
异常登录IAM IAM Abnormal Login | 异常登录IAM | |
异地登录ECS Instance Credential Exfiltration | 异地登录ECS | |
用户登录成功 User Login Success | 用户登录成功 | |
用户登录拒绝 User Login Denied | 用户登录拒绝 | |
用户账号变更 User Account Changed | 用户账号变更 | |
资源操控 | 恶意逻辑插入 Malicious Logic Insertion | 恶意逻辑插入 |
基础设施操纵 Infrastructure Manipulation | 基础设施操纵 | |
配置/环境操纵 Configuration/Environment Manipulation | 配置/环境操纵 | |
容器逃逸 Container Escape | 容器逃逸 | |
容器资源操纵 Container Resource Manipulation | 容器资源操纵 | |
软件完整性 Software Integrity Attack | 软件完整性 | |
资源侦查 | 端口探测数量异常 Port Detection | 端口探测数量异常 |
ARP 扫描 ARP Scan | ARP 扫描 | |
DNS探测 DNS Recon | DNS探测 | |
Hypervisor探测 Hypervisor Recon | Hypervisor探测 | |
ICMP探测 ICMP Recon | ICMP探测 | |
Linux探测 Linux Recon | Linux探测 | |
MacOS探测 MacOS Recon | MacOS探测 | |
NMAP扫描 NMAP Scan | NMAP扫描 | |
RPC请求探测 RPC Recon | RPC请求探测 | |
SNMP扫描 SNMP Recon | SNMP扫描 | |
TCP扫描 TCP Recon | TCP扫描 | |
UDP扫描 UDP Recon | UDP扫描 | |
Unix探测 Unix Recon | Unix探测 | |
WEB探测 Web Recon | WEB探测 | |
Windows探测 Windows Recon | Windows探测 | |
加密渗透扫描 Encrypted Penetration Scan | 加密渗透扫描 | |
普通扫描事件 General Scanner | 普通扫描事件 | |
数据库探测 Database Recon | 数据库探测 | |
邮件探测 Mail Recon | 邮件探测 | |
主机扫描 Host Scan | 主机扫描 | |
组合探测 Misc Recon | 组合探测 | |
端口扫描 Port Scan | 端口扫描 |
内置事件类型
类型名称 | 子类型/子类型标识 | 描述 |
|---|---|---|
DDoS攻击 | DNS协议攻击 Tcp Dns | DNS协议攻击 |
异常端口通信 Unusual Network Port | 异常端口通信 | |
异常协议攻击 Unusual Protocol | 异常协议攻击 | |
ACK Flood ACK Flood | ACK Flood | |
BGP Flood攻击 BGP Flood Attack | BGP Flood攻击 | |
DNS IP TTL DNS IP TTL Check Fail | DNS IP TTL | |
DNS Reply Flood 攻击 DNS Reply Flood | DNS Reply Flood 攻击 | |
DNS查询攻击 DNS Query Flood | DNS查询攻击 | |
DNS大小异常 DNS Size Abnormal | DNS大小异常 | |
DNS反射 DNS Reflection | DNS反射 | |
DNS返回域名流异常 DNS Reply Domain Flow Abnormal | DNS返回域名流异常 | |
DNS格式错误 DNS Format Error | DNS格式错误 | |
DNS缓存匹配 DNS Cache Match | DNS缓存匹配 | |
DNS缓存投毒 DNS Cache Poisoning | DNS缓存投毒 | |
DNS请求域名流异常 DNS Request Domain Flow Abnormal | DNS请求域名流异常 | |
DNS无效域名 DNS No Such Name | DNS无效域名 | |
FIN/RST Flood FIN/RST Flood | FIN/RST Flood | |
HTTPS Flood HTTPS Flood | HTTPS Flood | |
HTTP慢速攻击 HTTP Slow Attack | HTTP慢速攻击 | |
ICMP协议封禁 ICMP Protocol Block | ICMP协议封禁 | |
IP信誉 IP Reputation | IP信誉 | |
SIP Flood SIP Flood | SIP Flood | |
SIP源速率异常 SIP Source Rate Abnormity | SIP源速率异常 | |
SYN Flood SYN Flood | SYN Flood | |
SYN-ACK Flood SYN-ACK Flood | SYN-ACK Flood | |
TCP带宽溢出 TCP Bandwidth Overflow | TCP带宽溢出 | |
TCP多连接攻击 TCP Connection Flood | TCP多连接攻击 | |
TCP分片带宽溢出 TCP Fragment Bandwidth Overflow | TCP分片带宽溢出 | |
TCP分片攻击 TCP Fragment Flood | TCP分片攻击 | |
TCP畸形报文 TCP Malformed | TCP畸形报文 | |
TCP认证UDP攻击 TCP-authenticated UDP Attack | TCP认证UDP攻击 | |
TCP协议封禁 TCP Protocol Block | TCP协议封禁 | |
UDP带宽溢出 UDP Bandwidth Overflow | UDP带宽溢出 | |
UDP分片 UDP Fragment Flood | UDP分片 | |
UDP分片带宽溢出 UDP Fragment Bandwidth Overflow | UDP分片带宽溢出 | |
UDP畸形报文 UDP Malformed | UDP畸形报文 | |
UDP协议封禁 UDP Protocol Block | UDP协议封禁 | |
URI监控 URI Monitor | URI监控 | |
暗网IP Dark IP | 暗网IP | |
单IP带宽溢出 Single IP Bandwidth Overflow | 单IP带宽溢出 | |
当前连接耗尽攻击 Concurrent Connections Flood | 当前连接耗尽攻击 | |
端口扫描攻击 Port Scanning Attack | 端口扫描攻击 | |
恶意域名攻击 Malicious Domains Attack | 恶意域名攻击 | |
反恶意软件 Anti-Malware | 反恶意软件 | |
分布式拒绝服务攻击 DDoS | 分布式拒绝服务攻击 | |
分区带宽溢出 Zone Bandwidth Overflow | 分区带宽溢出 | |
过滤器攻击 Filter Attack | 过滤器攻击 | |
黑名单 Blacklist | 黑名单 | |
僵尸网络/特洛伊木马/蠕虫 Botnets/Trojan horses/Worms Attack | 僵尸网络/特洛伊木马/蠕虫 | |
目的IP新会话限速 Destination IP new session rate limiting | 目的IP新会话限速 | |
其他Flood攻击 Other Flood | 其他Flood攻击 | |
其他带宽溢出 Other Bandwidth Overflow | 其他带宽溢出 | |
其他全局异常 Global Other Abnormal | 其他全局异常 | |
其他协议封禁 Other Protocol Block | 其他协议封禁 | |
全局ICMP异常 Global ICMP Abnormal | 全局ICMP异常 | |
全局TCP分片异常 Global TCP Fragment Abnormal | 全局TCP分片异常 | |
全局TCP异常 Global TCP Abnormal | 全局TCP异常 | |
全局UDP分片异常 Global UDP Fragment Abnormal | 全局UDP分片异常 | |
全局UDP异常 Global UDP Abnormal | 全局UDP异常 | |
网页攻击 Web Attack | 网页攻击 | |
位置攻击 Location Attack | 位置攻击 | |
新连接耗尽攻击 New Connections Flood | 新连接耗尽攻击 | |
域名劫持 Domain Hijacking | 域名劫持 | |
源DNS返回流异常 Source DNS Reply Flow Abnormal | 源DNS返回流异常 | |
源DNS请求流异常 Source DNS Request Flow Abnormal | 源DNS请求流异常 | |
主机流量溢出 Host Traffic Over Flow | 主机流量溢出 | |
HTTP Flood HTTP Flood | HTTP Flood | |
ICMP Flood ICMP Flood | ICMP Flood | |
SSL Flood SSL Flood | SSL Flood | |
TCP Flood TCP Flood | TCP Flood | |
UDP Flood UDP Flood | UDP Flood | |
XML Flood XML Flood | XML Flood | |
放大攻击 Amplification | 放大攻击 | |
Web恶意代码 | 网页暗链 Web Page Dark Link | 网页暗链 |
网页挂马 Web Page Trojan | 网页挂马 | |
Web攻击 | Webshell Webshell | Webshell |
WAF机器人 WAF Robot | WAF机器人 | |
白名单IP White IP | 白名单IP | |
攻击惩罚 Known Attack Source | 攻击惩罚 | |
黑名单IP Black IP | 黑名单IP | |
漏洞攻击 Vulnerability Attack | 漏洞攻击 | |
命中隐私泄露规则 Leakage | 命中隐私泄露规则 | |
默认 Default | 默认 | |
扫描/爬虫 Scanner & Crawler | 扫描/爬虫 | |
CC攻击 Challenge Collapsar | CC攻击 | |
IP信誉库 IP Reputation | IP信誉库 | |
SQL注入 SQL Injection | SQL注入 | |
XSS Cross-Site Scripting | XSS | |
本地文件包含 Local Code Inclusion | 本地文件包含 | |
地理访问控制拦截 Geo IP | 地理访问控制拦截 | |
恶意爬虫 Malicious Web Crawlers | 恶意爬虫 | |
反爬虫 Anticrawler | 反爬虫 | |
防篡改 AntiTamper | 防篡改 | |
非法请求 Illegal Access | 非法请求 | |
黑白名单拦截 White or Black IP | 黑白名单拦截 | |
精准防护 Custom Rule | 精准防护 | |
命令注入 Command Injection | 命令注入 | |
目录遍历 Path Traversal | 目录遍历 | |
网站木马 Website Trojan | 网站木马 | |
网站信息防泄漏 Information Leakage | 网站信息防泄漏 | |
网站信息泄露 Web Service Exfiltration | 网站信息泄露 | |
远程代码执行 Remote Code Execute | 远程代码执行 | |
远程文件包含 Remote Code Inclusion | 远程文件包含 | |
恶意软件 | 加密货币挖矿 Cryptomining | 加密货币挖矿 |
Docker恶意程序 Docker Malware | Docker恶意程序 | |
钓鱼 Phishing | 钓鱼 | |
恶意广告软件 Adware | 恶意广告软件 | |
恶意软件 Malicious Software | 恶意软件 | |
黑客工具 Hacktool | 黑客工具 | |
灰色软件 Grayware | 灰色软件 | |
间谍软件 Spyware | 间谍软件 | |
垃圾邮件 Spam | 垃圾邮件 | |
Rootkit Rootkit | Rootkit | |
Webshell Webshell | Webshell | |
病毒、蠕虫 Virus and Worm | 病毒、蠕虫 | |
恶意文件 Malicious File | 恶意文件 | |
反弹shell Reverse Shell | 反弹shell | |
后门木马 Backdoor Trojan | 后门木马 | |
僵尸网络程序 Botnet Program | 僵尸网络程序 | |
勒索软件 Ransomware | 勒索软件 | |
挖矿程序 Bitcoin Miner | 挖矿程序 | |
挖矿软件 Mining Software | 挖矿软件 | |
风险审计 | Webcms漏洞 Webcms Vulnerability | Webcms漏洞 |
Windows OS 漏洞 Windows Vulnerability | Windows OS 漏洞 | |
本地访问漏洞 Local Access Vulnerability | 本地访问漏洞 | |
错误配置策略 Mis-Configured Policy | 错误配置策略 | |
其它OS漏洞 Other OS Vulnerability | 其它OS漏洞 | |
其它漏洞 Other Vulnerability | 其它漏洞 | |
应用程序漏洞 Application Vulnerability | 应用程序漏洞 | |
远程访问漏洞 Remote Access Vulnerability | 远程访问漏洞 | |
风险审计 | 弱口令 Weak Password | 弱口令 |
系统风险配置 System Risk Configuration | 系统风险配置 | |
攻击探测 | 钓鱼 Phishing | 钓鱼 |
网络拓扑构建 Map Network Topology | 网络拓扑构建 | |
账户、组信息收集 Identify Groups/Roles | 账户、组信息收集 | |
指纹扫描 Fingerprinting | 指纹扫描 | |
主机发现 Determine IP Address | 主机发现 | |
漏洞利用 | ActiveX漏洞利用 ActiveX Exploit | ActiveX漏洞利用 |
CGI攻击 CGI Attack | CGI攻击 | |
DNS漏洞利用 DNS Exploit | DNS漏洞利用 | |
FTP漏洞利用 FTP Exploit | FTP漏洞利用 | |
Hadoop漏洞利用 Hadoop Vulnerability Exploit | Hadoop漏洞利用 | |
Hypervisor漏洞利用 Hypervisor Exploit | Hypervisor漏洞利用 | |
LDAP注入攻击 LDAP Injection Attack | LDAP注入攻击 | |
MacOS漏洞利用 MacOS Exploit | MacOS漏洞利用 | |
MySQL漏洞利用 MySQL Vulnerability Exploit | MySQL漏洞利用 | |
Office软件漏洞利用 Office Exploit | Office软件漏洞利用 | |
Redis漏洞利用 Redis Vulnerability Exploit | Redis漏洞利用 | |
RPC漏洞利用 RPC Exploit | RPC漏洞利用 | |
SQL注入 SQL Injection | SQL注入 | |
SSH漏洞利用 SSH Exploit | SSH漏洞利用 | |
SSI注入攻击 SSI Injection Attack | SSI注入攻击 | |
Struts2 OGNL注入 Struts2 OGNL Injection | Struts2 OGNL注入 | |
Telnet漏洞利用 TELNET Exploit | Telnet漏洞利用 | |
Unix漏洞利用 Unix Exploit | Unix漏洞利用 | |
Web漏洞利用 Web Exploit | Web漏洞利用 | |
XSS攻击 Cross-Site Scripting | XSS攻击 | |
本地文件包含 Local File Inclusion | 本地文件包含 | |
恶意文件投递 Malicious File Delivery | 恶意文件投递 | |
恶意文件执行 Malicious File Execution | 恶意文件执行 | |
缓冲区溢出攻击 Buffer Overflow | 缓冲区溢出攻击 | |
会话劫持 Session Hijack | 会话劫持 | |
口令猜测 Password Cracking | 口令猜测 | |
浏览器漏洞利用 Browser Exploit | 浏览器漏洞利用 | |
弱口令访问 Weak Password Access | 弱口令访问 | |
数据库漏洞利用 Database Exploit | 数据库漏洞利用 | |
未知漏洞利用 Unknown Exploit | 未知漏洞利用 | |
隐藏链接访问 Hide Link Access | 隐藏链接访问 | |
邮件漏洞利用 Mail Exploit | 邮件漏洞利用 | |
远程代码执行 Remote Code Execution | 远程代码执行 | |
远程访问漏洞利用 Remote Access Exploit | 远程访问漏洞利用 | |
远程文件包含攻击 Remote File Inclusion | 远程文件包含攻击 | |
远程文件注入 Remote File Injection | 远程文件注入 | |
组合漏洞利用 Misc Exploit | 组合漏洞利用 | |
CMS漏洞 CMS Exploit | CMS漏洞 | |
CSRF攻击 CSRF Attack | CSRF攻击 | |
JNDI注入攻击 JNDI Injection Attack | JNDI注入攻击 | |
Linux漏洞 Linux Exploit | Linux漏洞 | |
SMB漏洞 SMB Exploit | SMB漏洞 | |
Windows漏洞 Windows Exploit | Windows漏洞 | |
XML注入 XML Injection | XML注入 | |
代码注入 Code Injection | 代码注入 | |
漏洞逃逸攻击 Vulnerability Escape Attack | 漏洞逃逸攻击 | |
命令执行 Command Execution | 命令执行 | |
命令注入 Command Injection | 命令注入 | |
文件逃逸攻击 File Escape Attack | 文件逃逸攻击 | |
虚拟机逃逸攻击 VM Escape Attack | 虚拟机逃逸攻击 | |
一般漏洞利用 General Exploit | 一般漏洞利用 | |
命令与控制 | ECS存在当前IP被用于向高危网络发送消息 Command Control Activity | ECS存在当前IP被用于向高危网络发送消息 |
可疑的域名、IP地址、端口动态生成访问 Dynamic Resolution | 可疑的域名、IP地址、端口动态生成访问 | |
其他可疑连接 Abnormal Connection | 其他可疑连接 | |
其他可疑行为 Abnormal Behavior | 其他可疑行为 | |
外连恶意DNS Malicious Domain Query | 外连恶意DNS | |
外连恶意IP地址 Malicious Ip Address Query | 外连恶意IP地址 | |
隐蔽隧道 Protocol Tunneling | 隐蔽隧道 | |
与矿池地址通信 Mining Pool Communication | 与矿池地址通信 | |
其他 | 公共舆情 Public_Opinion | 公共舆情 |
云防火墙攻击 CFW_RISK | 云防火墙攻击 | |
数据泄露 | 数据窃取 Steal Data | 数据窃取 |
违规外传 Transfer Data Abnormal | 违规外传 | |
网络异常行为 | IP访问频率异常 IP Access Frequency Abnormal | IP访问频率异常 |
IP切换异常 IP Switch Abnormal | IP切换异常 | |
IP首次访问 IP First Access | IP首次访问 | |
Sinkhole攻击IP访问 Sink Hole | Sinkhole攻击IP访问 | |
代理IP访问 Proxy | 代理IP访问 | |
恶意资源访问 Resource Permissions | 恶意资源访问 | |
欺诈付款网站IP/域名访问 Payment | 欺诈付款网站IP/域名访问 | |
洋葱网络IP访问 Tor | 洋葱网络IP访问 | |
C&C异常通信 C&C Abnormal Communication | C&C异常通信 | |
IP黑名单访问 IP Blacklist Access | IP黑名单访问 | |
URL黑名单访问 URL Blacklist Access | URL黑名单访问 | |
恶意URL访问 Malicious URL Access | 恶意URL访问 | |
恶意域名访问 Malicious Domain Name Access | 恶意域名访问 | |
非授权访问企图 Unauthorized Access Attemp | 非授权访问企图 | |
可疑的网络流量 Suspicious Network Traffic | 可疑的网络流量 | |
容器网络外联 Container Network Connect | 容器网络外联 | |
未知网络访问 Unknown Abnormal Network Access | 未知网络访问 | |
文件MD5黑名单访问 File MD5 Blacklist Access | 文件MD5黑名单访问 | |
异常外联行为 Abnormal External Behavior | 异常外联行为 | |
域名黑名单访问 Domain Name Blacklist Access | 域名黑名单访问 | |
周期外联通信 Periodic Outreach | 周期外联通信 | |
可疑的端口转发 Suspicious Port Forward | 可疑的端口转发 | |
无文件攻击 | VDSO劫持 VDSO Hijacking | VDSO劫持 |
动态库注入进程 Dynamic Library Inject Process | 动态库注入进程 | |
关键配置变更 Critical File Change | 关键配置变更 | |
环境变量变更 Environment Change | 环境变量变更 | |
进程注入 Process Inject | 进程注入 | |
内存文件进程 Memfd Process | 内存文件进程 | |
文件操纵 File Manipulation | 文件操纵 | |
系统行为异常 | Crontab可疑任务 Crontab Suspicious Task | Crontab可疑任务 |
Socket连接异常 Abnormal Socket Connection | Socket连接异常 | |
备份删除 Backup Deletion | 备份删除 | |
非法数据库访问 Unauthorized Database Access | 非法数据库访问 | |
权限异常访问 Privilege Abnormal Access | 权限异常访问 | |
日志异常变化 Unexpected Log Change | 日志异常变化 | |
容器进程退出 Container Process Exist | 容器进程退出 | |
未知主机异常行为 Unknown Host Abnormal Activity | 未知主机异常行为 | |
文件黑名单访问 File blocklist access | 文件黑名单访问 | |
文件权限异常改变 Unexpected File Permission Change | 文件权限异常改变 | |
系统安全防护被禁用 System Security Protection disabled | 系统安全防护被禁用 | |
系统账号变更 System Account Change | 系统账号变更 | |
异常注册表操作 Abnormal Registry Operation | 异常注册表操作 | |
Crontab脚本提权 Crontab Script Privilege Escalation | Crontab脚本提权 | |
Crontab脚本修改 Crontab Script Change | Crontab脚本修改 | |
高危命令执行 High-risk Command Execution | 高危命令执行 | |
高危系统调用 High-Risk Syscall | 高危系统调用 | |
关键文件/目录变更 File/Directory Change | 关键文件/目录变更 | |
关键文件变更 Key File Change | 关键文件变更 | |
进程提权 Process Privilege Escalation | 进程提权 | |
进程异常行为 Process Abnormal Activity | 进程异常行为 | |
敏感文件访问 Sensitive File Access | 敏感文件访问 | |
容器进程异常 Container Abnormal Process | 容器进程异常 | |
容器异常启动 Container Abnormal Start | 容器异常启动 | |
数据库连接异常 Abnormal Database Connection | 数据库连接异常 | |
网卡混杂模式 Network Adapter Promiscuous Mode | 网卡混杂模式 | |
文件提权 File Privilege Escalation | 文件提权 | |
文件异常删除 File Abnormal Delete | 文件异常删除 | |
系统启动脚本改变 System Start Script Change | 系统启动脚本改变 | |
异常shell Abnormal Shell | 异常shell | |
异常命令执行 Abnormal Command Execution | 异常命令执行 | |
信息破坏 | 信息篡改 Information Tampering | 信息篡改 |
信息丢失 Information Loss | 信息丢失 | |
信息假冒 Information Masquerading | 信息假冒 | |
信息窃取 Information Interception | 信息窃取 | |
信息泄漏 Information Disclosure | 信息泄漏 | |
Linux网页篡改 Linux Web Page Tampering | Linux网页篡改 | |
Windows网页篡改 Windows Web Page Tampering | Windows网页篡改 | |
目录遍历 Directory Traversal | 目录遍历 | |
用户行为异常 | Token恶意利用 Token Leakage | Token恶意利用 |
Token恶意利用成功 Token Leakage Success | Token恶意利用成功 | |
异常用户首次访问 User First Cross Domain Access | 异常用户首次访问 | |
用户访问频率异常 User Access Frequency Abnormal | 用户访问频率异常 | |
用户访问时段异常 User Hour Level Access Abnormal | 用户访问时段异常 | |
用户使用特定IP下载行为异常 User IP Download Abnormal | 用户使用特定IP下载行为异常 | |
用户首次访问桶对象 Client First Access | 用户首次访问桶对象 | |
用户下载行为异常 User Download Abnormal | 用户下载行为异常 | |
暴力破解 Brute Force Cracking | 暴力破解 | |
违规登录 Illegal Login | 违规登录 | |
未知用户异常行为 Unknown User Abnormal Activity | 未知用户异常行为 | |
异常登录 Abnormal Login | 异常登录 | |
用户登录尝试 User Login Attempt | 用户登录尝试 | |
用户密码窃取 User Password Theft | 用户密码窃取 | |
用户权限提升成功 User Privilege Escalation Succeeded | 用户权限提升成功 | |
用户权限提升失败 User Privilege Escalation Failed | 用户权限提升失败 | |
用户首次登录 User First login | 用户首次登录 | |
用户账号删除 User Account Removed | 用户账号删除 | |
用户账号添加 User Account Added | 用户账号添加 | |
用户组变更 User Group Changed | 用户组变更 | |
用户组删除 User Group Removed | 用户组删除 | |
用户组添加 User Group Added | 用户组添加 | |
账号伪冒 Account Forgery | 账号伪冒 | |
ECS可疑账号创建 Suspicious Ecs User Create | ECS可疑账号创建 | |
ECS账号权限修改 ECS User Escalate Privilege | ECS账号权限修改 | |
IAM可疑账号创建 Suspicious IAM Account Create | IAM可疑账号创建 | |
IAM账号权限修改 IAM Permissions Escalation | IAM账号权限修改 | |
暴力破解登录ECS ECS BruteForce Login | 暴力破解登录ECS | |
暴力破解登录IAM IAM BruteForce Login | 暴力破解登录IAM | |
非法系统账号 Invalid System Account | 非法系统账号 | |
风险账号 Risky Account | 风险账号 | |
可疑IP登录ECS Suspicious IP Address Login | 可疑IP登录ECS | |
可疑IP登录IAM Suspicious IP Address Login | 可疑IP登录IAM | |
异常登录IAM IAM Abnormal Login | 异常登录IAM | |
异地登录ECS Instance Credential Exfiltration | 异地登录ECS | |
用户登录成功 User Login Success | 用户登录成功 | |
用户登录拒绝 User Login Denied | 用户登录拒绝 | |
用户账号变更 User Account Changed | 用户账号变更 | |
资源操控 | 恶意逻辑插入 Malicious Logic Insertion | 恶意逻辑插入 |
基础设施操纵 Infrastructure Manipulation | 基础设施操纵 | |
配置/环境操纵 Configuration/Environment Manipulation | 配置/环境操纵 | |
容器逃逸 Container Escape | 容器逃逸 | |
容器资源操纵 Container Resource Manipulation | 容器资源操纵 | |
软件完整性 Software Integrity Attack | 软件完整性 | |
资源侦查 | 端口探测数量异常 Port Detection | 端口探测数量异常 |
ARP 扫描 ARP Scan | ARP 扫描 | |
DNS探测 DNS Recon | DNS探测 | |
Hypervisor探测 Hypervisor Recon | Hypervisor探测 | |
ICMP探测 ICMP Recon | ICMP探测 | |
Linux探测 Linux Recon | Linux探测 | |
MacOS探测 MacOS Recon | MacOS探测 | |
NMAP扫描 NMAP Scan | NMAP扫描 | |
RPC请求探测 RPC Recon | RPC请求探测 | |
SNMP扫描 SNMP Recon | SNMP扫描 | |
TCP扫描 TCP Recon | TCP扫描 | |
UDP扫描 UDP Recon | UDP扫描 | |
Unix探测 Unix Recon | Unix探测 | |
WEB探测 Web Recon | WEB探测 | |
Windows探测 Windows Recon | Windows探测 | |
加密渗透扫描 Encrypted Penetration Scan | 加密渗透扫描 | |
普通扫描事件 General Scanner | 普通扫描事件 | |
数据库探测 Database Recon | 数据库探测 | |
邮件探测 Mail Recon | 邮件探测 | |
主机扫描 Host Scan | 主机扫描 | |
组合探测 Misc Recon | 组合探测 | |
端口扫描 Port Scan | 端口扫描 |
内置威胁情报类型
类型名称/类型标识 | 描述 |
|---|---|
IPv4 IPv4 | IPv4 |
IPv6 IPv6 | IPv6 |
邮件 | 邮件 |
域名 domain | 域名 |
URL URL | URL |
其他 Unclassified | 其他 |
威胁情报类型相关操作
- 查看威胁情报类型,详细操作指导请参见查看威胁情报。
内置漏洞类型
类型名称/类型标识 | 描述 |
|---|---|
网站漏洞 Website Vulnerabilities | 网站漏洞 |
Linux软件漏洞 Linux Vulnerabilities | Linux软件漏洞 |
Web-CMS漏洞 Web-CMS Vulnerabilities | Web-CMS漏洞 |
Windows系统漏洞 Windows Vulnerabilities | Windows系统漏洞 |
应用漏洞 Application Vulnerabilities | 应用漏洞 |
漏洞类型相关操作
- 漏洞类型支持查看、新增、编辑、启用、禁用、删除操作,详细操作指导请参见管理漏洞类型。
