链接复制成功!
告警项说明
HSS针对不同类型的告警,提供不同的告警周期策略,具体请参见告警项推送周期。
不同告警项的含义请参见告警项解释。
告警项推送周期
| 分类 | 告警项 | 推送周期 |
|---|---|---|
| 客户端相关 | 未安装Agent | 每日告警 |
| 防护中断 | 实时告警 | |
| 资产管理 | 危险端口 | 每日告警 |
| 漏洞管理 | 需紧急修复漏洞 | 每日告警 |
| 基线检查 | 经典弱口令、配置检查 | 每日告警 |
| 入侵检测 | 未分类恶意软件、病毒、蠕虫、木马、僵尸网络、后门、Rootkits、勒索软件、黑客工具、Webshell、挖矿软件、远程代码执行、Redis漏洞利用、Hadoop漏洞利用、MySQL漏洞利用、漏洞逃逸攻击、文件逃逸攻击、反弹Shell、异常Shell、文件提权、进程提权、进程异常行为、高危命令执行、高危系统调用、容器进程异常、容器异常启动、容器镜像阻断、敏感文件访问、Crontab可疑任务、系统安全防护被禁用、备份删除、异常注册表操作、系统日志删除、可疑命令执行、可疑进程运行、可疑进程文件访问、异常登录、非法系统账号、用户账号添加、用户密码窃取、端口扫描、主机扫描、可疑的下载请求、可疑的HTTP请求、异常外联行为、端口转发检测、未知网络访问 | 每日告警+实时告警 |
| 暴力破解 | 每日告警 | |
| 登录成功 | 实时告警 | |
| 主动防御 | 病毒查杀、勒索防护关闭、应用防护、应用防护失败、Windows网页防篡改、Linux网页防篡改、动态网页防篡改 | 实时告警 |
| 自动处置 | 自动拦截、自动阻断、自动隔离查杀 | 实时告警 |
告警项解释
| 通知项 | 通知内容 | 通知内容说明 |
|---|---|---|
| 客户端相关 | 未安装Agent | 检测当前账号未安装企业主机安全Agent的服务器数量,通知用户及时对这些服务器安装Agent进行防护。 |
| 防护中断 | 检测Agent防护中断的服务器数量,通知用户及时排除故障。 | |
| 资产管理 | 危险端口 | 检测开放了的危险端口或者不必要的端口,通知用户及时排查这些端口是否用于正常业务。 |
| 漏洞管理 | 需紧急修复漏洞 | 检测系统中的紧急漏洞,通知用户尽快修复,防止攻击者利用该漏洞会对主机造成较大的破坏。 |
| 基线检查 | 经典弱口令 | 检测MySQL、FTP及系统账号的弱口令。 |
| 配置检查 | 检测系统中的关键应用,如果采用不安全配置,有可能被黑客利用作为入侵主机系统的手段。 | |
| 入侵检测 | 未分类恶意软件 | 对运行中的程序进行检测,识别出其中的恶意程序进行告警上报。 |
| 病毒 | 对运行中的程序进行检测,对识别出的病毒进行告警上报。 | |
| 蠕虫 | 对运行中的程序进行检测,对识别出的蠕虫进行告警上报。 | |
| 木马 | 对运行中的程序进行检测,对识别出的木马进行告警上报。 | |
| 僵尸网络 | 对被恶意软件感染并受攻击者远程控制的设备进行检测,并告警上报。 | |
| 后门 | 对运行中的程序进行检测,对识别出的后门进行告警上报。 | |
| Rootkits | 检测服务器资产,对可疑的内核模块和可疑的文件或文件夹进行告警上报。 | |
| 勒索软件 | 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 | |
| 黑客工具 | 检测服务器资产,对可疑的黑客工具进行告警上报。 | |
| Webshell | 检测云服务器上Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。
| |
| 挖矿软件 | 对运行中的程序进行检测,对识别出的挖矿软件进行告警上报。 | |
| 远程代码执行 | 攻击者利用应用程序对用户输入处理不当的漏洞,注入并执行恶意代码。 | |
| Redis漏洞利用 | 实时检测Redis进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。 | |
| Hadoop漏洞利用 | 实时检测Hadoop进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。 | |
| MySQL漏洞利用 | 实时检测MySQL进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。 | |
| 漏洞逃逸攻击 | 监控到容器内进程行为符合已知漏洞的行为特征时(例如:“脏牛”、“bruteforce”、“runc”、“shocker”等),触发逃逸漏洞攻击告警。 | |
| 文件逃逸攻击 | 监控发现容器进程访问了宿主机系统的关键文件目录(例如:“/etc/shadow”、“/etc/crontab”),则认为容器内发生了逃逸文件访问,触发告警。即使该目录符合容器配置的目录映射规则,仍然会触发告警。 | |
| 反弹Shell | 实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 | |
| 异常Shell | 检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 | |
| 文件提权 | 检测当前系统对文件的提权。 | |
| 进程提权 | 检测以下进程提权操作:
| |
| 进程异常行为 | 检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为:
| |
| 高危命令执行 | 实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。 | |
| 高危系统调用 | Linux系统调用是用户进程进入内核执行任务的请求通道。监控容器进程,如果发现进程使用了危险系统调用(例如:“open_by_handle_at”、“ptrace”、“setns”、“reboot”等),触发高危系统调用告警。 | |
| 容器进程异常 | 容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程,可以在控制台配置安全策略设置进程白名单并将策略关联容器镜像。 对于已关联的容器镜像启动的容器,只允许白名单进程启动,如果容器内存在非白名单进程,触发容器异常程序告警。 | |
| 容器异常启动 | 对容器启动时使用不合规的参数进行检测告警。 容器启动时可以带有很多参数,对容器进行权限设置。如果没有正确设置,可能会导致权限过大,给攻击者留下可以利用的方式。 | |
| 容器镜像阻断 | 在Docker环境中容器启动前,对镜像异常行为策略中指定的不安全容器镜像进行告警并阻断。 | |
| 敏感文件访问 | 检测重要文件的提权或持久化等访问行为,对访问行为进行告警。 | |
| Crontab可疑任务 | 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况,及时发现异常自启动项,快速定位木马程序的问题。 | |
| 系统安全防护被禁用 | 检测到禁用或停止云主机安全防护服务的攻击,可能是为了避免被监控或掩盖攻击行为。因此,它可能是一种潜在的恶意攻击,旨在破坏系统安全性和完整性。针对这种类型的活动,建议实施适当的入侵检测和防御措施,以便及时应对潜在的威胁。 | |
| 备份删除 | 通常是指在计算机系统中,用户或者系统自动删除了一些备份文件。备份文件是系统或者应用程序为了防止数据丢失而创建的数据副本。 | |
| 异常注册表操作 | 异常注册表操作通常是指对计算机的Windows注册表进行未授权或恶意的更改。注册表是Windows操作系统中用于存储系统和应用程序配置信息的关键组件,因此对其进行错误或恶意更改可能会导致严重问题,如系统不稳定、软件无法正常运行、数据丢失等。 | |
| 系统日志删除 | 攻击者正尝试清理系统日志。 | |
| 可疑命令执行 | 检测未经过认证或授权的命令运行,一旦发现进行告警。 | |
| 可疑进程运行 | 检测未经过认证或授权的应用进程运行,一旦发现进行告警。 | |
| 可疑进程文件访问 | 检测未经过认证或授权的进程访问指定的目录,一旦发现进行告警。 | |
| 异常登录 | 检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施(例如:忽略、修改密码等)。 如果在非常用登录地登录,则触发安全事件告警。 | |
| 非法系统账号 | 检测主机系统中的账号,列出当前系统中的可疑账号信息,帮助用户及时发现非法账号。 | |
| 用户账号添加 | 用户账号添加是系统管理员为用户提供访问系统资源的合法方式。然而,如果未经授权或者管理不当地添加用户账号,则可能存在滥用和安全风险。 | |
| 用户密码窃取 | 主要检测敏感文件的异常访问行为。例如非授权进程读取/etc/shadow、/etc/passwd等。此类访问通常意味着攻击者试图获取本地账户凭证,为后续提权或横向移动做准备。 | |
| 端口扫描 | 检测用户指定的端口存在被扫描或者嗅探的行为,一旦发现进行告警上报。 | |
| 主机扫描 | 检测网络对主机规则覆盖ICMP ARP nbtscan的扫描活动,一旦发现立即上报告警。 | |
| 可疑的下载请求 | 可疑的下载请求通常是指由非浏览器/非正常应用发起的、目标为已知恶意域名/IP、文件类型异常(如可执行文件、脚本、加密压缩包)或下载后立即执行的操作。此类行为常与恶意软件植入、木马下载器、供应链投毒或漏洞利用后载荷获取相关,可能导致系统被感染或进一步控制。 | |
| 可疑的HTTP请求 | 可疑的HTTP请求是指针对已知恶意网站的访问。 | |
| 异常外联行为 | 检测服务器存在异常外联可疑IP的行为,一旦发现进行告警上报。 | |
| 端口转发检测 | 检测到利用可疑工具进行端口转发行为,一旦发现进行告警上报。 | |
| 未知网络访问 | 检测服务器与未被标记为可信的IP、端口或域名建立的异常通信连接。 | |
| 暴力破解 | 检测“尝试暴力破解”和“暴力破解成功”等暴力破解。
| |
| 登录成功 | 对登录成功的账户进行通知。 | |
| 主动防御 | 病毒查杀 | 针对检测到的病毒文件进行告警。 |
| 勒索防护关闭 | 对勒索病毒防护异常关闭或手动关闭的情况发送告警通知。 | |
| 应用防护 | 为运行时的应用提供安全防御。您无需修改应用程序文件,只需将探针注入到应用程序,即可为应用提供强大的安全防护能力。 当前只支持操作系统为Linux的服务器,且仅支持Java应用接入。 | |
| 应用防护失败 | 当检测到目标主机中存在防护失败的应用时,会产生告警通知用户。 | |
| Windows网页防篡改 | 防止网站Windows服务器中的静态网页文件被篡改。 | |
| Linux网页防篡改 | 防止网站Linux服务器中的静态网页文件被篡改。 | |
| 动态网页防篡改 | 防止网站Windows和Linux服务器中的动态网页文件被篡改。 | |
| 自动处置 | 自动拦截 | 检测SSH、VSFTP、MySQL等账户遭受的口令破解攻击。 如果在设定的时间内,登录尝试次数达到预设的阈值,HSS将告警并自动拦截攻击源IP,防止主机因账户破解而被入侵。 |
| 自动阻断 | 对自动阻断高风险进程成功的事件进行通知。 | |
| 自动隔离查杀 | 对隔离查杀恶意文件或进程成功的事件进行通知。 |