态势感知 SA态势感知 SA

计算
弹性云服务器 ECS
裸金属服务器 BMS
云手机 CPH
专属主机 DeH
弹性伸缩 AS
镜像服务 IMS
函数工作流 FunctionGraph
云耀云服务器 HECS
VR云渲游平台 CVR
特惠算力专区
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
弹性文件服务 SFS
存储容灾服务 SDRS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属企业存储服务
云存储网关 CSG
专属分布式存储服务 DSS
CDN与智能边缘
内容分发网络 CDN
智能边缘云 IEC
智能边缘小站 IES
智能边缘平台 IEF
人工智能
AI开发平台ModelArts
华为HiLens
图引擎服务 GES
图像识别 Image
文字识别 OCR
自然语言处理 NLP
内容审核 Moderation
图像搜索 ImageSearch
医疗智能体 EIHealth
园区智能体 CampusGo
企业级AI应用开发专业套件 ModelArts Pro
人脸识别服务 FRS
对话机器人服务 CBS
视频分析服务 VAS
语音交互服务 SIS
知识图谱 KG
人证核身服务 IVS
IoT物联网
设备接入 IoTDA
设备管理 IoTDM(联通用户专用)
全球SIM联接 GSL
IoT数据分析 IoTA
路网数字化服务 DRIS
IoT边缘 IoTEdge
设备发放 IoTDP
IoT行业生态工作台
开发与运维
软件开发平台 DevCloud
项目管理 ProjectMan
代码托管 CodeHub
流水线 CloudPipeline
代码检查 CodeCheck
编译构建 CloudBuild
部署 CloudDeploy
云测 CloudTest
发布 CloudRelease
移动应用测试 MobileAPPTest
CloudIDE
Classroom
开源镜像站 Mirrors
应用魔方 AppCube
云性能测试服务 CPTS
应用管理与运维平台 ServiceStage
云应用引擎 CAE
视频
实时音视频 SparkRTC
视频直播 Live
视频点播 VOD
媒体处理 MPC
视频接入服务 VIS
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
资源管理服务 RMS
应用身份管理服务 OneAccess
区块链
区块链服务 BCS
可信跨链服务 TCS
可信分布式身份服务
智能协作
IdeaHub
开发者工具
SDK开发指南
API签名指南
DevStar
HCloud CLI
Terraform
Ansible
云生态
云市场
合作伙伴中心
华为云培训中心
其他
管理控制台
消息中心
产品价格详情
系统权限
我的凭证
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
应用编排服务 AOS
多云容器平台 MCP
基因容器 GCS
容器洞察引擎 CIE
云原生服务中心 OSC
容器批量计算 BCE
容器交付流水线 ContainerOps
应用服务网格 ASM
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
数据库
云数据库 RDS
数据复制服务 DRS
文档数据库服务 DDS
分布式数据库中间件 DDM
云数据库 GaussDB (for openGauss)
云数据库 GaussDB(for MySQL)
云数据库 GaussDB NoSQL
数据管理服务 DAS
数据库和应用迁移 UGO
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
可信智能计算服务 TICS
推荐系统 RES
云搜索服务 CSS
数据可视化 DLV
数据湖治理中心 DGC
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
API网关 APIG
分布式缓存服务 DCS
分布式消息服务RocketMQ版
企业应用
域名注册服务 Domains
云解析服务 DNS
云速建站 CloudSite
网站备案
商标注册
华为云WeLink
会议
隐私保护通话 PrivateNumber
语音通话 VoiceCall
消息&短信 MSGSMS
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
云桌面 Workspace
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMAExchange
API全生命周期管理 ROMA API
安全与合规
安全技术与应用
DDoS防护 ADS
Web应用防火墙 WAF
云防火墙 CFW
应用信任中心 ATC
企业主机安全 HSS
容器安全服务 CGS
云堡垒机 CBH
数据库安全服务 DBSS
数据加密服务 DEW
数据安全中心 DSC
云证书管理服务 CCM
SSL证书管理 SCM
漏洞扫描服务 VSS
态势感知 SA
威胁检测服务 MTD
管理检测与响应 MDR
安全治理云图 Compass
认证测试中心 CTC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
专属云
专属计算集群 DCC
解决方案
高性能计算 HPC
SAP
混合云灾备
华为工业云平台 IMC
价格
成本优化最佳实践
专属云商业逻辑
用户服务
帐号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
支持计划
专业服务
合作伙伴支持计划
更新时间:2022-01-20 GMT+08:00
分享

威胁告警简介

背景信息

态势感知基于行业威胁情报和华为云自研威胁情报数据,构建了一个覆盖面广、准确度高的威胁情报库。威胁情报库每小时更新,时效性强。

态势感知威胁告警功能,通过利用大数据量、高准确度的威胁情报库,实时监控云上威胁攻击,预测潜在威胁,预置安全防御机制,实现对威胁事件的告警和防御。

态势感知威胁告警支持以下功能项:

  • 告警列表

    通过“实时监控”云上威胁告警事件,并接入AntiDDos、HSS、WAF等服务上报的告警事件,提供告警通知和监控,记录近180天告警事件详情。

  • 威胁分析

    “攻击源”“被攻击资产”查询威胁攻击,统计威胁攻击次数或资产被攻击次数。

  • 安全编排

    着重针对暴力破解、Web攻击、后门木马和僵尸主机四大类威胁事件,通过实施预置的安全编排策略,提前防御并处置威胁风险。

  • 告警通知

    自定义威胁告警通知,设置每日定时告警通知和实时告警通知,通过接收消息通知及时了解威胁风险。

  • 告警监控

    自定义监控的威胁名单、告警类型、告警级别等,选择性呈现关注的威胁告警。

告警类型

目前SA支持检测8类威胁告警事件,共包括200+种子告警类型。

SA基础版支持检测部分威胁攻击事件。为全面快速地了解并处理资产遭受的威胁,确保云上资产安全,建议您购买标准版或专业版。

表1 告警类型说明

告警大类

子类告警种类

基础版

标准版

专业版

DDoS

100+

全部支持

全部支持

全部支持

暴力破解

22

不支持

支持8种

全部支持

说明:

其中有8种子类型,需要购买HSS服务检测,同步告警数据。

Web攻击

38

不支持

支持19种

全部支持

说明:

其中有17种子类型,需要购买WAF和HSS服务检测(14种需购买WAF,3种需购买HSS),同步告警数据。

后门木马

5

不支持

支持1种

全部支持

僵尸主机

7

不支持

支持5种

全部支持

异常行为

21

不支持

支持7种

全部支持

说明:

其中有11种子类型,需要购买HSS服务检测(4种需购买基础版HSS,7种需购买旗舰版HSS),同步告警数据。

漏洞攻击

2

不支持

不支持

全部支持

命令与控制

3

不支持

不支持

全部支持

DDoS事件

“实时检测”华为云、非华为云及IDC的互联网主机的DDoS攻击。

共支持检测100+种子类型的DDoS威胁。

  • 网络层攻击

    NTP Flood攻击、CC攻击等。

  • 传输层攻击

    SYN Flood攻击、ACK Flood攻击等。

  • 会话层攻击

    SSL连接攻击等。

  • 应用层攻击

    HTTP Get Flood攻击、HTTP Post Flood攻击等。

暴力破解事件

“实时检测”入侵资产的行为和主机资产内部的风险,检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击,以及检测资产账户是否被破解异常登录。

共支持检测22种子类型的暴力破解威胁。

  • 支持检测的暴力破解威胁

    包括SSH暴力破解(2种)、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解(3种)、HTTP暴力破解(4种)、Telnet暴力破解。

  • 接入的HSS服务上报的告警事件

    包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。

  • 基础版不支持检测暴力破解事件。
  • 标准版支持检测账户暴力破解事件的8种子类型威胁,包括SSH暴力破解(3种)、RDP暴力破解(2种)、MSSQL暴力破解、MySQL暴力破解(2种)。
  • 专业版支持检测全部子类型威胁。

Web攻击事件

“实时检测”Web恶意扫描器、IP、网马等威胁。

共支持检测38种子类型的Web攻击威胁。

  • 支持检测的Web攻击威胁

    包括Webshell攻击(3种)、跨站脚本攻击、代码注入攻击(7种)、SQL注入攻击(9种)、命令注入攻击。

  • 接入的HSS服务上报的告警事件

    包括Webshell攻击、Linux网页篡改、Windows网页篡改。

  • 接入的WAF服务上报的告警事件

    包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。

  • 基础版不支持检测Web攻击事件。
  • 标准版支持检测19种子类型威胁,包括Webshell攻击(4种)、跨站脚本攻击(2种)、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。
  • 专业版支持检测全部子类型威胁。

后门木马事件

“实时检测”资产系统是否存在后门木马风险,以及被后门木马程序入侵后的恶意请求行为。

共支持检测5种子类型的后门木马威胁。

  • 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。
  • 检测资产被植入木马特性

    检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序,被入侵后访问HFS下载服务器等。

  • 基础版不支持检测后门木马事件。
  • 标准版支持检测“资产上木马文件”1种子类型威胁。
  • 专业版支持检测全部子类型威胁。

僵尸主机事件

“实时检测”资产被入侵后对外发起攻击的威胁。共支持检测7种子类型的僵尸主机威胁。

  • 对外发起SSH暴力破解
  • 对外发起RDP暴力破解
  • 对外发起Web暴力破解
  • 对外发起MySQL暴力破解
  • 对外发起SQLServer暴力破解
  • 对外发起DDoS攻击
  • 被入侵后安装挖矿程序
  • 基础版不支持检测僵尸主机事件。
  • 标准版支持检测5种子类型威胁,包括MySQL暴力破解、对外发起RDP暴力破解、对外发起Web暴力破解、对外发起MySQL暴力破解、对外发起SQLServer暴力破解。
  • 专业版支持检测全部子类型威胁。

异常行为事件

“实时检测”资产系统异常变更和操作行为。共支持检测21种子类型的异常行为威胁。

共支持检测21种子类型的异常行为威胁。
  • 支持检测的异常行为威胁

    包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。

  • 接入的HSS服务上报的告警事件

    包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常自启动、文件提权、进程提权、Rootkit程序。

  • 接入的WAF服务上报的告警事件

    包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。

  • 接入的MTD服务上报的告警事件

    包括暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为。

  • 基础版不支持检测异常行为事件。
  • 标准版支持检测7种子类型威胁,包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。
  • 专业版支持检测全部子类型威胁。

漏洞攻击事件

“实时检测”资产被尝试使用漏洞进行攻击。共支持检测2种子类型的漏洞攻击威胁。

  • SMBv1漏洞攻击
  • WebCMS漏洞攻击

命令控制事件

“实时检测”资产可能被命令与控制服务器(C&C,Command and Control Server)远程控制,访问与恶意软件或建立与恶意软件之间的链接。

共支持检测3种子类型的命令控制威胁。

  • 监控主机存在访问DGA域名行为
  • 监控主机存在访问恶意C&C域名行为
  • 监控主机存在恶意C&C通道行为
分享:

    相关文档

    相关产品

关闭导读