文档首页 > > 用户指南> 威胁告警> 威胁告警概述

威胁告警概述

分享
更新时间: 2020/08/04 GMT+08:00

背景信息

态势感知基于行业威胁情报和华为云自研威胁情报数据,构建了一个覆盖面广、准确度高的威胁情报库。威胁情报库每小时更新,时效性强。

态势感知威胁告警功能,通过利用大数据量、高准确度的威胁情报库,实时监控云上威胁攻击,预测潜在威胁,预置安全防御机制,实现对威胁事件的告警和防御。

态势感知威胁告警支持以下功能项:

  • 告警列表

    通过“实时监控”云上威胁攻击事件,提供告警通知和监控,记录近180天告警事件详情。

  • 威胁分析

    “攻击源”“被攻击资产”查询威胁攻击,统计威胁攻击次数或资产被攻击次数。

  • 安全编排

    着重针对暴力破解、Web攻击、后门木马和僵尸主机四大类威胁事件,通过实施预置的安全编排策略,提前防御并处置威胁风险。

  • 告警通知

    自定义威胁告警通知,设置每日定时告警通知和实时告警通知,通过接收消息通知及时了解威胁风险。

  • 告警监控

    自定义监控的威胁名单、告警类型、告警级别等,选择性呈现关注的威胁告警。

告警类型

目前SA支持检测8类威胁告警事件,共包括180+种子告警类型。

SA基础版支持检测部分威胁攻击事件。为全面快速地了解并处理资产遭受的威胁,确保云上资产安全,建议您购买专业版

表1 告警类型说明

告警大类

子类告警种类

基础版

专业版

DDoS

100+

全部支持

全部支持

暴力破解

22

支持8种

全部支持

说明:

其中有8种子类型,需要购买HSS服务检测,同步告警数据。

Web攻击

24

支持5种

全部支持

说明:

其中有19种子类型,需要购买WAF和HSS服务检测(17种需购买WAF,2种需购买HSS),同步告警数据。

后门木马

5

支持1种

全部支持

僵尸主机

7

支持5种

全部支持

异常行为

14

不支持

全部支持

说明:

其中有11种子类型,需要购买HSS服务检测(4种需购买基础版HSS,7种需购买旗舰版HSS),同步告警数据。

漏洞攻击

2

不支持

全部支持

命令与控制

3

不支持

全部支持

DDoS事件

“实时检测”华为云、非华为云及IDC的互联网主机的DDoS攻击。共支持检测100多种子类型DDoS威胁。

  • 网络层攻击

    NTP Flood攻击等

  • 传输层攻击

    SYN Flood攻击、ACK Flood攻击等。

  • 会话层攻击

    SSL连接攻击等。

  • 应用层攻击

    HTTP Get Flood攻击、HTTP Post Flood攻击等。

暴力破解事件

“实时检测”入侵资产的行为和主机资产内部的风险,检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击,以及检测资产账户是否被破解异常登录。

共支持检测22种子类型的暴力破解威胁。

  • 账户被暴力破解事件
    • SSH暴力破解(3种)
    • RDP暴力破解(2种)
    • MSSQL暴力破解
    • MySQL暴力破解(2种)
    • FTP暴力破解(2种)
    • SMB暴力破解(3种)
    • HTTP暴力破解(4种)
    • Telnet暴力破解
    • IRC暴力破解
    • Webmin暴力破解
    • 其他端口被暴力破解
  • 系统被成功爆破事件

基础版支持检测账户暴力破解事件的8种子类型威胁(包括SSH暴力破解3种、RDP暴力破解2种、MSSQL暴力破解、MySQL暴力破解2种),专业版支持检测全部子类型威胁。

Web攻击事件

“实时检测”Web恶意扫描器、IP、网马等威胁。共支持检测24种子类型的Web攻击威胁。

  • Webshell攻击(4种)
  • 跨站脚本攻击
  • 代码注入攻击(7种)
  • SQL注入攻击(9种)
  • 命令注入攻击
  • Linux网页篡改
  • Windows网页篡改

基础版支持检测5种子类型威胁(包括Webshell攻击4种、跨站脚本攻击),专业版支持检测全部子类型威胁。

后门木马事件

“实时检测”资产系统是否存在后门木马风险,以及被后门木马程序入侵后的恶意请求行为。

共支持检测5种子类型的后门木马威胁。

  • 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。
  • 检测资产被植入木马特性

    检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序,被入侵后访问HFS下载服务器等。

基础版支持检测“资产上木马文件”1种子类型威胁,专业版支持检测全部子类型威胁。

僵尸主机事件

“实时检测”资产被入侵后对外发起攻击的威胁。共支持检测7种子类型的僵尸主机威胁。

  • 对外发起SSH暴力破解
  • 对外发起RDP暴力破解
  • 对外发起Web暴力破解
  • 对外发起Mysql暴力破解
  • 对外发起SQLServer暴力破解
  • 对外发起DDoS攻击
  • 被入侵后安装挖矿程序

基础版支持检测前5种子类型威胁,专业版支持检测全部子类型威胁。

异常行为事件

“实时检测”资产系统异常变更和操作行为。共支持检测14种子类型的异常行为威胁。
  • 文件系统被扫描
  • CMS V1.0漏洞
  • 敏感文件被访问
  • 系统成功登录审计事件
  • 文件目录变更监测事件
  • 混杂模式网卡
  • 异常权限用户
  • 反弹Shell
  • 异常Shell
  • 高危命令执行
  • 异常自启动
  • 文件提权
  • 进程提权
  • Rootkit程序

漏洞攻击事件

“实时检测”资产被尝试使用漏洞进行攻击。共支持检测2种子类型的漏洞攻击威胁。

  • SMBv1漏洞攻击
  • WebCMS漏洞攻击

命令控制事件

“实时检测”资产可能被命令与控制服务器(C&C,Command and Control Server)远程控制,访问与恶意软件或建立与恶意软件之间的链接。

共支持检测3种子类型的命令控制威胁。

  • 监控主机存在访问DGA域名行为
  • 监控主机存在访问恶意C&C域名行为
  • 监控主机存在存在恶意C&C通道行为
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问