安全告警事件是指云安全中心检测到的服务器或者云产品中存在的威胁,这些威胁可以是某个恶意IP对您资产进行的攻击,也可以是您资产中已被入侵的异常情况,例如您的主机在执行恶意脚本或访问恶意下载源等。云安全中心提供安全告警检测,帮助您及时发现和处理资产中的安全威胁。
不同版本支持的告警事件类型如下。
说明
如果您希望告警事件检测覆盖更多范围,提升资产威胁检测能力,建议升级至云安全中心高级版。
检测类型 | 告警类型 | 告警名称 | 严重等级 | 说明 |
---|---|---|---|---|
敏感行为 | 暴力破解 | 暴破成功 | 严重 | 短时间内,存在从来源 IP 多次登录失败后,通过密码成功登录的行为,疑似暴力破解后成功登录 |
单一来源暴破 | 中危 | 存在单一外部来源 IP 发起的暴破,短时间内登录失败多次 | ||
多来源暴破 | 中危 | 存在短时间内被多个不同外部来源 IP 暴破同一个用户名 | ||
变形木马 | 指定运行时链接 | 高危 | 存在指定 LD preload 但执行敏感命令的行为 | |
删除行为记录 | 中危 | 存在尝试删除行为历史记录的行为 | ||
伪装内核进程 | 高危 | 存在伪装成内核进程的行为 | ||
严重 | 存在伪装成内核进程对外发起链接的行为 | |||
伪装常见二进制 | 高危 | 存在伪装成常见二进制的行为 | ||
执行隐藏文件 | 中危 | 存在执行隐藏文件或者执行隐藏文件夹下二进制的情况,可能存在入侵行为 | ||
关闭安全防护 | 高危 | 存在关闭安全防护软件的行为 | ||
黑客工具 | 严重 | 存在使用黑客工具 Pupy 的的行为 | ||
无文件执行 | 严重 | 存在利用 memfd 的无文件执行,疑似内存马 | ||
严重 | 存在利用共享内存的无文件执行,疑似内存马 | |||
外部修改运行时链接配置 | 高危 | 存在来自外网修改运行时链接的操作 | ||
执行已删除文件 | 高危 | 存在执行已删除文件,同时发起对外链接的行为 | ||
代码执行 | 反弹 shell | 严重 | 存在基本的反弹 shell | |
严重 | 存在Exec反弹 shell | |||
严重 | 存在单一 socket 反弹 shell | |||
严重 | 可能存在创建脚本语言反弹 shell 的行为 | |||
严重 | 存在利用兄弟进程反弹 shell 的行为 | |||
严重 | 存在疑似 PIPE 派生反弹 shell 的行为 | |||
shell 绑定端口 | 严重 | 存在绑定 shell 可执行文件到特定端口的情况,可能存在入侵行为 | ||
疑似 MSF shell | 高危 | 存在疑似 MSF 派生的 shell 进程,可能存在入侵行为 | ||
恶意破坏 | 删除系统目录 | 高危 | 存在删除系统根目录或者一级目录的行为 | |
清空引导盘 | 高危 | 存在清空引导盘的行为 | ||
清理挖矿竞品 | 高危 | 尝试大量破坏控矿进程/文件,可能是存在挖矿病毒同业竞争 | ||
访问矿池域名 | 严重 | 存在访问矿池域名的行为 | ||
执行挖矿工具 | 高危 | 存在执行挖矿工具的行为 | ||
锁定敏感文件 | 中危 | 存在锁定敏感文件编辑权限的行为,可能存在挖矿或者破坏行为 | ||
横向移动 | 暴破工具 | 高危 | 存在疑似使用暴力破解工具的行为 | |
后门驻留 | 加载内核模块 | 高危 | 存在添加内核模块的行为,疑似 rootkit | |
非法 Hook Proc 目录 | 严重 | 存在 hook proc 的行为,疑似 rootkit | ||
非法 Hook Syscall调用 | 严重 | 存在 hook syscall 的行为,疑似 rootkit | ||
隐藏内核模块 | 严重 | 存在隐藏内核模块的行为,疑似 rootkit | ||
非法 Hook 中断信号表 | 严重 | 存在中断表 Hook 行为,疑似 rootkit | ||
试探入侵 | 疑似 Nginx RCE | 高危 | 存在由 nginx 派生的敏感指令,可能存在 RCE | |
疑似 Redis RCE | 高危 | 存在由 redis 派生的敏感指令,可能存在 RCE | ||
疑似 RocketMQ RCE | 高危 | 存在由 rocketmq 派生的敏感指令,可能存在 RCE | ||
疑似 Jenkins RCE | 高危 | 存在由 jenkins 派生的敏感指令,可能存在 RCE | ||
疑似 RocksDB RCE | 高危 | 存在由 rocksdb 派生的敏感指令,可能存在 RCE | ||
疑似 Consul RCE | 高危 | 存在由 consul 派生的敏感指令,可能存在 RCE | ||
疑似 PHP 服务 RCE | 高危 | 存在由 php 派生的敏感指令,可能存在 RCE | ||
外网下载文件 | 中危 | 存在从外部下载可疑文件的行为 | ||
疑似 Chrome RCE | 严重 | 存在由 chrome 派生的敏感指令,可能存在 RCE | ||
疑似 Ghostscript RCE | 高危 | 存在由 ghostscript 派生的敏感指令,可能存在 RCE | ||
发起 DNS Log 解析 | 高危 | 存在 Java 服务对外发起 DNS LOG 的解析行为,疑似漏洞测 | ||
中危 | 存在对外发起 DNS LOG 的解析行为,疑似漏洞测试 | |||
疑似 Java RCE | 高危 | 存在由 Java 服务派生的敏感指令,并存在外网链接可能存在 RCE | ||
疑似 CouchDB RCE | 高危 | 存在由 CouchDB 服务派生的敏感指令,可能存在 RCE | ||
黑客工具执行 | 高危 | 存在类似冰蝎 Behinder 黑客工具执行的行为 | ||
疑似 Mysql RCE | 高危 | 存在对 mysql udf 进行漏洞利用的行为 | ||
高危 | 存在对 mysgl 文件读写功能进行漏洞利用的行为 | |||
疑似 Postgresql RCE | 高危 | 存在由 postgresql 服务派生的敏感指令,疑似漏洞利用行为 | ||
高危 | 存在对 postgresql 文件读写功能进行漏洞利用的行为 | |||
提权攻击 | 注入并控制进程 | 高危 | 存在利用 ptrace 注入其他进程的行为 | |
进程提权 | 高危 | 存在进程尝试修正自身权限(到 root 权限)的行为 | ||
修改 sudo 配置 | 中危 | 存在尝试修改 sudo 相关配置的行为 | ||
容器逃逸 | 高危 | 存在于容器上针对 cgroup notify agent 进行修改的行为 | ||
高危 | 存在于容器上针对 libnss so 文件进行修改的行为 | |||
高危 | 存在于容器上 mount dev 的行为,可能为 docker 提权或者非法获取文件 | |||
高危 | 存在于容器上查找 net unix socket 的行为,可能为逃逸前准备 | |||
高危 | 存在于容器上查找自身 mount 点位的行为,可能为逃逸前准备 | |||
sudo 漏洞利用 | 高危 | 存在对 sudo 的漏洞利用行为,可能为提权攻击 | ||
疑似容器逃逸工具 | 高危 | 存在疑似使用 cdk 工具进行容器逃逸的行大 | ||
信息收集 | 外网信息收集 | 中危 | 存在从外网发起的信息收集行为,疑似入侵测试 | |
信息外渗 | 盗取敏感数据 | 高危 | 存在利用网络连接工具进行外发的行为 | |
隐蔽隧道 | 建立隧道 | 高危 | 存在执行端口转发工具或建立通讯隧道的行为 | |
高危 | 存在执行 Storway 多级代理工具的行为 | |||
静态扫描 | 静态扫描 | 挖矿类恶意文件 | 高危 | 存在静态扫描发现的异常文件,疑似挖矿 |
病毒类恶意文件 | 高危 | 存在静态扫描发现的异常文件,疑似后门 | ||
加壳类恶意文件 | 中危 | 存在静态扫描发现的异常文件,存在加壳文件 | ||
漏洞类恶意文件 | 低危 | 存在静态扫描发现的异常文件,存在漏洞 | ||
DDoS 类恶意文件 | 高危 | 存在静态扫描发现的异常文件,存在 DDoS 功能 | ||
提权类恶意文件 | 高危 | 存在静态扫描发现的异常文件,存在爆破/提权等功能 | ||
黑客工具类恶意文件 | 高危 | 存在静态扫描发现的异常文件,疑似黑客工具 | ||
勒索类恶意文件 | 高危 | 存在静态扫描发现的异常文件,疑似勒索病毒 | ||
木马类恶意文件 | 高危 | 存在静态扫描发现的异常文件,疑似木马 | ||
间谍软件类恶意文件 | 中危 | 存在静态扫描发现的异常文件,疑似间谍工具 | ||
Webshell 类恶意文件 | 中危 | 存在静态扫描发现的异常文件,疑似 webshell | ||
行为分析 | 杀伤链 | 下载并 nohup 驻留 | 高危 | 创建网络文件并 nohup 执行驻留 |
下载并扫描 | 高危 | 创建网络文件赋权后有扫描常规端口行为 | ||
下载并驻留 | 高危 | 创建网络文件赋权后并驻留 | ||
下载并监听 | 高危 | 创建网络文件赋权后有绑定端口行为 | ||
tmp 下文件发起连接 | 高危 | 可疑临时文件产生网络连接 | ||
生成敏感文件后修改时间 | 高危 | 创建敏感文件并尝试修改文件时间属性 | ||
外网下载文件并赋权限 | 高危 | 从外部下载可疑文件并赋权 | ||
外网下载脚本并管道执行 | 高危 | 从外部下载可疑文件并在 bash 管道执行 | ||
可疑删除 .so 预加载文件后创建 | 高危 | 删除 .so 预加载文件后创建 | ||
配置 sshd 后重启 | 高危 | sshd 配置文件发生变更后启动sshd | ||
JavaRCE 后外连 | 高危 | Java 远程命令执行后有临时目录连接 c2 行为 | ||
JavaRCE 后驻留 | 高危 | Java 远程命令执行后驻留 | ||
翻看历史操作并清理痕迹 | 高危 | 翻看历史操作记录后清理操作痕迹 | ||
多次搜集信息 | 高危 | 发生多次信息搜集 | ||
查看并修改定时任务 | 高危 | 可能发生可疑的 cronjob 驻留行为 | ||
威胁扫描 | 账密盗用 | Crontab 敏感行为 | 中级 | Crontab 执行定期新建用户,可能为漏洞利用行为 |
中级 | Crontab 执行定期密码修改,可能为漏洞利用行为 | |||
试探入侵 | Crontab 敏感行为 | 中级 | Crontab 执行 sshd 配置修改,可能为漏洞利用行为 | |
中级 | Crontab 执行定期重启 sshd 任务,可能为漏洞利用行为 | |||
异常登录 | 异常登录 | ECS 在非常用地登录 | 中级 | 本次登录的账号非定义的合法登录地范畴 |
ECS 非常用 IP 登录 | 中级 | 本次登录的账号非定义的合法 IP 范畴 | ||
ECS 非常用时间登录 | 中级 | 本次登录的账号非定义的合法时间范畴 | ||
ECS 非常用账号登录 | 中级 | 本次登录的账号非定义的合法账号范畴 |