天翼云企业主机安全入侵检测 - 告警事件概述
文档简介:
此小节介绍企业主机安全告警事件概述。
企业主机安全支持账户暴力破解、进程异常行为、网站后门、异常登录、恶意进程等13大类入侵检测能力,用户可通过事件管理全面了解告警事件类型,帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。
咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云!
微信咨询
免费试用、价格特惠
企业主机安全支持账户暴力破解、进程异常行为、网站后门、异常登录、恶意进程等13大类入侵检测能力,用户可通过事件管理全面了解告警事件类型,帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。
说明:
AV检测和HIPS检测的告警分类会按照具体的告警情况在不同的告警类型中呈现。
- AV检测告警结果只在恶意软件下的不同类别呈现。
- HIPS检测的告警结果会根据实际种类在所有类型的子类别中呈现。
约束限制
未开启防护不支持告警事件相关操作。
主机告警事件支持情况说明
| 事件类型 | 告警名称 | 告警说明 | 企业版 | 旗舰版 | 网页防篡改版 | 加入告警白名单 | 隔离查杀 |
|---|---|---|---|---|---|---|---|
| 恶意软件 | 恶意程序 | 恶意程序可能是黑客入侵成功之后植入的木马、后门等,用于窃取数据或攫取不当利益。 例如:黑客入侵之后植入木马,将受害主机作为挖矿、DDoS肉鸡使用,这类程序会大量占用主机的CPU资源或者网络资源,破坏用户业务的稳定性。 通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序,也可检测出主机中未知的恶意程序和病毒变种,并提供一键隔离查杀能力。 | √ | √ | √ | √ | √ |
| 勒索软件 | 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产,并以此作为向您勒索钱财的筹码。 | × | √ | √ | √ | ×(部分支持) | |
| Webshell | 检测云服务器上web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测,HSS会实时检测执行的可疑指令,主机被远程控制执行任意命令等。 | × | √ | √ | √ | × | |
| 反弹Shell | 实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测,HSS会实时检测执行的可疑指令,主机被远程控制执行任意命令等。 | × | √ | √ | √ | × | |
| 漏洞利用 | 一般漏洞利用 | 实时检测利用漏洞入侵主机的行为,对发现的入侵行为进行告警上报。 | √ | √ | √ | √ | × |
| 系统异常行为 | 文件提权 | 当黑客成功入侵主机后,会尝试利用漏洞进行root提权或者文件提权,从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作: l 利用SUID程序漏洞进行root提权。 l 利用内核漏洞进行root提权。 l 对文件的提权。 | √ | √ | √ | √ | × |
| 进程提权 | √ | × | |||||
| 关键文件变更 | 篡改系统关键文件,通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 l 对系统关键文件(例如:ls、ps、login、top等)及目录进行监控,一旦文件被修改就进行告警,提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 l 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 l 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 l 添加关键文件指纹库,收集关键文件信息,便于清点合法文件信息,检测异常文件。 对于关键文件变更,HSS只检测目录或文件是否被修改,不关注是人为或者某个进程修改的。 | √ | √ | √ | √ | × | |
| 文件/目录变更 | √ | × | |||||
| 进程异常行为 | 检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为: l 监控进程CPU使用异常。 l 检测进程对恶意IP的访问。 l 检测进程并发连接数异常等。 | √ | √ | √ | √ | ×(部分支持) | |
| 高危命令执行 | 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。 | √ | √ | √ | √ | × | |
| 异常Shell | 检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测,HSS会实时检测执行的可疑指令,主机被远程控制执行任意命令等。 | √ | √ | √ | √ | × | |
| Crontab可疑任务 | 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况,及时发现异常自启动项,快速定位木马程序的问题。 | × | × | √ | √ | × | |
| 用户异常行为 | 暴力破解 | 黑客通过帐户暴力破解成功登录主机后,便可获得主机的控制权限,进而窃取用户数据、植入挖矿程序,DDoS木马攻击等恶意操作,严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 l 如果30秒内,帐户暴力破解次数(连续输入错误密码)达到5次及以上,HSS就会拦截该源IP,禁止其再次登录,防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时,其他类型攻击默认拦截24小时。 l 根据帐户暴力破解告警详情,如“攻击源IP”、“攻击类型”和“拦截次数”,您能够快速识别出该源IP是否为可信IP,如果为可信IP,您可以通过手动解除拦截的方式,解除拦截的可信IP。 | √ | √ | √ | √ | × |
| 异常登录 | 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录,则说明您的主机可能被黑客入侵成功。 l 检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施(例如:忽略、修改密码等)。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”,攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录,则触发安全事件告警。 l 若帐户暴力破解成功,登录到云主机,则触发安全事件告警。 | √ | √ | √ | √ | × | |
| 非法系统帐号 | 黑客可能通过风险帐号入侵主机,以达到控制主机的目的,需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号;若存在可疑帐号、克隆帐号等,则触发告警。 | √ | √ | √ | √ | × |
关键文件变更监控路径
| 类型 | Linux |
|---|---|
| bin | /bin/ls /bin/ps /bin/bash /bin/netstat /bin/login /bin/find /bin/lsmod /bin/pidof /bin/lsof /bin/ss |
| usr | /usr/bin/ls /usr/bin/ps /usr/sbin/ps /usr/bin/bash /usr/bin/netstat /usr/sbin/netstat /usr/sbin/rsyslogd /usr/sbin/ifconfig /usr/bin/login /usr/bin/find /usr/sbin/lsmod /usr/sbin/pidof /usr/bin/lsof /usr/sbin/lsof /usr/sbin/tcpd /usr/bin/passwd /usr/bin/top /usr/bin/du /usr/bin/chfn /usr/bin/chsh /usr/bin/killall /usr/bin/ss /usr/sbin/ss /usr/bin/ssh /usr/bin/scp /usr/bin/wget /usr/bin/curl |
| sbin | /sbin/syslog-ng /sbin/rsyslogd /sbin/ifconfig /sbin/lsmod /sbin/pidof |
