背景信息

態勢感知威脅告警功能匯集了多個安全服務的告警能力，按照告警類型和等級統一維度呈現，可以準確實時監控云上威脅攻擊、檢測您資產中的安全告警事件。

同時，通過威脅分析，從攻擊源和受攻擊資產兩個維度，幫助您及時發現資產中的安全威脅、實時掌握您資產的安全態勢。

態勢感知威脅告警支持以下功能項：

• 告警列表：通過“實時監控”云上威脅告警事件，并接入HSS、WAF等服務上報的告警事件，提供告警通知和監控，記錄近180天告警事件詳情。

• 威脅分析：從“攻擊源”或“被攻擊資產”查詢威脅攻擊，統計威脅攻擊次數或資產被攻擊次數。

告警類型

目前SA支持檢測8類威脅告警事件，共包括200+種子告警類型。

DDoS事件

“實時檢測”互聯網主機的DDoS攻擊。

共支持檢測100+種子類型的DDoS威脅。

• 網絡層攻擊：NTP Flood攻擊、CC攻擊等。

• 傳輸層攻擊：SYN Flood攻擊、ACK Flood攻擊等。

• 會話層攻擊：SSL連接攻擊等。

• 應用層攻擊：HTTP Get Flood攻擊、HTTP Post Flood攻擊等。

暴力破解事件

“實時檢測”入侵資產的行為和主機資產內部的風險，檢測SSH、RDP、FTP、SQL Server、MySQL等賬戶是否遭受的口令破解攻擊，以及檢測資產賬戶是否被破解異常登錄。

共支持檢測22種子類型的暴力破解威脅。

• 支持檢測的暴力破解威脅

  包括SSH暴力破解（2種）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3種）、HTTP暴力破解（4種）、Telnet暴力破解。

• 接入的HSS服務上報的告警事件

  包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系統被成功爆破事件。

Web攻擊事件

“實時檢測”Web惡意掃描器、IP、網馬等威脅。

共支持檢測38種子類型的Web攻擊威脅。

• 支持檢測的Web攻擊威脅

  包括Webshell攻擊（3種）、跨站腳本攻擊、代碼注入攻擊（7種）、SQL注入攻擊（9種）、命令注入攻擊。

• 接入的HSS服務上報的告警事件

  包括Webshell攻擊、Linux網頁篡改、Windows網頁篡改。

• 接入的WAF服務上報的告警事件

  包括跨站腳本攻擊、命令注入攻擊、SQL注入攻擊、目錄遍歷攻擊、本地文件包含、遠程文件包含、遠程代碼執行、網站后門、網站信息泄露、漏洞攻擊、IP信譽庫、惡意爬蟲、網頁防篡改、網頁防爬蟲。

后門木馬事件

“實時檢測”資產系統是否存在后門木馬風險，以及被后門木馬程序入侵后的惡意請求行為。

共支持檢測5種子類型的后門木馬威脅。

• 檢測主機資產上Web目錄中的PHP、JSP等后門木馬文件類型。

• 檢測資產被植入木馬特性

  檢測內容包括資產系統存在win32/ramnit checkin木馬、被入侵后執行wannacry勒索病毒相關的DNS解析請求、被入侵后嘗試下載木馬程序，被入侵后訪問HFS下載服務器等。

僵尸主機事件

“實時檢測”資產被入侵后對外發起攻擊的威脅。共支持檢測7種子類型的僵尸主機威脅。

• 對外發起SSH暴力破解

• 對外發起RDP暴力破解

• 對外發起Web暴力破解

• 對外發起MySQL暴力破解

• 對外發起SQLServer暴力破解

• 對外發起DDoS攻擊

• 被入侵后安裝挖礦程序

異常行為事件

“實時檢測”資產系統異常變更和操作行為。共支持檢測21種子類型的異常行為威脅。

共支持檢測21種子類型的異常行為威脅。

• 支持檢測的異常行為威脅

  包括文件系統被掃描、CMS V1.0漏洞、敏感文件被訪問。

• 接入的HSS服務上報的告警事件

  包括系統成功登錄審計事件、文件目錄變更監測事件、混雜模式網卡、異常權限用戶、反彈Shell、異常Shell、高危命令執行、異常自啟動、文件提權、進程提權、Rootkit程序。

• 接入的WAF服務上報的告警事件

  包括自定義規則、白名單、黑名單、地理訪問控制、掃描器爬蟲、IP黑白名單、非法訪問。

漏洞攻擊事件

“實時檢測”資產被嘗試使用漏洞進行攻擊。共支持檢測2種子類型的漏洞攻擊威脅。

命令控制事件

“實時檢測”資產可能被命令與控制服務器（C&C，Command and Control Server）遠程控制，訪問與惡意軟件或建立與惡意軟件之間的鏈接。

共支持檢測3種子類型的命令控制威脅。

• 監控主機存在訪問DGA域名行為

• 監控主機存在訪問惡意C&C域名行為

• 監控主機存在惡意C&C通道行為