背景信息

态势感知威胁告警功能汇集了多个安全服务的告警能力，按照告警类型和等级统一维度呈现，可以准确实时监控云上威胁攻击、检测您资产中的安全告警事件。

同时，通过威胁分析，从攻击源和受攻击资产两个维度，帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。

态势感知威胁告警支持以下功能项：

• 告警列表：通过“实时监控”云上威胁告警事件，并接入HSS、WAF等服务上报的告警事件，提供告警通知和监控，记录近180天告警事件详情。
• 威胁分析：从“攻击源”或“被攻击资产”查询威胁攻击，统计威胁攻击次数或资产被攻击次数。

告警类型

目前SA支持检测8类威胁告警事件，共包括200+种子告警类型。

DDoS事件

“实时检测”互联网主机的DDoS攻击。

共支持检测100+种子类型的DDoS威胁。

• 网络层攻击：NTP Flood攻击、CC攻击等。
• 传输层攻击：SYN Flood攻击、ACK Flood攻击等。
• 会话层攻击：SSL连接攻击等。
• 应用层攻击：HTTP Get Flood攻击、HTTP Post Flood攻击等。

暴力破解事件

“实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。

共支持检测22种子类型的暴力破解威胁。

1.支持检测的暴力破解威胁

包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。

2.接入的HSS服务上报的告警事件

包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。

Web攻击事件

“实时检测”Web恶意扫描器、IP、网马等威胁。

共支持检测38种子类型的Web攻击威胁。

1.支持检测的Web攻击威胁

包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。

2.接入的HSS服务上报的告警事件

包括Webshell攻击、Linux网页篡改、Windows网页篡改。

3.接入的WAF服务上报的告警事件

包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。

后门木马事件

“实时检测”资产系统是否存在后门木马风险，以及被后门木马程序入侵后的恶意请求行为。

共支持检测5种子类型的后门木马威胁。

1.检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。

2.检测资产被植入木马特性

检测内容包括资产系统存在win32/ramnit

checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。

僵尸主机事件

“实时检测”资产被入侵后对外发起攻击的威胁。共支持检测7种子类型的僵尸主机威胁。

1.对外发起SSH暴力破解

2.对外发起RDP暴力破解

3.对外发起Web暴力破解

4.对外发起MySQL暴力破解

5.对外发起SQLServer暴力破解

6.对外发起DDoS攻击

7.被入侵后安装挖矿程序

异常行为事件

“实时检测”资产系统异常变更和操作行为。共支持检测21种子类型的异常行为威胁。

共支持检测21种子类型的异常行为威胁。

1.支持检测的异常行为威胁

包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。

2.接入的HSS服务上报的告警事件

包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常自启动、文件提权、进程提权、Rootkit程序。

3.接入的WAF服务上报的告警事件

包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。

漏洞攻击事件

“实时检测”资产被尝试使用漏洞进行攻击。共支持检测2种子类型的漏洞攻击威胁。

命令控制事件

“实时检测”资产可能被命令与控制服务器（C&C，Command and Control Server）远程控制，访问与恶意软件或建立与恶意软件之间的链接。

共支持检测3种子类型的命令控制威胁。

1.监控主机存在访问DGA域名行为

2.监控主机存在访问恶意C&C域名行为

3.监控主机存在恶意C&C通道行为