【产品技术】实时监控威胁告警,安全威胁早知道
通过对威胁攻击事件的“实时监控”,提供告警通知和监控,记录近180天告警事件详情,分析威胁攻击情况,并针对典型威胁攻击预置策略实施防御手段。
支持检测和呈现8大类威胁告警事件,包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。
表1 威胁告警功能说明 |
|||
功能模块 |
功能详情 |
基础版 |
专业版 |
告警列表 |
列表呈现威胁告警事件统计信息,支持查看告警事件和受威胁资产详情,并支持导出全部告警事件。 基础版支持检测部分威胁攻击事件。为全面快速地了解并处理资产遭受的威胁,确保云上资产安全,建议您购买专业版。 |
√ |
√ |
威胁分析 |
支持从“攻击源”或“被攻击资产”查询威胁攻击,统计威胁攻击次数或资产被攻击次数。 |
× |
√ |
安全编排 |
着重呈现暴力破解、Web攻击、后门木马和僵尸主机四大类威胁事件,支持对各个威胁事件实施预置的安全编排策略。 |
× |
√ |
告警监控 |
自定义监控的威胁名单、告警类型、告警级别等,针对性地检测关注的威胁告警。 |
× |
√ |
通知告警 |
自定义威胁告警通知,支持设置每日定时告警通知和实时告警通知,通过接收消息通知及时了解威胁风险。 |
× |
√ |
默认“实时监控”并上报威胁告警事件,支持检测和呈现8大类威胁告警事件,包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。
表1 威胁告警事件说明 |
|||
告警名称 |
威胁告警说明 |
基础版 |
专业版 |
DDoS |
“实时检测”华为云、非华为云及IDC的互联网主机的DDoS攻击,检测项包括100多种子类型DDoS威胁。
NTP Flood攻击等
SYN Flood攻击、ACK Flood攻击等。
SSL连接攻击等。
HTTP Get Flood攻击、HTTP Post Flood攻击等。 |
√ |
√ |
暴力破解 |
“实时检测”入侵资产的行为和主机资产内部的风险,支持检测8种子类型的暴力破解威胁。
检测SSH、RDP、FTP、SQL Server、MySQL等账户遭受的口令破解攻击,包括检测SSH暴力破解、RDP暴力破解、Web暴力破解、MySQL暴力破解、SQLServer暴力破解、Telnet暴力破解、SMB暴力破解等。
通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识别病毒、木马、后门、蠕虫和挖矿软件等恶意程序,也可检测出主机中未知的恶意程序和病毒变种。
检测主机系统中的账号,列出当前系统中的可疑账号信息,及时发现非法账号。
检测账户是否被暴力破解,云主机资产是否被异常登录。 基础版支持检测账户暴力破解事件的8种子类型威胁,专业版支持检测全部子类型威胁。 |
√ (8种) |
√ |
Web攻击 |
“实时检测”Web恶意扫描器、IP、网马等威胁,支持检测33种子类型的Web攻击威胁。
基础版支持检测“WebShell攻击”1种子类型威胁,专业版支持检测全部子类型威胁。 |
√ (1种) |
√ |
后门木马 |
“实时检测”资产系统是否存在后门木马风险,以及被后门木马程序入侵后的恶意请求行为。支持检测5种子类型的后门木马威胁。
检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序,被入侵后访问HFS下载服务器等。 基础版支持检测“资产上木马文件”1种子类型威胁,专业版支持检测全部子类型威胁。 |
√ (1种) |
√ |
僵尸主机 |
“实时检测”资产被入侵后对外发起攻击的威胁,支持检测7种子类型的僵尸主机威胁。
基础版支持检测前5种子类型威胁,专业版支持检测全部子类型威胁。 |
√ (5种) |
√ |
异常行为 |
“实时检测”资产系统异常变更和操作行为,支持检测7种子类型的异常行为威胁。
|
× |
√ |
漏洞攻击 |
“实时检测”资产被尝试使用漏洞进行攻击。支持检测2种子类型的漏洞攻击威胁。
|
× |
√ |
命令控制 |
“实时检测”资产可能被命令与控制服务器(C&C,Command and Control Server)远程控制,访问与恶意软件或建立与恶意软件之间的链接。支持检测3种子类型的命令控制威胁。
|
× |
√ |
- 点赞
- 收藏
- 关注作者
评论(0)