安全云脑 SECMASTER-日志字段含义:sec-cfw-risk

时间：2024-10-24 10:47:35

安全云脑 SECMASTER 安全分析

云防火墙攻击事件日志字段含义如下所示：

**表12** sec-cfw-risk
字段	类型	字段含义
event_time	Date	检测到的攻击时间。
action	String	云防火墙当前的响应动作。 permit：放行 deny：阻断
app	String	应用类型。
attack_rule	String	检测到攻击的防御规则。
attack_rule_id	String	检测到攻击的防御规则ID号。
attack_type	String	发生攻击的类型： Vulnerability Exploit Attack：漏洞攻击 Vulnerability Scan：漏洞扫描 Trojan：木马病毒 Worm：蠕虫病毒 Phishing：网络钓鱼攻击 Web Attack：Web攻击 Application DDoS：DDoS攻击 Buffer Overflow：缓冲区溢出攻击 Password Attack：密码攻击 Mail：邮件相关类型的攻击行为 Access Control：访问控制行为 Hacking Tool：黑客工具 Hijacking：劫持行为 Protocol Exception：存在异常协议 Spam：存在垃圾邮件 Spyware：存在间谍软件 DDoS Flood：DDoS泛洪攻击 Suspicious DNS Activity：可疑DNS活动 Other Suspicious Behavior：其他可疑行为
dst_ip	String	目的IP地址。
dst_port	String	目的端口号。
packet	String	攻击日志的原始数据包。
protocol	String	协议类型。
level	String	表示检测到威胁的等级： CRITICAL：严重 HIGH：高 MIDDLE：中 LOW：低
source	String	检测到攻击的防御模式： 0：基础防御 1：虚拟补丁
src_ip	String	源IP地址。
src_port	String	源端口号。
direction	String	流量方向： out2in：入方向 in2out：出方向