安全云脑 SECMASTER-启用安全模型:执行管道

时间：2024-11-15 18:01:12

执行管道

表1 模型的执行管道
模型名称	管道	是否开启	状态	备注
应用-分布式url遍历攻击	sec-waf-access	推荐开启	开箱即用已开启	--
应用-源ip对域名进行爆破攻击	sec-waf-attack	推荐开启	开箱即用已开启	--
应用-源ip进行url遍历	sec-waf-access	推荐开启	开箱即用已开启	--
应用-WAF关键攻击告警	sec-waf-attack	推荐开启	开箱即用已开启	--
主机-虚拟机横向连接	sec-hss-log	推荐开启	开箱即用已开启	--
网络-高危端口对外暴露	sec-nip-attack	推荐开启	开箱即用已开启	--
网络-登录爆破告警	sec-nip-attack	推荐开启	开箱即用已开启	--
主机-异常网络连接	sec-hss-alarm	推荐开启	开箱即用已开启	--
网络-源ip对多个目标进行攻击	sec-nip-attack	推荐开启	开箱即用已开启	--
IPS告警去重	sec-nip-attack	按需开启	--	--
网络-命令注入告警	sec-nip-attack	推荐开启	开箱即用已开启	--
网络-恶意外联	sec-nip-attack	推荐开启	开箱即用已开启	--
主机-rootkit事件	sec-hss-alarm	推荐开启	开箱即用已开启	--
主机-反弹shell	sec-hss-alarm	推荐开启	开箱即用已开启	已升级，需更新模型
主机-异地登录	sec-hss-alarm	推荐开启	开箱即用已开启	--
主机-异常shell	sec-hss-alarm	推荐开启	开箱即用已开启	--
主机-弱口令	sec-hss-alarm	推荐开启	开箱即用已开启	--
主机-恶意程序	sec-hss-alarm	推荐开启	开箱即用已开启	--
主机-暴力破解成功	sec-hss-alarm	推荐开启	开箱即用已开启	--
主机-高危命令检测	sec-hss-alarm	推荐开启	开箱即用已开启	已升级，需更新模型
网络-检测异常连接行为	sec-nip-attack	推荐开启	开箱即用已开启	--
网络-检测黑客工具攻击	sec-nip-attack	推荐开启	开箱即用已开启	--
网络-恶意软件 [蠕虫、病毒、木马]	sec-nip-attack	推荐开启	开箱即用已开启	--
网络-僵尸网络	sec-nip-attack	推荐开启	开箱即用已开启	--
网络-后门	sec-nip-attack	推荐开启	开箱即用已开启	--
应用-疑似存在源码泄露风险	sec-waf-access	推荐开启	开箱即用已开启	--
身份- IAM 账号爆破	sec-iam-audit	推荐开启	开箱即用已开启	--
应用-疑似存在log4j2漏洞	sec-waf-attack	推荐开启	开箱即用已开启	--
身份-创建IAM委托	sec-iam-audit	推荐开启	开箱即用已开启	--
身份-创建联邦登录	sec-iam-audit	推荐开启	开箱即用已开启	--
身份-IAM账户添加子用户	sec-iam-audit	推荐开启	开箱即用已开启	--
运维-挂载网卡	sec-cts-audit	推荐开启	开箱即用已开启	--
运维-创建peering对等连接	sec-cts-audit	推荐开启	开箱即用已开启	--
运维-资源绑定EIP	sec-cts-audit	推荐开启	开箱即用已开启	--
应用-疑似存在fastjson漏洞	sec-waf-attack	推荐开启	开箱即用已开启	--
应用-疑似存在 Java框架通用代码执行漏洞	sec-waf-attack	推荐开启	开箱即用已开启	--
应用-疑似存在Shiro漏洞	sec-waf-attack	推荐开启	开箱即用已开启	--
网络-CFW异常外联	sec-cfw-risk	推荐开启	开箱即用已开启	--
网络-疑似存在DOS攻击	sec-cfw-block	按需开启	开箱即用已开启	--
应用-登录爆破攻击	sec-waf-attack	推荐开启	开箱即用已开启	--
主机-异常文件属性修改	sec-hss-log	推荐开启	开箱即用已开启	--
主机-恶意定时任务写入	sec-hss-log	推荐开启	开箱即用已开启	--
主机-进程和端口信息隐匿	sec-hss-log	推荐开启	开箱即用已开启	--
主机-异常文件权限修改	sec-hss-log	推荐开启	开箱即用已开启	--
网络-疑似存在远程代码执行漏洞	sec-nip-attack	推荐开启	--	--
网络-存在敏感文件泄露 /目录遍历漏洞	sec-nip-attack	推荐开启	--	--
应用-疑似存在openfire鉴权绕过漏洞	sec-waf-access	推荐开启	--	--
应用-疑似存在 nginxWebUI 远程命令执行漏洞	sec-waf-access	推荐开启	--	--
应用-疑似存在 MinIO 信息泄露	sec-waf-access	推荐开启	--	--
应用-疑似存在 F5 BIG-IP 命令执行漏洞	sec-waf-access	推荐开启	--	--
应用-存在Spring Actuator信息泄露	sec-waf-access	推荐开启	--	--
主机-计划任务异常	sec-hss-alarm	推荐开启	--	--
主机-疑似注册启动信息修改	sec-hss-log	推荐开启	--	--
主机-疑似发现webshell木马	sec-hss-alarm	推荐开启	--	--
主机-疑似使用内网扫描工具	sec-hss-log	推荐开启	--	--
主机-挖矿行为检测	sec-hss-alarm	推荐开启	--	--
主机-异常脚本调用	sec-hss-log	推荐开启	--	--
主机-勒索软件	sec-hss-alarm	推荐开启	--	--
应用-疑似人为WEB恶意入侵攻击	sec-waf-attack	推荐开启	--	--
网络-目录遍历攻击	sec-ndr-risk	按需开启	--	--
网络-文件读写执行	sec-ndr-risk	按需开启	--	--
网络-绕过	sec-ndr-risk	按需开启	--	--
网络-代码执行	sec-ndr-risk	按需开启	--	--
网络-检测后门	sec-ndr-risk	按需开启	--	--
网络-log4j漏洞攻击	sec-ndr-risk	按需开启	--	--
网络-提权	sec-ndr-risk	按需开启	--	--
网络-检测恶意外联	sec-ndr-risk	按需开启	--	--
主机-异常权限提升	sec-hss-alarm	推荐开启	--	--
应用-疑似泛微 e-cology9登录漏洞	sec-waf-access	推荐开启	--	--
主机-信息破坏	sec-hss-alarm	推荐开启	--	--
主机-网络异常行为	sec-hss-alarm	推荐开启	--	--
主机-用户异常行为	sec-hss-alarm	推荐开启	--	已升级，需更新模型
主机-容器异常	sec-hss-alarm	推荐开启	--	--
应用-waf 告警恶意ip攻击	sec-waf-attack	推荐开启	--	--
主机-系统异常变更	sec-hss-alarm	推荐开启	--	--
主机-漏洞利用	sec-hss-alarm	推荐开启	--	已升级，需更新模型
主机-集群异常行为	sec-hss-alarm	推荐开启	--	--
主机-异常进程	sec-hss-alarm	推荐开启	--	--
主机-黑客工具检测	sec-hss-alarm	推荐开启	--	--
主机-扫描侦查	sec-hss-alarm	推荐开启	--	--
主机-关键文件路径变更	sec-hss-alarm	推荐开启	--	新增
主机-异常外联行为	sec-hss-alarm	推荐开启	--	新增
主机-文件/目录变更	sec-hss-alarm	推荐开启	--	新增
主机-尝试暴力破解	sec-hss-alarm	推荐开启	--	新增
主机-可疑进程异常访问文件	sec-hss-alarm	推荐开启	--	新增
主机-容器异常启动	sec-hss-alarm	推荐开启	--	新增
主机-非可信进程运行	sec-hss-alarm	推荐开启	--	新增
主机-Crontab可疑任务	sec-hss-alarm	推荐开启	--	新增
主机-用户账号变更	sec-hss-alarm	推荐开启	--	新增
网络-CFW恶意外部攻击	sec-cfw-risk	推荐开启	--	新增
应用-疑似存在目录爆破	sec-nginx-access	按需开启	--	--
应用-疑似存在dos攻击风险	sec-nginx-access	按需开启	--	--
应用-python恶意爬虫	sec-nginx-access	按需开启	--	--
应用-用户异常登录疑似爆破	sec-nginx-access	按需开启	--	--
应用-疑似撞库攻击	sec-nginx-access	按需开启	--	--
网络-主机非法探测	sec-vpc-flow	按需开启	--	--
网络-端口非法扫描	sec-vpc-flow	按需开启	--	--