主机安全

最近更新时间：2023-10-26 18:26:44

我的收藏

由客户云上购买和使用的资源实例与产品产生的监控事件包括：
事件中文名
事件英文名
事件类型
从属维度
有无恢复概念
事件描述
处理方法与建议

漏洞
vul
异常事件
主机安全告警维度
无
主机被检出存在安全漏洞
1. 确定漏洞的准确性：主机安全不排除误报的可能性，请先确认检出的漏洞是否准确
2. 了解漏洞的严重性：根据漏洞类型、威胁等级、对业务的影响等信息，确定漏洞处理的优先级
3. 修复漏洞：可根据主机安全提供的漏洞修复建议进行修复，修复后请再次进行漏洞扫描，确保已成功修复漏洞
基线
baseline
异常事件
主机安全告警维度
无
主机被检出存在未通过的基线检测项
1. 确定基线的准确性：判断基线检测结果是否准确，避免误报或错误配置
2. 了解未通过的检测项：查看未通过的基线检测项详情，了解其安全风险和影响
3. 调整配置：根据未通过基线检测项的修复方案，调整主机相关配置，调整后请再次进行基线检测，确保基线通过
4. 定期检测基线：定期进行基线检测以确保合规
恶意文件
malware
异常事件
主机安全告警维度
无
主机被检出存在恶意文件
1. 隔离文件：文件经确认是恶意的，应立即将其隔离，以防止其进一步传播和对系统造成进一步损害。杀掉相关进程，以减少潜在的风险和影响
2. 定时检测：定时对恶意文件进行检测，有助于提前发现和阻止恶意入侵行为的发生
异常进程
risk_process
异常事件
主机安全告警维度
无
主机被检出存在运行中的异常进程
1. 查杀异常进程：确认该异常进程确实是恶意或异常的，应立即查杀，以防止其进一步的活动和对系统的威胁
2. 定时检测：定时对内存中的异常进程进行检测，有助于提前发现和阻止恶意入侵行为的发生
异常登录
hostlogin
异常事件
主机安全告警维度
无
监测到主机存在异常登录行为
请根据告警详情确认是否误报，若是正常登录行为，请加入白名单；若不是，请检查服务器安全，并修改密码
密码破解
bruteattack
异常事件
主机安全告警维度
无
监测到主机存在密码破解行为
请根据告警详情确认是否误报，若是自身登录行为，请加入白名单；若不是，请登录服务器进行安全检查，重新设置复杂密码，并检查是否存在陌生账号
恶意请求
risk_dns
异常事件
主机安全告警维度
无
监测到主机存在恶意请求行为
配置拦截策略可对恶意请求进行拦截，防止与恶意域名的进一步通信
高危命令
bash
异常事件
主机安全告警维度
无
监测到主机存在高危命令行为
配置拦截策略可对正在执行的高危命令进行拦截，以减少潜在的风险和损害
本地提权
privilege_escalation
异常事件
主机安全告警维度
无
监测到主机存在本地提权行为
1. 中断提权行为：可通过终止相关进程或中断与主机的网络连接来实现
2. 隔离受感染系统：将存在提权行为的主机与网络隔离，以限制攻击的影响范围，并防止攻击者进一步侵入其他系统
3. 修复漏洞：确定用于提权的漏洞或弱点，并及时修复，以防止类似行为再次发生
反弹 Shell
reverse_shell
异常事件
主机安全告警维度
无
监测到主机存在反弹 Shell 行为
1. 隔离受感染主机：将受感染主机与网络隔离，以防止攻击者进一步侵入其他系统或从主机上获得更多权限
2. 分析攻击来源和行为：通过分析Shell行为的来源、攻击者使用的技术和主机受影响的范围，深入了解攻击的本质和目的，制定响应和修复策略
网络攻击
netattack
异常事件
主机安全告警维度
无
监测到主机存在网络攻击行为
1. 隔离受感染系统：将存在漏洞利用行为的系统与网络隔离，以限制攻击的传播范围，并防止攻击者进一步侵入其他系统
2. 修复漏洞：根据修复建议，及时应用相应的补丁或修复措施，以修复漏洞并防止进一步的利用
3. 开启漏洞防御：拦截漏洞利用行为，减少业务遭受攻击风险
Java 内存马
java_shell
异常事件
主机安全告警维度
无
监测到主机存在 Java 内存马
处理 Java 内存马需要立即隔离受感染系统、分析内存马的特征和行为、检查并修复漏洞、清除恶意代码和后门、修复受感染系统、加强 Java 应用程序安全、加强入侵检测，持续更新和维护 Java 程序
核心文件
file_tamper
异常事件
主机安全告警维度
无
监测到主机核心文件被读取或被修改
1. 断开网络连接：将受影响的主机与网络隔离，避免攻击者进一步渗透或泄露敏感信息
2. 调查并确认事件：对被读取或修改的核心文件进行调查，确定文件的更改程度、访问日志以及可疑进程或活动
3. 恢复核心文件：若有备份文件，应立即还原文件
4. 加固安全防护：以提高主机的安全性，防止类似事件再次发生
客户端离线
agent_offline
异常事件
Agent 状态维度
无
由于客户端进程卡死、客户端升级、客户端重启等情况导致客户端离线超过一定时间
及时上线客户端或重新安装主机安全客户端
客户端卸载
agent_uninstall
异常事件
Agent 状态维度
无
通过脚本卸载了主机安全客户端

重新安装主机安全客户端

﻿

上一篇: 数据传输服务 DTS 下一篇: 轻量应用服务器 Lighthouse

事件中文名	事件英文名	事件类型	从属维度	有无恢复概念	事件描述	处理方法与建议
漏洞	vul	异常事件	主机安全告警维度	无	主机被检出存在安全漏洞	1. 确定漏洞的准确性：主机安全不排除误报的可能性，请先确认检出的漏洞是否准确 2. 了解漏洞的严重性：根据漏洞类型、威胁等级、对业务的影响等信息，确定漏洞处理的优先级 3. 修复漏洞：可根据主机安全提供的漏洞修复建议进行修复，修复后请再次进行漏洞扫描，确保已成功修复漏洞
基线	baseline	异常事件	主机安全告警维度	无	主机被检出存在未通过的基线检测项	1. 确定基线的准确性：判断基线检测结果是否准确，避免误报或错误配置 2. 了解未通过的检测项：查看未通过的基线检测项详情，了解其安全风险和影响 3. 调整配置：根据未通过基线检测项的修复方案，调整主机相关配置，调整后请再次进行基线检测，确保基线通过 4. 定期检测基线：定期进行基线检测以确保合规
恶意文件	malware	异常事件	主机安全告警维度	无	主机被检出存在恶意文件	1. 隔离文件：文件经确认是恶意的，应立即将其隔离，以防止其进一步传播和对系统造成进一步损害。杀掉相关进程，以减少潜在的风险和影响 2. 定时检测：定时对恶意文件进行检测，有助于提前发现和阻止恶意入侵行为的发生
异常进程	risk_process	异常事件	主机安全告警维度	无	主机被检出存在运行中的异常进程	1. 查杀异常进程：确认该异常进程确实是恶意或异常的，应立即查杀，以防止其进一步的活动和对系统的威胁 2. 定时检测：定时对内存中的异常进程进行检测，有助于提前发现和阻止恶意入侵行为的发生
异常登录	hostlogin	异常事件	主机安全告警维度	无	监测到主机存在异常登录行为	请根据告警详情确认是否误报，若是正常登录行为，请加入白名单；若不是，请检查服务器安全，并修改密码
密码破解	bruteattack	异常事件	主机安全告警维度	无	监测到主机存在密码破解行为	请根据告警详情确认是否误报，若是自身登录行为，请加入白名单；若不是，请登录服务器进行安全检查，重新设置复杂密码，并检查是否存在陌生账号
恶意请求	risk_dns	异常事件	主机安全告警维度	无	监测到主机存在恶意请求行为	配置拦截策略可对恶意请求进行拦截，防止与恶意域名的进一步通信
高危命令	bash	异常事件	主机安全告警维度	无	监测到主机存在高危命令行为	配置拦截策略可对正在执行的高危命令进行拦截，以减少潜在的风险和损害
本地提权	privilege_escalation	异常事件	主机安全告警维度	无	监测到主机存在本地提权行为	1. 中断提权行为：可通过终止相关进程或中断与主机的网络连接来实现 2. 隔离受感染系统：将存在提权行为的主机与网络隔离，以限制攻击的影响范围，并防止攻击者进一步侵入其他系统 3. 修复漏洞：确定用于提权的漏洞或弱点，并及时修复，以防止类似行为再次发生
反弹 Shell	reverse_shell	异常事件	主机安全告警维度	无	监测到主机存在反弹 Shell 行为	1. 隔离受感染主机：将受感染主机与网络隔离，以防止攻击者进一步侵入其他系统或从主机上获得更多权限 2. 分析攻击来源和行为：通过分析Shell行为的来源、攻击者使用的技术和主机受影响的范围，深入了解攻击的本质和目的，制定响应和修复策略
网络攻击	netattack	异常事件	主机安全告警维度	无	监测到主机存在网络攻击行为	1. 隔离受感染系统：将存在漏洞利用行为的系统与网络隔离，以限制攻击的传播范围，并防止攻击者进一步侵入其他系统 2. 修复漏洞：根据修复建议，及时应用相应的补丁或修复措施，以修复漏洞并防止进一步的利用 3. 开启漏洞防御：拦截漏洞利用行为，减少业务遭受攻击风险
Java 内存马	java_shell	异常事件	主机安全告警维度	无	监测到主机存在 Java 内存马	处理 Java 内存马需要立即隔离受感染系统、分析内存马的特征和行为、检查并修复漏洞、清除恶意代码和后门、修复受感染系统、加强 Java 应用程序安全、加强入侵检测，持续更新和维护 Java 程序
核心文件	file_tamper	异常事件	主机安全告警维度	无	监测到主机核心文件被读取或被修改	1. 断开网络连接：将受影响的主机与网络隔离，避免攻击者进一步渗透或泄露敏感信息 2. 调查并确认事件：对被读取或修改的核心文件进行调查，确定文件的更改程度、访问日志以及可疑进程或活动 3. 恢复核心文件：若有备份文件，应立即还原文件 4. 加固安全防护：以提高主机的安全性，防止类似事件再次发生
客户端离线	agent_offline	异常事件	Agent 状态维度	无	由于客户端进程卡死、客户端升级、客户端重启等情况导致客户端离线超过一定时间	及时上线客户端或重新安装主机安全客户端
客户端卸载	agent_uninstall	异常事件	Agent 状态维度	无	通过脚本卸载了主机安全客户端	重新安装主机安全客户端