攻击监测预警

优质
小牛编辑
132浏览
2023-12-01

分析展示所有安装网防G01服务器产生的日志,以及对网络攻击、入侵行为、内网疑似被控主机的分析结果。

监测日志

监测日志,用于记录安装网防G01的服务器遭受网络攻击的情况和服务器自身的行为记录,日志包括:SQL注入漏洞、 Struts2漏洞、 Java反序列化漏洞、 RDP暴力破解、 SSH暴力破解、进程创建行为、进程联网行为、可疑进程创建可执行文件、 黑名单进程执行危险命令、 信任进程加载无数字签名DLL、 非信任进程创建lpk.dll文件等100多种日志类型。

攻击分析

威胁分析,用于监控安装网防G01的服务器上发生的网络攻击,监控范围包括CC攻击、暴力破解、端口扫描、sql注入漏洞、已知网页木马、危险端口暴露、Java反序列化漏洞、Struts2漏洞、用户异常等25中常见的网络威胁。当网防G01发现以上威胁是会根据用户的配置去拦截该类型的网络攻击,并形成安全事件供用户查询此次攻击的参数、目标、攻击源等攻击细节,同时也可以利用短信、邮件等手段向用户告警。

入侵分析

入侵分析,基于操作系统中的异常进程访问、恶意文件读写、账户非法提权等行为特征综合分析操作系统中的黑客行为,并形成安全事件向用户报警。网防G01可以发现的入侵行为包括:AppLocker Bypass、certutil下载文件、msiexec执行远程代码、powershell下载文件、powershell隐蔽执行脚本、powershell执行加密脚本、python后门行为、WMIC恶意利用、尝试编译C#文件、尝试加载无签名驱动文件、发现病毒文件 、未知网页木马活动、已知网页木马活动、反连shell特征、服务器疑似被入侵、服务器异常登录、进程反连可疑域名、可疑进程被创建、可疑进程名、可疑进程外连网络、利用系统程序下载文件、添加windows系统账户、添加windows系统账户到管理员组、同网段主机疑似被控、挖矿程序、文件异常、修改系统认证进程内存、疑似网页木马创建行为、永恒之蓝、执行远程脚本等34种入侵行为。