杂谈
通过安全告警的分类,我们通常可以看到产品常见的一些核心功能,这里汇总了2021年年底最新的安全产品告警分类,给安全研发工作者提供一些思路。
CNNVD官方
CNNVD(国家信息漏洞库分类标准)
![图片[1]-常见安全产品的威胁告警分类汇总-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/12/20211230093457768-1024x700.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
分类方式
- 配置错误
- 代码问题
- 资源管理错误
- 输入验证
- 缓冲区错误
- 注入
- 格式化字符串
- 命令注入
- 操作系统命令注入
- 跨站脚本
- 代码注入
- SQL注入
- 路径遍历
- 后置链接
- 数字错误
- 信息泄露
- 安全特征问题
- 授权问题
- 未充分验证数据可靠性
- 跨站请求伪造
- 信任管理
- 权限许可和访问控制
- 访问控制错误
- 加密问题
- 竞争条件
- 资料不足
奇安信天X系列
分类方式
- APT事件
- 用户自定义
- 其他APT事件
- APT事件
- 侦察
- 应用程序查询
- FTP侦察
- 端口扫描
- 数据库侦察
- Telnet侦察
- DNS侦察
- 用户自定义
- 主机查询
- SNPM侦察
- SSH侦察
- 其他侦察
- 网络扫描
- 邮件侦察
- 可疑活动
- DNS异常
- 可疑的IP地址
- FTP异常
- 其他可疑活动
- 未知客户端
- 未知应用程序
- 可疑的数据包
- 可疑的端口活动
- SQL异常
- 可疑的ICMP活动
- 协议异常
- Web异常
- 用户自定义
- 可疑的SSL或加密
- 路由异常
- 可疑文件
- 未解析的设备消息
- 邮件异常
- 未知用户
- 可疑VPN
- 可疑的应用程序
- 可疑的路由
- 潜在利用
- 可疑的Windows事件
- 应用程序
- 应用程序状态
- 其他应用程序
- 用户自定义
- 恶意软件
- 间谍软件
- 流氓推广
- 电脑病毒
- 后门程序
- 黑市工具
- 僵尸网络
- 感染型病毒
- 恶意广告
- 窃密木马
- 勒索软件
- 远控木马
- 用户自定义
- 键盘记录
- 低速传递程序
- 特洛伊木马
- 网络蠕虫
- 恶意下载
- 其他恶意软件
- 拒绝服务
- Web拒绝服务
- 其他拒绝服务
- 用户自定义
- 数据库拒绝服务
- 攻击利用
- 弱口令
- URL跳转
- 文件下载
- 自定义情报告警
- 网络钓鱼
- 目录遍历
- 暴力猜解
- 恶意样本投递
- webshell利用
- 跨站脚本攻击
- 文件写入
- 文件读取
- 系统/服务配置不当
- 用户自定义
- 命令执行
- 逻辑/设计错误
- 默认配置不当
- 浏览器劫持
- 信息泄露
- 非授权访问/权限绕过
- 文件上传
- 代码执行
- 文件包含
- 其他攻击利用
- 溢出攻击
- webshell上传
- 敏感信息/重要文件
- 恶意样本执行
- SQL注入
- 跨站请求伪造(CSRF)
- 配置不当/错误
- 策略
- 应用程序策略
- 用户自定义
- 其他策略
- 系统
- 内存状态
- 硬件状态
- 文件状态
- 超过阈值或限制
- 其它系统
- 用户自定义
- 目录服务状态
- 对象访问状态
- 服务状态
- 系统状态
- 系统配置
- 注册表状态
- 网络访问
- 其他网络访问
- VPN
- Web访问
- 邮件行为
- 用户自定义
- 数据库操作
- 认证
- 其他认证
- 注销
- 用户自定义
- 登录
奇安信SOC
分类方式
- 远控木马
- 端口扫描
- 窃密木马
- 网络蠕虫
- 审计事件
- 其他类情报命中
- 僵尸网络
- 勒索软件
- 电脑病毒
- 暴力猜解
- 隐蔽信道
- 非授权访问/权限绕过
- 恶意下载
- 隐蔽信道
- 后门程序
- 黑市工具
- 流氓推广
- APT事件
- 文件上传
- SQL注入
- 文件下载
- 信息泄露
- 挖矿木马
- 代码执行
- 弱口令
攻击链阶段
- 侦察跟踪
- 通信控制
- 突防利用
- 达成目标
深信服SIP
分类方式
- 脆弱性风险
- 漏洞风险
- SQL注入漏洞
- 远程文件包含漏洞
- 系统命令注入漏洞
- 文件上传漏洞
- 跨站脚本(XSS)漏洞
- 目录遍历漏洞
- 配置错误漏洞
- WEB服务器漏洞
- database服务器漏洞
- ftp服务器漏洞
- mail服务器漏洞
- ssh服务器漏洞
- vnc服务器漏洞
- ldap服务器漏洞
- 网页编辑器漏洞
- cms漏洞
- 弱口令漏洞
- 其他类型漏洞
- 风险端口
- 远程登陆端口
- 文件共享端口
- 数据库访问端口
- 远控工具端口
- 知名木马端口
- 勒索端口
- 其他风险端口
- 未授权访问
- Jboss API未授权
- SOlr API未授权
- Weblogic未授权
- CouchDB未授权
- Confluence未授权
- SMTP未授权
- Jenkins未授权
- LDAP未授权
- Sonarqube未授权
- Hadpoop未授权
- Redis未授权
- Jupyter未授权
- Spark未授权
- Snor未授权
- Docker未授权
- Elasticsearch未授权
- Swagger未授权
- E-cology未授权
- Dubbo未授权
- Kong admin未授权
- Cadvisor未授权
- Arcgis rest service未授权
- Bsphp未授权
- 其他未授权
- 弱口令
- FTP弱口令
- LDAP弱口令
- MYSQL弱口令
- POP3弱口令
- SMTP弱口令
- TELNET弱口令
- WEB弱口令
- IMAP弱口令
- MSSQL弱口令
- PRACLE弱口令
- PCANYWHERE弱口令
- RSYNC弱口令
- SMB弱口令
- VMWARE弱口令
- VNC弱口令
- SSH弱口令
- RDP弱口令
- ONVIF弱口令
- REDIS弱口令
- MONOGODB弱口令
- ELASTICSEARCH弱口令
- SYBASE弱口令
- DB2弱口令
- SNMP弱口令
- 其他弱口令
- 明文密码
- WEB登录明文传输
- 漏洞风险
- 访问风险
- 钓鱼网站
- 博彩网站
- 色情网站
- 恶意网站
- 服务探测
- 端口扫描
- webshell扫描
- 网站扫描
- 特定端口扫描
- 敏感业务扫描
- RDP扫描
- 数据库扫描
- SSH扫描
- FTP扫描
- SMB扫描
- Telnet扫描
- Redis扫描
- Memcached扫描
- 虚拟化服务扫描
- 邮件服务器扫描
- SNMP服务端扫描
- SMTP服务探测
- 其他服务探测
- 主机探测
- IP扫描
- ICMP扫描
- ARP扫描
- NetBIOS扫描
- 网络攻击
- 文件包含
- webshell上传
- 目录遍历
- 网页挂马
- 代码注入
- SQL注入
- XSS攻击
- 系统命令注入
- 扩展注入
- 反序列化
- XML外部实体注入
- PHP代码注入
- JAVA代码注入
- Python代码注入
- JavaScript代码注入
- 服务器请求伪造
- 其他代码注入
- Perl代码注入
- .NET代码注入
- CRLF注入
- LDAP注入
- XPATH注入
- 反序列化
- Python反序列化
- JAVA反序列化
- .Net反序列化
- Ruby反序列化
- PHP反序列化
- JavaScript反序列化
- 其他反序列化
- 信息泄露
- 系统信息泄露
- web组件信息泄露
- 源代码泄露
- 配置文件泄露
- 数据库文件泄露
- 凭据泄露
- 其它信息泄露
- web目录泄露
- 请求伪造类型
- 请求伪造
- 服务端伪造请求
- 自定义WAF规则
- 其他
- 后门通信
- web后面
- webshell管理工具
- webshell访问
- 隐秘隧道
- HTTP隧道
- DNS隧道
- ICMP隧道
- SSH隧道
- 系统后门
- 反弹shell
- 服务器后门
- 后门软件
- 间谍软件
- 信息窃取程序
- 恶意远控工具
- web后面
- 账号攻击
- 口令暴力破解
- MYSQL账号暴破
- RDP账号暴破
- SSH账号暴破
- SMTP账号暴破
- FTP账号暴破
- SMB账号暴破
- IMAP账号暴破
- POP3账号暴破
- LDAP账号暴破
- Kerberos账号暴破
- Web账号暴破
- Telnet暴破
- SSLVPN暴破
- 攻击利用
- 端口转发
- 远程执行
- WMI命令执行
- DCOM命令执行
- DRS命令执行
- WinRM命令执行
- 远程创建任务
- ATSVC创建服务
- TSCH创建服务
- SVCCTL创建服务
- 未授权利用
- CouchDB未授权利用
- Confluence未授权利用
- Jenkins未授权利用
- Spark未授权利用
- Redis未授权利用
- Handpoop未授权利用
- Docker未授权利用
- SMTP未授权利用
- Weblogic未授权利用
- 其他
- 凭证窃取
- PTH
- PTT
- 邮件攻击
- 欺诈邮件
- 比特币欺诈
- 伪造发件人
- 钓鱼邮件
- 病毒邮件
- SMTP病毒邮件
- POP3病毒邮件
- IMAP病毒邮件
- 其他
- 垃圾邮件
- 其他
- 欺诈邮件
- Dos攻击
- TCO flood
- UDP flood
- syn flood
- DNS flood
- ICMP flood
- ARP flood
- 异常IP报文
- 未知协议flood
- CC攻击防护
- 其他
- 黑链
- 漏洞攻击
- 开源和商业应用漏洞利用
- web框架漏洞利用
- web中间件漏洞利用
- 客户端应用漏洞利用
- 虚拟化应用漏洞利用
- 数据库漏洞利用
- 系统服务漏洞利用
- 系统内核漏洞利用
- IOT设备漏洞利用
- 其他漏洞利用
- 黑客工具
- 扫描工具
- 爬虫工具
- 渗透框架
- Empire
- CobaltStrike
- Metasploit
- BurpSuite
- SQLMap
- 后门工具
- 代理工具
- 其他
- 数据库利用攻击
- 访问恶意文件
- 下载恶意文件
- 内网传播病毒
- 病毒感染
- 木马
- 蠕虫
- 挖矿
- 勒索
- DGA域名
- 硬编码域名
- 恶意动态域名
- 流氓推广软件
- 感染型病毒
- Rootkit病毒
- 普通病毒
- 僵尸网络
- 主机异常
- 行为异常
- 可疑默认共享
- 系统信息探测
- 可疑管道利用
- 违规访问
- 新增服务端口
- 域控访问量异常
- 数据操作异常
- 数据传输异常
- 外发数据异常
- 上传敏感文件
- 下载可疑文件
- 外联异常
- 稀有地址通信
- 稀有协议通信
- 大量主动外联
- 远控行为
- 流量异常
- IRC流量异常
- HFS流量异常
- Socks流量异常
- Tor流量异常
- HTTP流量异常
- FTP流量异常
- FTP服务信息隐藏
- DNS流量异常
- ICMP流量异常
- ICMP报文数量异常
- 端口协议异常
- 非标准端口跑标准协议
- 标准端口跑非标准协议
- 异常加密流量
- TLS加密异常
- 上下行流量异常
- Ngork流量异常
- Frp流量异常
- 其他流量异常
- 登陆异常
- 异常地点登录
- 异常事件登录
- 异常方式登录
- 新账户登录
- 异常设备登录
攻击链阶段
![图片[2]-常见安全产品的威胁告警分类汇总-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/12/20211230093115513-1024x194.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
- 脆弱性风险
- 侦察
- 入侵
- 命令控制
- 横向扩散
- 目的达成
风险标签
- 配置风险
- Web明文传输
- 弱密码
- 遭受外部攻击
- 高危攻击
- 漏洞风险
- 暴力破解
- 勒索病毒
- 永恒之蓝
- Webshell
- DGA域名
- 漏洞利用
- 挖矿
- 恶意文件
微步TDP
分类方式
- 外部攻击和投递
- 侦察
- 漏洞利用
- 访问钓鱼页面
- 下载或传播恶意文件
- 尝试下载恶意文件
- 内网渗透
- 病毒攻击
- 建立通信隧道
- 横向渗透
- 域控攻击
- 横向移动
- 失陷破坏
- 网站后门&shell
- 连接远控地址
- 木马特征流量
- DGA地址连接
- 远控工具流量
- 挖矿
- 数据窃取
- 连接DNSLog地址
- 对外攻击
- 新发布域名
API风险
- 注入漏洞
- 远程代码执行漏洞
- 解析漏洞
- 路径穿越漏洞
- 配置漏洞
- 未授权访问漏洞
- 信息泄露
© 版权声明
THE END
请登录后发表评论
注册
社交帐号登录