常见安全产品的威胁告警分类汇总

杂谈

通过安全告警的分类,我们通常可以看到产品常见的一些核心功能,这里汇总了2021年年底最新的安全产品告警分类,给安全研发工作者提供一些思路。

CNNVD官方

CNNVD(国家信息漏洞库分类标准)

图片[1]-常见安全产品的威胁告警分类汇总-FancyPig's blog

分类方式

  • 配置错误
  • 代码问题
    • 资源管理错误
    • 输入验证
      • 缓冲区错误
      • 注入
        • 格式化字符串
        • 命令注入
          • 操作系统命令注入
        • 跨站脚本
        • 代码注入
        • SQL注入
      • 路径遍历
      • 后置链接
    • 数字错误
    • 信息泄露
    • 安全特征问题
      • 授权问题
      • 未充分验证数据可靠性
        • 跨站请求伪造
      • 信任管理
      • 权限许可和访问控制
        • 访问控制错误
      • 加密问题
    • 竞争条件
  • 资料不足

奇安信天X系列

分类方式

  • APT事件
    • 用户自定义
    • 其他APT事件
    • APT事件
  • 侦察
    • 应用程序查询
    • FTP侦察
    • 端口扫描
    • 数据库侦察
    • Telnet侦察
    • DNS侦察
    • 用户自定义
    • 主机查询
    • SNPM侦察
    • SSH侦察
    • 其他侦察
    • 网络扫描
    • 邮件侦察
  • 可疑活动
    • DNS异常
    • 可疑的IP地址
    • FTP异常
    • 其他可疑活动
    • 未知客户端
    • 未知应用程序
    • 可疑的数据包
    • 可疑的端口活动
    • SQL异常
    • 可疑的ICMP活动
    • 协议异常
    • Web异常
    • 用户自定义
    • 可疑的SSL或加密
    • 路由异常
    • 可疑文件
    • 未解析的设备消息
    • 邮件异常
    • 未知用户
    • 可疑VPN
    • 可疑的应用程序
    • 可疑的路由
    • 潜在利用
    • 可疑的Windows事件
  • 应用程序
    • 应用程序状态
    • 其他应用程序
    • 用户自定义
  • 恶意软件
    • 间谍软件
    • 流氓推广
    • 电脑病毒
    • 后门程序
    • 黑市工具
    • 僵尸网络
    • 感染型病毒
    • 恶意广告
    • 窃密木马
    • 勒索软件
    • 远控木马
    • 用户自定义
    • 键盘记录
    • 低速传递程序
    • 特洛伊木马
    • 网络蠕虫
    • 恶意下载
    • 其他恶意软件
  • 拒绝服务
    • Web拒绝服务
    • 其他拒绝服务
    • 用户自定义
    • 数据库拒绝服务
  • 攻击利用
    • 弱口令
    • URL跳转
    • 文件下载
    • 自定义情报告警
    • 网络钓鱼
    • 目录遍历
    • 暴力猜解
    • 恶意样本投递
    • webshell利用
    • 跨站脚本攻击
    • 文件写入
    • 文件读取
    • 系统/服务配置不当
    • 用户自定义
    • 命令执行
    • 逻辑/设计错误
    • 默认配置不当
    • 浏览器劫持
    • 信息泄露
    • 非授权访问/权限绕过
    • 文件上传
    • 代码执行
    • 文件包含
    • 其他攻击利用
    • 溢出攻击
    • webshell上传
    • 敏感信息/重要文件
    • 恶意样本执行
    • SQL注入
    • 跨站请求伪造(CSRF)
    • 配置不当/错误
  • 策略
    • 应用程序策略
    • 用户自定义
    • 其他策略
  • 系统
    • 内存状态
    • 硬件状态
    • 文件状态
    • 超过阈值或限制
    • 其它系统
    • 用户自定义
    • 目录服务状态
    • 对象访问状态
    • 服务状态
    • 系统状态
    • 系统配置
    • 注册表状态
  • 网络访问
    • 其他网络访问
    • VPN
    • Web访问
    • 邮件行为
    • 用户自定义
    • 数据库操作
  • 认证
    • 其他认证
    • 注销
    • 用户自定义
    • 登录

奇安信SOC

分类方式

  • 远控木马
  • 端口扫描
  • 窃密木马
  • 网络蠕虫
  • 审计事件
  • 其他类情报命中
  • 僵尸网络
  • 勒索软件
  • 电脑病毒
  • 暴力猜解
  • 隐蔽信道
  • 非授权访问/权限绕过
  • 恶意下载
  • 隐蔽信道
  • 后门程序
  • 黑市工具
  • 流氓推广
  • APT事件
  • 文件上传
  • SQL注入
  • 文件下载
  • 信息泄露
  • 挖矿木马
  • 代码执行
  • 弱口令

攻击链阶段

  • 侦察跟踪
  • 通信控制
  • 突防利用
  • 达成目标

深信服SIP

分类方式

  • 脆弱性风险
    • 漏洞风险
      • SQL注入漏洞
      • 远程文件包含漏洞
      • 系统命令注入漏洞
      • 文件上传漏洞
      • 跨站脚本(XSS)漏洞
      • 目录遍历漏洞
      • 配置错误漏洞
      • WEB服务器漏洞
      • database服务器漏洞
      • ftp服务器漏洞
      • mail服务器漏洞
      • ssh服务器漏洞
      • vnc服务器漏洞
      • ldap服务器漏洞
      • 网页编辑器漏洞
      • cms漏洞
      • 弱口令漏洞
      • 其他类型漏洞
    • 风险端口
      • 远程登陆端口
      • 文件共享端口
      • 数据库访问端口
      • 远控工具端口
      • 知名木马端口
      • 勒索端口
      • 其他风险端口
    • 未授权访问
      • Jboss API未授权
      • SOlr API未授权
      • Weblogic未授权
      • CouchDB未授权
      • Confluence未授权
      • SMTP未授权
      • Jenkins未授权
      • LDAP未授权
      • Sonarqube未授权
      • Hadpoop未授权
      • Redis未授权
      • Jupyter未授权
      • Spark未授权
      • Snor未授权
      • Docker未授权
      • Elasticsearch未授权
      • Swagger未授权
      • E-cology未授权
      • Dubbo未授权
      • Kong admin未授权
      • Cadvisor未授权
      • Arcgis rest service未授权
      • Bsphp未授权
      • 其他未授权
    • 弱口令
      • FTP弱口令
      • LDAP弱口令
      • MYSQL弱口令
      • POP3弱口令
      • SMTP弱口令
      • TELNET弱口令
      • WEB弱口令
      • IMAP弱口令
      • MSSQL弱口令
      • PRACLE弱口令
      • PCANYWHERE弱口令
      • RSYNC弱口令
      • SMB弱口令
      • VMWARE弱口令
      • VNC弱口令
      • SSH弱口令
      • RDP弱口令
      • ONVIF弱口令
      • REDIS弱口令
      • MONOGODB弱口令
      • ELASTICSEARCH弱口令
      • SYBASE弱口令
      • DB2弱口令
      • SNMP弱口令
      • 其他弱口令
    • 明文密码
      • WEB登录明文传输
  • 访问风险
    • 钓鱼网站
    • 博彩网站
    • 色情网站
    • 恶意网站
  • 服务探测
    • 端口扫描
    • webshell扫描
    • 网站扫描
    • 特定端口扫描
      • 敏感业务扫描
      • RDP扫描
      • 数据库扫描
      • SSH扫描
      • FTP扫描
      • SMB扫描
      • Telnet扫描
      • Redis扫描
      • Memcached扫描
      • 虚拟化服务扫描
      • 邮件服务器扫描
      • SNMP服务端扫描
      • SMTP服务探测
      • 其他服务探测
  • 主机探测
    • IP扫描
    • ICMP扫描
    • ARP扫描
    • NetBIOS扫描
  • 网络攻击
    • 文件包含
    • webshell上传
    • 目录遍历
    • 网页挂马
    • 代码注入
      • SQL注入
      • XSS攻击
      • 系统命令注入
      • 扩展注入
      • 反序列化
      • XML外部实体注入
      • PHP代码注入
      • JAVA代码注入
      • Python代码注入
      • JavaScript代码注入
      • 服务器请求伪造
      • 其他代码注入
      • Perl代码注入
      • .NET代码注入
      • CRLF注入
      • LDAP注入
      • XPATH注入
    • 反序列化
      • Python反序列化
      • JAVA反序列化
      • .Net反序列化
      • Ruby反序列化
      • PHP反序列化
      • JavaScript反序列化
      • 其他反序列化
    • 信息泄露
      • 系统信息泄露
      • web组件信息泄露
      • 源代码泄露
      • 配置文件泄露
      • 数据库文件泄露
      • 凭据泄露
      • 其它信息泄露
      • web目录泄露
    • 请求伪造类型
      • 请求伪造
      • 服务端伪造请求
    • 自定义WAF规则
    • 其他
  • 后门通信
    • web后面
      • webshell管理工具
      • webshell访问
    • 隐秘隧道
      • HTTP隧道
      • DNS隧道
      • ICMP隧道
      • SSH隧道
    • 系统后门
      • 反弹shell
      • 服务器后门
      • 后门软件
      • 间谍软件
      • 信息窃取程序
    • 恶意远控工具
  • 账号攻击
    • 口令暴力破解
    • MYSQL账号暴破
    • RDP账号暴破
    • SSH账号暴破
    • SMTP账号暴破
    • FTP账号暴破
    • SMB账号暴破
    • IMAP账号暴破
    • POP3账号暴破
    • LDAP账号暴破
    • Kerberos账号暴破
    • Web账号暴破
    • Telnet暴破
    • SSLVPN暴破
  • 攻击利用
    • 端口转发
    • 远程执行
      • WMI命令执行
      • DCOM命令执行
      • DRS命令执行
      • WinRM命令执行
    • 远程创建任务
      • ATSVC创建服务
      • TSCH创建服务
      • SVCCTL创建服务
    • 未授权利用
      • CouchDB未授权利用
      • Confluence未授权利用
      • Jenkins未授权利用
      • Spark未授权利用
      • Redis未授权利用
      • Handpoop未授权利用
      • Docker未授权利用
      • SMTP未授权利用
      • Weblogic未授权利用
      • 其他
    • 凭证窃取
      • PTH
      • PTT
  • 邮件攻击
    • 欺诈邮件
      • 比特币欺诈
      • 伪造发件人
      • 钓鱼邮件
    • 病毒邮件
      • SMTP病毒邮件
      • POP3病毒邮件
      • IMAP病毒邮件
      • 其他
    • 垃圾邮件
    • 其他
  • Dos攻击
    • TCO flood
    • UDP flood
    • syn flood
    • DNS flood
    • ICMP flood
    • ARP flood
    • 异常IP报文
    • 未知协议flood
    • CC攻击防护
    • 其他
  • 黑链
  • 漏洞攻击
    • 开源和商业应用漏洞利用
    • web框架漏洞利用
    • web中间件漏洞利用
    • 客户端应用漏洞利用
    • 虚拟化应用漏洞利用
    • 数据库漏洞利用
    • 系统服务漏洞利用
    • 系统内核漏洞利用
    • IOT设备漏洞利用
    • 其他漏洞利用
  • 黑客工具
    • 扫描工具
    • 爬虫工具
    • 渗透框架
      • Empire
      • CobaltStrike
      • Metasploit
      • BurpSuite
      • SQLMap
    • 后门工具
    • 代理工具
    • 其他
  • 数据库利用攻击
  • 访问恶意文件
    • 下载恶意文件
    • 内网传播病毒
  • 病毒感染
    • 木马
    • 蠕虫
    • 挖矿
    • 勒索
    • DGA域名
    • 硬编码域名
    • 恶意动态域名
    • 流氓推广软件
    • 感染型病毒
    • Rootkit病毒
    • 普通病毒
    • 僵尸网络
  • 主机异常
  • 行为异常
    • 可疑默认共享
    • 系统信息探测
    • 可疑管道利用
    • 违规访问
    • 新增服务端口
    • 域控访问量异常
    • 数据操作异常
    • 数据传输异常
      • 外发数据异常
      • 上传敏感文件
      • 下载可疑文件
    • 外联异常
      • 稀有地址通信
      • 稀有协议通信
      • 大量主动外联
    • 远控行为
  • 流量异常
    • IRC流量异常
    • HFS流量异常
    • Socks流量异常
    • Tor流量异常
    • HTTP流量异常
    • FTP流量异常
      • FTP服务信息隐藏
    • DNS流量异常
    • ICMP流量异常
      • ICMP报文数量异常
    • 端口协议异常
      • 非标准端口跑标准协议
      • 标准端口跑非标准协议
    • 异常加密流量
      • TLS加密异常
    • 上下行流量异常
    • Ngork流量异常
    • Frp流量异常
    • 其他流量异常
  • 登陆异常
    • 异常地点登录
    • 异常事件登录
    • 异常方式登录
    • 新账户登录
    • 异常设备登录

攻击链阶段

图片[2]-常见安全产品的威胁告警分类汇总-FancyPig's blog
  • 脆弱性风险
  • 侦察
  • 入侵
  • 命令控制
  • 横向扩散
  • 目的达成

风险标签

  • 配置风险
  • Web明文传输
  • 弱密码
  • 遭受外部攻击
  • 高危攻击
  • 漏洞风险
  • 暴力破解
  • 勒索病毒
  • 永恒之蓝
  • Webshell
  • DGA域名
  • 漏洞利用
  • 挖矿
  • 恶意文件

微步TDP

分类方式

  • 外部攻击和投递
    • 侦察
    • 漏洞利用
    • 访问钓鱼页面
    • 下载或传播恶意文件
    • 尝试下载恶意文件
  • 内网渗透
    • 病毒攻击
    • 建立通信隧道
    • 横向渗透
    • 域控攻击
    • 横向移动
  • 失陷破坏
    • 网站后门&shell
    • 连接远控地址
    • 木马特征流量
    • DGA地址连接
    • 远控工具流量
    • 挖矿
    • 数据窃取
    • 连接DNSLog地址
    • 对外攻击
    • 新发布域名

API风险

  • 注入漏洞
  • 远程代码执行漏洞
  • 解析漏洞
  • 路径穿越漏洞
  • 配置漏洞
  • 未授权访问漏洞
  • 信息泄露

© 版权声明
THE END
喜欢就支持一下吧
点赞76赞赏 分享
评论 抢沙发

请登录后发表评论