- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
13-UEBA规则
本章节下载: 13-UEBA规则 (241.50 KB)
该功能提供多个预定义异常流量检测规则,并支持对规则的关键检测参数进行配置和设置规则的启用状态。 通过这些规则,系统可以及时发现网络中的异常流量事件并在安全事件页面展示,以便管理员尽早对全网安全威胁进行处理。
1. 选择“配置中心 > UEBA规则”进入UEBA规则页面,可以执行如下操作:
2. 规则检索:支持按规则名称、事件名称、启用状态、威胁等级检索UEBA规则。单击<重置>按钮可重置查询条件。
3. 设置规则启用状态:支持单个或批量设置规则启用状态。选择一个或多个停用的规则,单击<启用>按钮可批量启用规则, 被启用的规则将在下个检测周期执行检测任务;选择一个或多个启用的规则,单击<停用>按钮可批量停用规则,被停用的规则将不再在下个检测周期中执行检测任务。
4.
设置规则参数:选择要编辑的规则,点击操作列的
按钮即可设置该规则的核心参数。
有关各规则可配置参数的说明请参见各规则介绍。
· 外网数据库风险访问_Elasticsearch数据库风险访问
以下规则缺省处于停用状态,用户可根据实际需求手动启用:
· 内网访问速率异常_域名请求速率异常
· 内网访问速率异常_相同域名请求速率异常
· 内网访问速率异常_网站访问速率异常
· 内网违规访问_违规访问
· 内网隐蔽隧道_域名型DNS隧道(仅安全威胁发现与运维管理平台增强版中缺省处于停用状态)
· 外网隐蔽隧道_IP型DNS隧道
· 外网隐蔽隧道_域名型DNS隧道(仅安全威胁发现与运维管理平台增强版中缺省处于停用状态)
· 访问互联网速率异常_域名请求速率异常
· 访问互联网速率异常_相同域名请求速率异常
· 违规访问外网_翻墙行为
· 违规访问外网_违规外联成功
· 外网拒绝服务_DNS拒绝服务
· 网站违规搭建_网站违规搭建
· Domain-Flux僵尸网络域名C&C通信
· Fast-Flux僵尸网络域名C&C通信
通过AI算法模型对内网主机建立未注册域名访问基线和未注册域名访问占比基线,从而检测内网主机是否存在Domain-Flux僵尸网络域名C&C通信。
· 域名白名单:系统对加入白名单列表中的域名不进行检测,可以减少误报。
仅安全威胁发现与运维管理平台增强版支持该规则。
通过AI算法模型对内网主机访问的域名进行检测分析,判定所访问的域名是否为Fast_Flux域名,从而检测内网主机是否存在Fast-Flux僵尸网络域名C&C通信。
· 暂不支持参数配置。
· 仅安全威胁发现与运维管理平台增强版支持该规则。
该规则用于检测是否存在内网主机对其他内网主机发起FTP暴力破解攻击。
· 请求包载荷阈值下限:FTP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:FTP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的FTP会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起MySQL暴力破解攻击。
· 请求包载荷阈值下限:MySQL会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:MySQL会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的MySQL会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起RDP暴力破解攻击。
· 请求包载荷阈值下限:RDP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:RDP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的RDP会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起Redis暴力破解攻击。
· 请求包载荷阈值下限:Redis会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:Redis会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的Redis会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起SMB暴力破解攻击。
· 请求包载荷阈值下限:SMB会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:SMB会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的SMB会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起SSH暴力破解攻击。
· 请求包载荷阈值下限:SSH会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:SSH会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的SSH会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起Telnet暴力破解攻击。
· 请求包载荷阈值下限:Telnet会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:Telnet会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的Telnet会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起VNC暴力破解攻击。
· 请求包载荷阈值下限:VNC会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:VNC会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的VNC会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起Web后台登录暴力破解攻击。
· 相同URL访问次数阈值:源内网主机访问相同的URL次数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起端口扫描攻击。
· 开放端口占比阈值:被扫描端口中,开放端口数与未知端口数比值阈值,最多保留2位小数。
该规则用于检测是否存在内网主机对其他内网主机的高危端口发起端口探测攻击。
· 主机数阈值:内网主机访问的其他内网主机数阈值。
· 高危端口列表:内网主机上存在的高危端口号,多个端口号之间以英文逗号分隔。
该规则用于检测是否存在内网主机对内网其他主机发起DNS拒绝服务攻击。
· 访问次数阈值:DNS会话日志数阈值。
该规则用于检测是否存在内网主机对互联网发起DNS拒绝服务攻击。
· 访问次数阈值:DNS会话日志数阈值。
该规则用于检测是否存在内网主机对内网其他主机发起HTTPS拒绝服务攻击。
· 访问次数阈值:HTTPS会话日志数阈值。
该规则用于检测是否存在内网主机对互联网发起HTTPS拒绝服务攻击。
· 访问次数阈值:HTTPS会话日志数阈值。
该规则用于检测是否存在内网主机对内网其他主机发起HTTP拒绝服务攻击。
· 访问次数阈值:HTTP会话日志数阈值。
该规则用于检测是否存在内网主机对互联网发起HTTP拒绝服务攻击。
· 访问次数阈值:HTTP会话日志数阈值。
该规则用于检测是否存在内网主机对内网其他主机发起NTP拒绝服务攻击。
· 访问次数阈值:NTP会话日志数阈值。
该规则用于检测是否存在内网主机对互联网发起NTP拒绝服务攻击。
· 访问次数阈值:NTP会话日志数阈值。
该规则用于检测是否存在内网主机对内网其他主机发起TCP拒绝服务攻击。
· 访问次数阈值:TCP会话日志数阈值。
该规则用于检测是否存在内网主机对互联网发起TCP拒绝服务攻击。
· 访问次数阈值:TCP会话日志数阈值。
该规则用于检测是否存在内网主机对内网其他主机发起UDP拒绝服务攻击。
· 访问次数阈值:UDP会话日志数阈值。
该规则用于检测是否存在内网主机对互联网发起UDP拒绝服务攻击。
· 访问次数阈值:UDP会话日志数阈值。
该规则用于检测内网主机是否存在RDP横向扩散尝试行为,即检测周期内,是否存在内网主机向其他内网主机发起RDP访问,且交互流量均不大于设置的阈值。
· 主机数阈值:源主机以相同的端口协议访问不同内网主机数阈值。
· 上行流量阈值:源内网主机请求其他内网主机的流量阈值。
· 下行流量阈值:源内网主机应答其他内网主机的流量阈值。
该规则用于检测内网主机是否存在RDP横向扩散成功行为,即检测周期内,是否存在内网主机向其他内网主机发起RDP访问,且交互流量均大于设置的阈值。
· 主机数阈值:源主机以相同的端口协议访问不同内网主机数阈值。
· 上行流量阈值:源内网主机请求其他内网主机的流量阈值。
· 下行流量阈值:源内网主机应答其他内网主机的流量阈值。
该规则用于检测内网主机是否存在SSH横向扩散尝试行为,即检测周期内,内网主机向其他内网主机发起SSH访问,且交互流量均不大于设置的阈值。
· 主机数阈值:源主机以相同的端口协议访问不同内网主机数阈值。
· 上行流量阈值:源内网主机请求其他内网主机的流量阈值。
· 下行流量阈值:源内网主机应答其他内网主机的流量阈值。
该规则用于检测内网主机是否存在SSH横向扩散成功行为,即检测周期内,内网主机向其他内网主机发起SSH访问,且交互流量均大于设置的阈值。
· 主机数阈值:源主机以相同的端口协议访问不同内网主机数阈值。
· 上行流量阈值:源内网主机请求其他内网主机的流量阈值。
· 下行流量阈值:源内网主机应答其他内网主机的流量阈值。
该规则用于检测内网用户请求域名速率异常行为。
· 不同域名数阈值:内网用户访问不同域名数阈值。
该规则用于检测内网用户请求相同域名速率异常行为。
· 1秒内访问次数阈值:1秒内源端访问相同域名的次数阈值。
· 访问总次数阈值:5分钟内源端访问相同域名的总次数阈值。
该规则用于检测内网用户访问网站速率异常行为。
· 访问总次数阈值:内网源端访问相同域名总次数阈值。
· 访问次数变化率阈值:源内网IP访问相同域名访问次数变化率阈值。
该规则用于检测内网主机是否存在违规访问行为,即主机对没有访问权限的IP及端口发起访问,且交互流量大于指定阈值。单击<新增>按钮添加违规访问策略。
· 策略名称:违规访问策略的唯一标识。
· 目的IP范围:禁止访问的目的IP,支持IP地址范围和子网两种输入形式。
· 目的IP排除项:禁止访问的目的IP中的排除地址,仅支持以单个IP形式输入。
· 目的端口列表:禁止访问目的IP上的端口,以端口范围形式进行配置,且结束端口必须大于或等于起始端口。
· 源IP范围:禁止访问目的IP的源IP范围,支持IP地址范围和子网两种输入形式。若配置的源IP访问了目的IP/端口,且上、下行流量均大于设置的阈值,则认为源IP存在违规访问行为。
· 源IP排除项:源IP范围中的排除IP,即不对该源IP地址进行违规访问限制。仅支持以单个IP形式输入。
· 上行流量阈值:配置的源IP访问了目的IP/端口,且会话的上、下行流量均大于设置的阈值,则认为源IP存在违规访问行为。
· 下行流量阈值:配置的源IP访问了目的IP/端口,且会话的上、下行流量均大于设置的阈值,则认为源IP存在违规访问行为。
该规则用于检测内网主机是否存在DNS隐蔽隧道通信。
· 子域名数阈值:主机访问相同域名的不同子域名数阈值。
该规则用于检测互联网对内网主机发起的FTP暴力破解攻击。
· 请求包载荷阈值下限:FTP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:FTP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的FTP会话数阈值。
该规则用于检测互联网对内网主机发起的MySQL暴力破解攻击。
· 请求包载荷阈值下限:MySQL会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:MySQL会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的MySQL会话数阈值。
该规则用于检测互联网对内网主机发起的RDP暴力破解攻击。
· 请求包载荷阈值下限:RDP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:RDP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的RDP会话数阈值。
该规则用于检测互联网对内网主机发起的Redis暴力破解攻击。
· 请求包载荷阈值下限:Redis会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:Redis会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的Redis会话数阈值。
该规则用于检测互联网对内网主机发起的SSH暴力破解攻击。
· 请求包载荷阈值下限:SSH会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:SSH会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的SSH会话数阈值。
该规则用于检测互联网对内网主机发起的VNC暴力破解攻击。
· 请求包载荷阈值下限:VNC会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:VNC会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的VNC会话数阈值。
该规则用于检测互联网对内网主机发起的Web后台登录暴力破解攻击。
· 相同URL访问次数阈值:源外网主机访问相同URL次数阈值。
该规则用于检测互联网对内网主机发起的FTP风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的FTP访问次数阈值。
该规则用于检测互联网对内网主机发起的RDP风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的RDP访问次数阈值。
该规则用于检测互联网对内网主机发起的SMB风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的SMB访问次数阈值。
该规则用于检测互联网对内网主机发起的SSH风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的SSH访问次数阈值。
该规则用于检测互联网对内网主机发起的Telnet风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的Telnet访问次数阈值。
该规则用于检测是否存在互联网对内网主机发起端口扫描攻击。
· 开放端口占比阈值:被扫描端口中,开放端口数与未知端口数比值阈值,最多保留2位小数。
该规则用于检测是否存在互联网IP对内网主机发起DNS拒绝服务攻击。
· 访问次数阈值:DNS会话日志数阈值。
该规则用于检测是否存在互联网IP对内网主机发起HTTPS拒绝服务攻击。
· 访问次数阈值:HTTPS会话日志数阈值。
该规则用于检测是否存在互联网IP对内网主机发起HTTP拒绝服务攻击。
· 访问次数阈值:HTTP会话日志数阈值。
该规则用于检测是否存在互联网IP对内网主机发起NTP拒绝服务攻击。
· 访问次数阈值:NTP会话日志数阈值。
该规则用于检测是否存在互联网IP对内网主机发起TCP拒绝服务攻击。
· 访问次数阈值:TCP会话日志数阈值。
该规则用于检测是否存在互联网IP对内网主机发起UDP拒绝服务攻击。
· 访问次数阈值:UDP会话日志数阈值。
该规则用于检测互联网对内网Elasticsearch数据库发起的风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
该规则用于检测互联网对内网MongoDB数据库发起的风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
该规则用于检测互联网对内网MySQL数据库发起的风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
该规则用于检测互联网对内网Oracle数据库发起的风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
该规则用于检测互联网对内网Redis数据库发起的风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
该规则用于检测互联网对内网SQL Server数据库发起的风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
该规则用于检测内网主机是否存在ICMP隐蔽隧道通信。
· 访问次数阈值:ICMP会话日志数阈值。
该规则用于检测内网主机是否存在DNS隐蔽隧道通信。
· 请求包载荷阈值:DNS请求包载荷的下限阈值。
· 访问次数阈值:DNS会话日志数阈值。
该规则用于检测内网主机是否存在SSH隐蔽隧道通信。
· 上行流量阈值:请求流量阈值。
· 下行流量阈值:应答流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的SSH访问次数阈值。
该规则用于检测内网主机是否存在DNS隐蔽隧道通信。
· 子域名数阈值:主机访问相同域名的不同子域名数阈值。
该规则用于检测是否存在内网主机对互联网发起FTP暴力破解攻击。
· 请求包载荷阈值下限:FTP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:FTP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的FTP会话数阈值。
该规则用于检测是否存在内网主机对互联网发起MySQL暴力破解攻击。
· 请求包载荷阈值下限:MySQL会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:MySQL会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的MySQL会话数阈值。
该规则用于检测是否存在内网主机对互联网发起RDP暴力破解攻击。
· 请求包载荷阈值下限:RDP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:RDP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的RDP会话数阈值。
该规则用于检测是否存在内网主机对互联网发起Redis暴力破解攻击。
· 请求包载荷阈值下限:Redis会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:Redis会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的Redis会话数阈值。
该规则用于检测是否存在内网主机对互联网发起SMB暴力破解攻击。
· 请求包载荷阈值下限:SMB会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:SMB会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的SMB会话数阈值。
该规则用于检测是否存在内网主机对互联网发起SSH暴力破解攻击。
· 请求包载荷阈值下限:SSH会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:SSH会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的SSH会话数阈值。
该规则用于检测是否存在内网主机对互联网发起Telnet暴力破解攻击。
· 请求包载荷阈值下限:Telnet会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:Telnet会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的Telnet会话数超过该阈值,则认为存在Telnet暴力破解攻击。
该规则用于检测是否存在内网主机对互联网发起VNC暴力破解攻击。
· 请求包载荷阈值下限:VNC会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:VNC会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的VNC会话数阈值。
该规则用于检测内网主机与互联网通信过程中是否存在MSSQL端口异常,若通信过程中存在非知名MSSQL端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
该规则用于检测内网主机与互联网通信过程中是否存在MySQL端口异常,若通信过程中存在非知名MySQL端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
该规则用于检测内网主机与互联网通信过程中是否存在RDP端口异常,若通信过程中存在非知名RDP端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
该规则用于检测内网主机与互联网通信过程中是否存在SMTP端口异常,若通信过程中存在非知名SMTP端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
该规则用于检测内网主机与互联网通信过程中是否存在SSH端口异常,若通信过程中存在非知名SSH端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
该规则用于检测内网主机与互联网通信过程中是否存在Telnet端口异常,若通信过程中存在非知名Telnet端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
通过AI算法模型对域名进行检测分析,判定访问的域名是否为恶意DGA域名。
· 暂不支持参数配置。
· 仅安全威胁发现与运维管理平台增强版支持该规则。
通过AI算法模型对访问的域名以及相应流量信息进行检测分析,判定此次DNS访问是否为恶意隧道通信。
· 暂不支持参数配置。
· 仅安全威胁发现与运维管理平台增强版支持该规则。
该规则用于检测内网主机是否存在网站违规搭建的行为,必须先配置域名白名单,规则才能生效。
· 域名白名单:系统对加入白名单列表中的域名不进行检测,可以减少误报。
该规则用于检测检测周期内,内网主机向其他大量内网IP发起蠕虫传播的行为。当源内网主机访问的内网不同主机数或访问具有相同C段特征的不同内网主机数超过设置的阈值时,则表示该主机可能感染蠕虫病毒。
· 主机数阈值:源内网主机访问内网不同主机数阈值。
· C段特征主机数阈值:访问目的IP为具有相同C段特征的不同内网主机数的阈值。
该规则用于检测检测周期内,是否存在内网主机向大量外网IP发起蠕虫传播。
· 主机数阈值:源内网主机访问外网不同主机数阈值。
该规则用于检测内网用户请求域名速率异常行为。
· 不同域名数阈值:源端访问不同域名数阈值。
该规则用于检测内网用户请求相同域名的请求速率异常行为。
· 1秒内访问次数阈值:1秒内源端访问相同域名的次数阈值。
· 访问总次数阈值:5分钟内源端访问相同域名的总次数阈值。
该规则用于检测内网主机翻墙访问国外IP行为,且交互流量大于设置的阈值。
· 上行流量阈值:请求流量阈值。
· 下行流量阈值:应答流量阈值。
该规则用于检测内网主机是否存在违规访问外网行为,且交互流量大于阈值。
· 上行流量阈值:请求流量阈值。
· 下行流量阈值:应答流量阈值。
· 源IP范围:禁止访问互联网的内网IP地址范围。
该规则用于检测是否存在内网主机与互联网进行挖矿通信。
· 访问次数阈值:内网主机与同一个挖矿通信端口的会话日志数阈值。
· 高危端口列表:挖矿通信端口号列表,多个端口号之间以英文逗号分隔。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
