tencent cloud

文档反馈

入侵防御日志

最后更新时间:2024-09-06 17:49:12
字段标识
字段类型
字段名称
字段描述
参考值
细分类型
instance_id
string
受害者相关资产 ID
-
-
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
time
int64
告警发生时间
-
-
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
src_ip
string
源 IP
-
192.168.0.1
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
dst_ip
string
目的 IP
-
192.168.0.1
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
src_port
int64/int
源端口
-
-
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
dst_port
int64/int
目的端口
-
-
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
direction
int64
方向
0:出站
1:入站
TCP 协议告警:为会话方向
非会话协议:为流量方向
-
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
protocol
string
协议
-
TCP
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
strategy
string
告警动作
告警的处置动作
0:观察
1:阻断
2:放行
3:欺骗
0
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
strategy_res
string
告警动作标识 ID
-
strage_alert
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog
event_name
string
攻击事件类型
-
Log4j2漏洞利用
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
eventname_res(event_name_res)
string
攻击事件类型标识 ID
-
log4j2_exploit
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog
dst_domain
string
外联域名
-
-
HoneyPotHost、HoneyPotNetwork、BlockList、TiLog、BaseLineLog
level
string
告警级别
告警的严重程度
严重
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
level_res
string
告警级别标识 ID
-
level_serious
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog
level_int
int
告警级别数字
-
5
HoneyPotHost、HoneyPotNetwork
address
string
攻击 IP 的所处城市
-
中国广东省深圳市
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
address_en
string
攻击 IP 的所处城市
-
Shenzhen, China
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog
insert_time
int64
告警入库时间
-
2023/1/1 0:00:00
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
service_id
string
网络蜜罐 ID
-
-
HoneyPotHost、HoneyPotNetwork
type
string
告警子类型标识
-
ti
HoneyPotHost、HoneyPotNetwork、TiLog、BaseLineLog
sub_source_type
string
告警子类型
告警分类,包括:虚拟补丁、基础防御、封禁列表、网络蜜罐等
虚拟补丁
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
sub_source_type_res
string
告警子类型标识 ID
告警子类型标识 ID,source_virtualpatch 虚拟补丁,source_basicrule 基础防御等
source_virtualpatch
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog
payload
string
攻击 payload
攻击流量的载荷信息
-
HoneyPotHost、HoneyPotNetwork、IdsLog、TiLog
cmdline
string
执行命令
网络蜜罐主机事件,蜜罐内执行的敏感命令
bash -c ifconfig execve /bin/bash|m=100755|o=0:0
HoneyPotHost
template_id
string
网络蜜罐模板 ID
-
-
HoneyPotHost
docker_id
string
网络蜜罐唯一 ID
-
-
HoneyPotHost、HoneyPotNetwork
proc_chan
string
进程树
网络蜜罐主机事件进程树
bashP{
HoneyPotHost
kill_chain
string
攻击链
攻击链,告警事件所处攻击阶段
漏洞利用
HoneyPotHost、HoneyPotNetwork
kill_chain_res
string
攻击链标识 ID
-
kill_chain_exploit
HoneyPotHost、HoneyPotNetwork
event_id
string
告警 ID
-
-
HoneyPotHost、HoneyPotNetwork
exe
string
执行文件路径
-
/sbin/ifconfig
HoneyPotHost
probe_id
string
探针 ID
-
probe-id
HoneyPotHost、HoneyPotNetwork
service_type
string
网络蜜罐类型
网络蜜罐类型
SSH 蜜罐
HoneyPotHost、HoneyPotNetwork
service_type_res
string
网络蜜罐类型标识 ID
-
ssh_honeypot
HoneyPotHost、HoneyPotNetwork
script_name
string
网络蜜罐剧本名称
-
-
HoneyPotHost、HoneyPotNetwork
log_source
string
数据来源
VPC 间防火墙的告警和内网蜜罐告警值为 move
蜜罐主机告警值为 host
蜜罐公网告警值为 network
move
HoneyPotHost、HoneyPotNetwork、IdsLog
login_user
string
攻击登录用户
-
[root, 1qaz!QAZ]
HoneyPotHost、HoneyPotNetwork
visible_tag
int
可见性
-
-
HoneyPotHost、HoneyPotNetwork
timestamp
string
告警时间戳
-
2023-01-01T00:00:00+08:00
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
ti_type
string
关联情报威胁类型标签(告警中自带)
-
["SSH蜜罐攻击","常规网络爆破","暴力破解"]
HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
ti_type_en
string
关联情报威胁类型标签(告警中自带)
-
["SSH honeypot attack","General network cracking","Brute force"]
HoneyPotNetwork、BlockList、IdsLog、TiLog
ti_white
string
白名单标签(告警中自带)
-
情报白名单
HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
ti_white_res
string
白名单标签(告警中自带)标识 ID
-
intelligence_allowlist
HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
src_country
string
源国家
源 IP 的所处国家
美国
BlockList、IdsLog、TiLog、BaseLineLog
src_country_en
string
源国家-英文
源 IP 的所处国家-英文
United States of America
BlockList、IdsLog、TiLog
dst_country
string
目的国家
目的 IP 的所处国家
美国
BlockList、IdsLog、TiLog、BaseLineLog
dst_country_en
string
目的国家-英文
目的 IP 的所处国家-英文
United States of America
BlockList、IdsLog、TiLog
attack_vector
string
攻击利用方法
-
code-exec
IdsLog
attack_count
int
告警数量
-
-
IdsLog
nat_ip
string
NAT的 IP
NAT 的公网 IP 地址
8.8.8.8
IdsLog、TiLog、BaseLineLog
nat_port
int
NAT的端口
NAT 的公网端口
-
IdsLog、TiLog、BaseLineLog
fws_id
string
防火墙 ID
-
-
IdsLog
fw_type
string
防火墙类型
防火墙类型,包括:
vpc:VPC 间防火墙
nat:NAT 防火墙
sg:企业安全组
空:互联网边界
nat
IdsLog
src_vpc
string
攻击者资产 VPCID
-
-
IdsLog
dst_vpc
string
受害者资产 VPCID
-
-
IdsLog
src_ins_id
string
攻击者相关资产 ID
-
-
IdsLog
dst_ins_id
string
受害者相关资产 ID
-
-
IdsLog
nat_ins_id
string
NAT 的实例 ID
-
-
TiLog、BaseLineLog
nat_ins_name
string
NAT 的实例名称
-
-
TiLog

联系我们

联系我们,为您的业务提供专属服务。

技术支持

如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

7x24 电话支持