tencent cloud

文档反馈

JSON 格式告警数据解析

最后更新时间:2024-08-13 16:33:02
    本文档将为您介绍在 告警设置 > 机器人通知设置接收 JSON 格式告警数据后,用户将收到的各类告警的传输字段及说明。
    说明
    目前机器人通知处于灰度状态,仅对明确有该需求的客户开放,若您希望实时接收主机安全 webhook 机器人告警,请 联系我们 申请使用。
    告警设置 > 机器人通知与消息中心的机器人相互独立,没有关联。

    公共字段

    示例

    {
    "uin": "1000xxxxxx21",
    "nickname": "测试号",
    "server": "172.x.x.41 [测试机器]",
    "instance_id": "ins-xxxxxxxx",
    "region": "西南地区(成都)",
    "time": "2023-10-30 09:24:20"
    }

    字段说明

    字段名称
    说明
    uin
    用户 uin
    nickname
    用户昵称
    server
    机器 ip [机器别名]
    instance_id
    机器实例 id
    region
    机器所在区域
    time
    事件时间

    异常登录

    示例

    {
    "event_type": "异常登录",
    "src_ip": "43.x.x.41",
    "area": "中国香港",
    "level": "高危"
    }

    字段说明

    字段名称
    说明
    src_ip
    来源 ip
    area
    来源地
    level
    危胁等级

    密码破解

    示例

    {
    "event_type": "密码破解",
    "src_ip": "43.x.x.41",
    "area": "中国香港",
    "count": "3",
    "banned": "阻断成功"
    }

    字段说明

    字段名称
    说明
    src_ip
    来源 ip
    area
    来源地
    count
    尝试次数
    banned
    阻断状态

    文件查杀

    恶意文件

    示例

    {
    "event_type": "恶意文件",
    "file_type": "恶意",
    "path": "/root/bebinder_shell.jsp",
    "level": "严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失"
    }

    字段说明

    字段名称
    说明
    file_type
    文件类型
    path
    文件路径
    level
    危险等级

    异常进程

    示例

    {
    "event_type": "异常进程",
    "pid": "5916",
    "path": "/root/2/ISHELL-v0.2/ishd"
    }

    字段说明

    字段名称
    说明
    pid
    进程 id
    path
    进程路径

    恶意请求

    示例

    {
    "event_type": "恶意请求",
    "url": "massdns.ran6066.com",
    "count": "1"
    }

    字段说明

    字段名称
    说明
    url
    恶意域名
    count
    请求次数

    高危命令

    示例

    {
    "event_type": "高危命令",
    "cmd": "iptables-restore -w 5 --noflush",
    "level": "高危",
    "status": "待处理"
    }

    字段说明

    字段名称
    说明
    cmd
    命令内容
    level
    威胁等级
    status
    处理状态

    本地提权

    示例

    {
    "event_type": "本地提权",
    "user": "0",
    "process": "privilege"
    }

    字段说明

    字段名称
    说明
    user
    提权用户
    process
    提权进程

    反弹 Shell

    示例

    {
    "event_type": "反弹Shell",
    "process": "mass_0",
    "dst_ip": "125.x.x.220",
    "dst_port": "8888"
    }

    字段说明

    字段名称
    说明
    process
    进程名称
    dst_ip
    目标主机
    dst_port
    目标端口

    java 内存马

    示例

    {
    "event_type": "java内存马",
    "type": "Java内存马-Servlet",
    "pid": "3333",
    "argv": "masstest",
    "class_name": "massTest"
    }

    字段说明

    字段名称
    说明
    type
    内存马类型
    pid
    进程 id
    argv
    进程参数
    class_name
    内存马 class 名称

    核心文件监控

    示例

    {
    "event_type": "核心文件",
    "rule_name": "adwqdadwqd",
    "exe_path": "/usr/bin/systemd-tmpfiles",
    "file_path": "/home",
    "count": "1",
    "level": "高危"
    }

    字段说明

    字段名称
    说明
    rule_name
    命中规则名称
    exe_path
    进程路径
    file_path
    文件路径
    count
    事件数量
    level
    威胁等级

    网络攻击

    示例

    {
    "event_type": "网络攻击",
    "src_ip": "129.x.x.166",
    "city": "江苏省-南京市",
    "vul_name": "showdoc 文件上传漏洞",
    "dst_port": "80",
    "status": "尝试攻击"
    }

    字段说明

    字段名称
    说明
    src_ip
    来源 ip
    city
    来源城市
    vul_name
    漏洞名称
    dst_port
    目标端口
    status
    攻击状态

    客户端离线

    示例

    {
    "event_type": "客户端离线",
    "offline_hour": "1"
    }

    字段说明

    字段名称
    说明
    offline_hour
    客户端离线时长

    客户端卸载

    {
    "event_type": "客户端卸载"
    }

    漏洞通知

    示例

    {
    "event_type": "漏洞",
    "category": "Linux软件漏洞",
    "vul_name": "libexpat 代码执行漏洞(CVE-2022-40674)",
    "level": "严重"
    }

    字段说明

    字段名称
    说明
    category
    漏洞分类
    vul_name
    漏洞名称
    level
    威胁等级

    基线通知

    示例

    {
    "event_type": "基线",
    "category": "Linux系统弱口令检测",
    "rule_name": "Linux系统弱口令检测",
    "level": "高危"
    }

    字段说明

    字段名称
    说明
    category
    基线分类
    rule_name
    规则名称
    level
    威胁等级

    勒索防御

    示例

    {
    "event_type": "勒索防御",
    "file_path": "/usr/bin/vi"
    }

    字段说明

    字段名称
    说明
    file_path
    文件目录

    网页防篡改

    篡改成功

    示例

    
    {
    "event_type": "网页防篡改(篡改成功)",
    "protect_name": "重要文件",
    "protect_path": "/tmp",
    "recover_type": "新增文件",
    "recovered_status": "未恢复",
    }

    字段说明

    字段名称
    说明
    protect_name
    防护名称
    protect_path
    防护目录
    recover_type
    事件类型
    recovered_status
    事件状态

    恢复失败

    示例

    {
    "event_type": "网页防篡改(恢复失败)",
    "protect_name": "重要文件",
    "protect_path": "/tmp",
    "exception": "客户端离线"
    }

    字段说明

    字段名称
    说明
    protect_name
    防护名称
    protect_path
    防护目录
    exception
    失败原因
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持