tencent cloud

PrevNext

文档反馈

请输入关键字

Recent Pages

文档
主机安全
    文档
    Download PDF

    JSON 格式告警数据解析

    最后更新时间:2024-08-13 16:33:02
    下载PDF
      本文档将为您介绍在 告警设置 > 机器人通知设置接收 JSON 格式告警数据后,用户将收到的各类告警的传输字段及说明。
      说明
      目前机器人通知处于灰度状态,仅对明确有该需求的客户开放,若您希望实时接收主机安全 webhook 机器人告警,请 联系我们 申请使用。
      告警设置 > 机器人通知与消息中心的机器人相互独立,没有关联。

      公共字段

      示例

      {
          "uin": "1000xxxxxx21",
          "nickname": "测试号",
          "server": "172.x.x.41 [测试机器]",
          "instance_id": "ins-xxxxxxxx",
          "region": "西南地区(成都)",
          "time": "2023-10-30 09:24:20"
      }

      字段说明

      字段名称
      说明
      uin
      用户 uin
      nickname
      用户昵称
      server
      机器 ip [机器别名]
      instance_id
      机器实例 id
      region
      机器所在区域
      time
      事件时间

      异常登录

      示例

      {
          "event_type": "异常登录",
          "src_ip": "43.x.x.41",
          "area": "中国香港",
          "level": "高危"
      }

      字段说明

      字段名称
      说明
      src_ip
      来源 ip
      area
      来源地
      level
      危胁等级

      密码破解

      示例

      {
          "event_type": "密码破解",
          "src_ip": "43.x.x.41",
          "area": "中国香港",
          "count": "3",
          "banned": "阻断成功"
      }

      字段说明

      字段名称
      说明
      src_ip
      来源 ip
      area
      来源地
      count
      尝试次数
      banned
      阻断状态

      文件查杀

      恶意文件

      示例

      {
          "event_type": "恶意文件",
          "file_type": "恶意",
          "path": "/root/bebinder_shell.jsp",
          "level": "严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失"
      }

      字段说明

      字段名称
      说明
      file_type
      文件类型
      path
      文件路径
      level
      危险等级

      异常进程

      示例

      {
          "event_type": "异常进程",
          "pid": "5916",
          "path": "/root/2/ISHELL-v0.2/ishd"
      }

      字段说明

      字段名称
      说明
      pid
      进程 id
      path
      进程路径

      恶意请求

      示例

      {
          "event_type": "恶意请求",
          "url": "massdns.ran6066.com",
          "count": "1"
      }

      字段说明

      字段名称
      说明
      url
      恶意域名
      count
      请求次数

      高危命令

      示例

      {
          "event_type": "高危命令",
          "cmd": "iptables-restore -w 5 --noflush",
          "level": "高危",
          "status": "待处理"
      }

      字段说明

      字段名称
      说明
      cmd
      命令内容
      level
      威胁等级
      status
      处理状态

      本地提权

      示例

      {
          "event_type": "本地提权",
          "user": "0",
          "process": "privilege"
      }

      字段说明

      字段名称
      说明
      user
      提权用户
      process
      提权进程

      反弹 Shell

      示例

      {
          "event_type": "反弹Shell",
          "process": "mass_0",
          "dst_ip": "125.x.x.220",
          "dst_port": "8888"
      }

      字段说明

      字段名称
      说明
      process
      进程名称
      dst_ip
      目标主机
      dst_port
      目标端口

      java 内存马

      示例

      {
          "event_type": "java内存马",
          "type": "Java内存马-Servlet",
          "pid": "3333",
          "argv": "masstest",
          "class_name": "massTest"
      }

      字段说明

      字段名称
      说明
      type
      内存马类型
      pid
      进程 id
      argv
      进程参数
      class_name
      内存马 class 名称

      核心文件监控

      示例

      {
          "event_type": "核心文件",
          "rule_name": "adwqdadwqd",
          "exe_path": "/usr/bin/systemd-tmpfiles",
          "file_path": "/home",
          "count": "1",
          "level": "高危"
      }

      字段说明

      字段名称
      说明
      rule_name
      命中规则名称
      exe_path
      进程路径
      file_path
      文件路径
      count
      事件数量
      level
      威胁等级

      网络攻击

      示例

      {
          "event_type": "网络攻击",
          "src_ip": "129.x.x.166",
          "city": "江苏省-南京市",
          "vul_name": "showdoc 文件上传漏洞",
          "dst_port": "80",
          "status": "尝试攻击"
      }

      字段说明

      字段名称
      说明
      src_ip
      来源 ip
      city
      来源城市
      vul_name
      漏洞名称
      dst_port
      目标端口
      status
      攻击状态

      客户端离线

      示例

      {
          "event_type": "客户端离线",
          "offline_hour": "1"
      }

      字段说明

      字段名称
      说明
      offline_hour
      客户端离线时长

      客户端卸载

      {
          "event_type": "客户端卸载"
      }

      漏洞通知

      示例

      {
          "event_type": "漏洞",
          "category": "Linux软件漏洞",
          "vul_name": "libexpat 代码执行漏洞(CVE-2022-40674)",
          "level": "严重"
      }

      字段说明

      字段名称
      说明
      category
      漏洞分类
      vul_name
      漏洞名称
      level
      威胁等级

      基线通知

      示例

      {
          "event_type": "基线",
          "category": "Linux系统弱口令检测",
          "rule_name": "Linux系统弱口令检测",
          "level": "高危"
      }

      字段说明

      字段名称
      说明
      category
      基线分类
      rule_name
      规则名称
      level
      威胁等级

      勒索防御

      示例

      {
          "event_type": "勒索防御",
          "file_path": "/usr/bin/vi"
      }

      字段说明

      字段名称
      说明
      file_path
      文件目录

      网页防篡改

      篡改成功

      示例

      
      {
          "event_type": "网页防篡改(篡改成功)",
          "protect_name": "重要文件",
          "protect_path": "/tmp",
          "recover_type": "新增文件",
          "recovered_status": "未恢复",
      }

      字段说明

      字段名称
      说明
      protect_name
      防护名称
      protect_path
      防护目录
      recover_type
      事件类型
      recovered_status
      事件状态

      恢复失败

      示例

      {
          "event_type": "网页防篡改(恢复失败)",
          "protect_name": "重要文件",
          "protect_path": "/tmp",
          "exception": "客户端离线"
      }

      字段说明

      字段名称
      说明
      protect_name
      防护名称
      protect_path
      防护目录
      exception
      失败原因
      联系我们

      联系我们,为您的业务提供专属服务。

      联系我们
      技术支持

      如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

      提交工单
      7x24 电话支持
      Copyright © 2013-2024 Tencent Cloud. All Rights Reserved.
      隐私条款服务条款缓存条款