说明
公共字段
示例
{"uin": "1000xxxxxx21","nickname": "测试号","server": "172.x.x.41 [测试机器]","instance_id": "ins-xxxxxxxx","region": "西南地区(成都)","time": "2023-10-30 09:24:20"}
字段说明
字段名称 | 说明 |
uin | 用户 uin |
nickname | 用户昵称 |
server | 机器 ip [机器别名] |
instance_id | 机器实例 id |
region | 机器所在区域 |
time | 事件时间 |
异常登录
示例
{"event_type": "异常登录","src_ip": "43.x.x.41","area": "中国香港","level": "高危"}
字段说明
字段名称 | 说明 |
src_ip | 来源 ip |
area | 来源地 |
level | 危险等级 |
密码破解
示例
{"event_type": "密码破解","src_ip": "43.x.x.41","area": "中国香港","count": "3","banned": "阻断成功"}
字段说明
字段名称 | 说明 |
src_ip | 来源 ip |
area | 来源地 |
count | 尝试次数 |
banned | 阻断状态 |
文件查杀
恶意文件
示例
{"event_type": "恶意文件","file_type": "恶意","path": "/root/bebinder_shell.jsp","level": "严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失"}
字段说明
字段名称 | 说明 |
file_type | 文件类型 |
path | 文件路径 |
level | 危险等级 |
异常进程
示例
{"event_type": "异常进程","pid": "5916","path": "/root/2/ISHELL-v0.2/ishd"}
字段说明
字段名称 | 说明 |
pid | 进程 id |
path | 进程路径 |
恶意请求
示例
{"event_type": "恶意请求","url": "massdns.ran6066.com","count": "1"}
字段说明
字段名称 | 说明 |
url | 恶意域名 |
count | 请求次数 |
高危命令
示例
{"event_type": "高危命令","cmd": "iptables-restore -w 5 --noflush","level": "高危","status": "待处理"}
字段说明
字段名称 | 说明 |
cmd | 命令内容 |
level | 威胁等级 |
status | 处理状态 |
本地提权
示例
{"event_type": "本地提权","user": "0","process": "privilege"}
字段说明
字段名称 | 说明 |
user | 提权用户 |
process | 提权进程 |
反弹 Shell
示例
{"event_type": "反弹Shell","process": "mass_0","dst_ip": "125.x.x.220","dst_port": "8888"}
字段说明
字段名称 | 说明 |
process | 进程名称 |
dst_ip | 目标主机 |
dst_port | 目标端口 |
java 内存马
示例
{"event_type": "java内存马","type": "Java内存马-Servlet","pid": "3333","argv": "masstest","class_name": "massTest"}
字段说明
字段名称 | 说明 |
type | 内存马类型 |
pid | 进程 id |
argv | 进程参数 |
class_name | 内存马 class 名称 |
核心文件监控
示例
{"event_type": "核心文件","rule_name": "adwqdadwqd","exe_path": "/usr/bin/systemd-tmpfiles","file_path": "/home","count": "1","level": "高危"}
字段说明
字段名称 | 说明 |
rule_name | 命中规则名称 |
exe_path | 进程路径 |
file_path | 文件路径 |
count | 事件数量 |
level | 威胁等级 |
网络攻击
示例
{"event_type": "网络攻击","src_ip": "129.x.x.166","city": "江苏省-南京市","vul_name": "showdoc 文件上传漏洞","dst_port": "80","status": "尝试攻击"}
字段说明
字段名称 | 说明 |
src_ip | 来源 ip |
city | 来源城市 |
vul_name | 漏洞名称 |
dst_port | 目标端口 |
status | 攻击状态 |
客户端离线
示例
{"event_type": "客户端离线","offline_hour": "1"}
字段说明
字段名称 | 说明 |
offline_hour | 客户端离线时长 |
客户端卸载
{"event_type": "客户端卸载"}
漏洞通知
示例
{"event_type": "漏洞","category": "Linux软件漏洞","vul_name": "libexpat 代码执行漏洞(CVE-2022-40674)","level": "严重"}
字段说明
字段名称 | 说明 |
category | 漏洞分类 |
vul_name | 漏洞名称 |
level | 威胁等级 |
基线通知
示例
{"event_type": "基线","category": "Linux系统弱口令检测","rule_name": "Linux系统弱口令检测","level": "高危"}
字段说明
字段名称 | 说明 |
category | 基线分类 |
rule_name | 规则名称 |
level | 威胁等级 |
勒索防御
示例
{"event_type": "勒索防御","file_path": "/usr/bin/vi"}
字段说明
字段名称 | 说明 |
file_path | 文件目录 |
网页防篡改
篡改成功
示例
{"event_type": "网页防篡改(篡改成功)","protect_name": "重要文件","protect_path": "/tmp","recover_type": "新增文件","recovered_status": "未恢复",}
字段说明
字段名称 | 说明 |
protect_name | 防护名称 |
protect_path | 防护目录 |
recover_type | 事件类型 |
recovered_status | 事件状态 |
恢复失败
示例
{"event_type": "网页防篡改(恢复失败)","protect_name": "重要文件","protect_path": "/tmp","exception": "客户端离线"}
字段说明
字段名称 | 说明 |
protect_name | 防护名称 |
protect_path | 防护目录 |
exception | 失败原因 |
