【虚拟化无代理】“防恶意软件日志”syslog格式说明

戴红昌发表于:2020年09月17日 15:36:51更新于:2020年11月03日 11:13:54

用户在运维过程中可能会关注虚拟化环境的染毒情况,希望通过syslog进行监控。

可以通过在web界面点击“管理”---“系统设置”---“系统事件”中勾选“防恶意软件日志”(默认不开启),并在“通用设置”中配置syslog服务器进行监控。

image.png

【事件格式】

1、通过web界面“管理”---“系统设置“---“系统事件”中可以查看支持发送syslog的所有事件列表;

2、通过控制台的“帮助”菜单,可以看到几个典型事件的字段(目前尚未直接开放所有字段的说明,如有项目需要请开case联系二线进行确认)

image.png


【事件扩展内容】

防恶意软件日志的字段名称说明:

  • time: 时间,例如:2017-12-01 10:10:10;

  • pool:主机所在资源池;

  • host:发现病毒时,虚机所在物理主机名称;

  • vm:虚拟机名称;

  • group:分组;

  • Action: 病毒处理状态(0:允许,1:监控,2:阻止);

  • os:虚拟机操作系统(131072: windows, 1048576:Linux);

  • policy: 安全配置名称;

  • malwaretype:

    •  1:间谍软件;

    •  2:广告软件;

    •  3:拨号器;

    •  4:玩笑病毒;

    •  5:宏病毒;

    •  6:IRC木马;

    •  7:网页病毒;

    •  8:木马;

    •  9:蠕虫;

    •  10:后门;

    •  100:病毒;

  • malwarename:病毒名称;

  • filename: 感染文件名;

  • isolatefilename:文件隔离位置;


进程管控日志:

  • Time:触发时间;

  • Pool:主机池;

  • Host:主机;

  • Vm:虚拟机;

  • Group:分组;

  • Policy:策略名;

  • Process:进程;

  • Filepath:进程路径;

  • Action:行为(0:允许,1:监控,2:阻止);

  • Count:统计次数;


防火墙、入侵防护、应用程序控制:

  • Time:触发时间;

  • Pool:主机池;

  • Host:主机;

  • Vm:虚拟机;

  • Group:分组;

  • Logtype:日志类型(数字);

  • Policy:策略名;

  • App:APP id;

  • Action:处理措施( 0:阻止(目前只有阻止));

  • severity:严重性(1:严重,2:高,3:中等);

  • direction:流量方向(数字)(0:出站,1:入站);

  • mac:源mac地址;

  • protocol:传输层协议(数字);

  • Sourceip:源IP(字符串);

  • sourceport:源端口;

  • destip:目的IP(字符串);

  • destport:目的端口;

  • Attacktype:攻击类型(数字):

    • 1:管理员权限获取尝试;

    • 2:拒绝服务攻击尝试;

    • 3:信息泄露尝试;

    • 4:用户权限获取尝试;

    • 5:可疑流量;

    • 6:默认用户名密码登录尝试;

    • 7:拒绝服务攻击尝试;

    • 8:其它活动;

    • 9:其它攻击;

    • 10:非可疑流量;

    • 11:潜在的公司隐私侵犯;

    • 12:通用协议命令解码;

    • 13:RPC查询解码;

    • 14:可执行代码;

    • 15:管理员权限获取;

    • 16:拒绝服务攻击;

    • 17:信息泄露;

    • 18:用户权限获取;

    • 19:网络木马;

    • 20:用户权限获取失败;

    • 21:可疑Web应用访问;

    • 22:Web应用程序攻击;

    • 23:敏感数据传输;

    • 24:已知格式的病毒文件;

    • 25:恶意软件命令及流量;

    • 26:客户端渗透尝试;

    • 27:未知流量;

    • 28:大量信息泄露;

    • 29:可疑字符串;

    • 30:可疑文件名;

    • 31:可疑用户名登录尝试;

    • 32:系统调用;

    • 33:TCP连接;

    • 34:客户端非通用端口连接;

    • 35:网络扫描;

    • 36:非标准协议及事件;

    • 37:ICMP事件;

    • 38:可疑内容;

  • Ipsrule:IPS规则ID;

  • url:Http Url(暂为空字符串);

  • Rulename:防火墙规则名;

  • Country:国家;

  • City:城市;

  • Latitude:经度;

  • Longitude:纬度;

  • Appgroup:应用程序分组ID(数字):

    • 1:网络基础服务;

    • 5:认证;

    • 6:应用服务;

    • 7:邮件;

    • 8:网站浏览;

    • 9:新闻/军事;

    • 10:论坛/社区;

    • 11:安全服务;

    • 12:娱乐/游戏/动漫/小说/电影;

    • 13:音频/视频;

    • 15:即时信息;

    • 16:数据库;

    • 17:宗教;

    • 18:工作/效率;

    • 19:文件/存储服务;

    • 20:体育;

    • 24:P2P;

    • 25:域名管理/主机租用/云计算;

    • 26:商城/在线购物;

    • 27:社交网络;

    • 28:交通/旅游/地理;

    • 29:金融/财经/网银/支付;

    • 30:商业;

    • 31:生活服务;

    • 32:科技/数码/手机/计算机/通信;

    • 33:网址导航/搜索引擎;

    • 34:招聘;

    • 36:成人/色情;

    • 37:统计/分析;

    • 38:营销/广告;

    • 39:教育/文化/艺术/历史;

    • 40:软件下载;

    • 41:瘦客户端;

    • 42:彩票/赌博;

    • 43:隧道(Tunneling);

    • 44:软件开发;

防爆力破解:

  • Pool:主机池;

  • Host:主机;

  • Vm:虚拟机;

  • Group:分组;

  • Proto:登录协议;

  • Nbadlogins:登录错误次数;

  • first_badlogin:首次登录时间;

  • last_badlogin:最后登录时间;

  • start_time:锁定开始时间;

  • end_time:锁定结束时间;

WebShell:

  • Pool:主机池;

  • Host:主机;

  • Vm:虚拟机;

  • Group:分组;

  • log_time:Webshell发现时间;

  • Filename:发现的后门文件路径;

  • Hash:发现的后门文件hash值;

  • Size:发现的后门文件的大小;

  • Yaratype:发现的后门文件类型 发现的后门文件类型 注意进程翻译:

    • 0, 1, 101, 102, 103, 104, 105, 106, 107, 108:疑似后门;

    • 2:疑似篡改;

    • 3:疑似DDOS后门;

    • 4, 5, 6, 8:一句话后门;


安全基线:

  • Pool:主机池;

  • Host:主机;

  • Vm:虚拟机;

  • Group:分组;

  • Num:数量;

  • Values:报告内容;

  • Level:级别;

  • Desc:描述;