本页内容
本页概述了 Log360 Cloud 用户和实体行为分析 (UEBA) 模块支持的不同数据源及其对应事件类型的详细列表。
这些数据源包括防火墙、云服务、操作系统、应用程序和数据库。对应的事件被分类为登录活动、系统更改、策略修改、用户管理、威胁检测等类型。
支持的数据源涵盖:
| 数据源 | 事件 |
|---|---|
| Apache |
Web 攻击事件: 检测到 SQL 注入 检测到恶意 URL 请求 检测到跨站脚本攻击 |
| AWS |
登录事件: 登录成功 登录失败 VPC 事件: 网络网关更改 端点更改 路由表更改 路由更改 子网更改 IAM 事件: IAM 错误事件 IAM 未授权活动 AWS S3 Bucket 事件: 修改 Bucket 事件 删除 Bucket 事件 |
| CASB |
影子云应用: 最近的影子应用请求 禁止的云应用: 最近的禁止应用请求 文件上传: 所有上传请求 |
| Check Point |
登录事件: 登录成功 登录失败 用户管理事件: 用户添加 用户删除 用户组添加 用户组删除 系统事件: 系统关闭 时钟更新 配置事件: 配置更改 命令执行 接口事件: 接口启动 接口关闭 |
| Cisco |
登录事件: 登录成功 SSH 登录成功 登录失败 SSH 登录失败 VPN 登录成功 VPN 登录失败 认证事件: 检测到错误认证 系统事件: 系统重启 系统时钟更新 系统温度超标 因温度导致系统关闭 检测到内存分配失败 检测到风扇故障 用户管理事件: 账户创建 账户删除 攻击检测事件: 检测到路由表攻击 检测到 SYN 洪水攻击 VPN 事件: VPN 用户连接 VPN 用户断开 |
| ERP |
邮箱审计日志: 非所有者对邮箱的活动 邮件删除或移动 管理员审计日志: 邮箱权限变更 邮箱创建和删除 公开文件夹创建和删除 Exchange数据库卸载 邮箱停用 |
| FireEye |
恶意软件对象事件 网络感染事件 |
| Fortinet |
登录事件: 登录成功 登录失败 VPN 登录成功 VPN 登录失败 VPN注销 VPN分配IP 用户管理事件: 用户添加 用户删除 用户修改 管理员管理事件: 管理员添加 管理员删除 管理员修改 策略管理事件: 策略添加 策略删除 策略修改 系统事件: 许可证到期 电源故障检测 电源恢复检测 系统重启 系统关闭 命令失败 配置更改 攻击检测事件: 可能的攻击 严重攻击 |
| H3C |
VPN 事件: VPN登录 VPN注销 |
| Huawei |
VPN 事件: VPN登录 VPN注销 |
| Hypervisor |
用户活动事件: 用户登录 用户注销 SU登录 SU注销 SSH登录 SSH注销 用户登录失败 SU登录失败 SSH 登录失败 用户管理事件: 用户添加 用户删除 用户修改 |
| IIS W3C FTP |
登录事件: 登录失败 FTP活动事件: 发现命令顺序错误 文件删除 账户管理事件: 密码更改 |
| IIS W3C Web |
Web 攻击事件: 检测到 SQL 注入 检测到恶意 URL 请求 跨站脚本攻击检测 拒绝服务(DoS)攻击检测 授权事件: UNC授权失败 电子邮件安全事件: 发现垃圾邮件头 系统事件: Web服务器重启 |
| Juniper |
登录事件: 登录成功 成功的网页登录 登录失败 网页登录失败 安全事件: 严重攻击 可能的攻击 系统事件: 风扇关闭 系统重启 检测到风扇故障 进程重启 |
| Meraki |
VPN 事件: VPN登录 VPN注销 |
| MSSQL |
用户账户事件: 用户创建 用户删除 用户修改 账户锁定 成功修改密码 修改密码失败 数据库事件: 数据库创建 数据库删除 表删除 模式删除 登录事件: 登录成功 登录失败 安全事件: 权限滥用检测 检测到 SQL 注入 拒绝服务(DoS)攻击检测 角色管理事件: 数据库角色创建 数据库角色删除 数据库角色修改 |
| NetScreen |
登录事件: 登录成功 登录失败 管理员管理事件: 管理员添加 管理员删除 管理员修改 策略事件: 策略添加 策略删除 策略修改 策略启用 策略禁用 系统事件: 时钟更新 系统温度警告 电源更换 风扇事件 电池事件 许可证事件: 许可证事件 安全事件: 可能的攻击 严重攻击 |
| Oracle |
用户管理事件: 用户创建 用户删除 用户修改 数据库事件: 数据库创建 数据库删除 表删除 集群删除 过程删除 登录事件: 登录成功 登录失败 密码过期 账户锁定 安全事件: 检测到 SQL 注入 拒绝服务(DoS)攻击检测 系统事件: 服务器启动 服务器关闭 |
| Palo Alto |
登录事件: 登录成功 登录失败 VPN登录 VPN注销 威胁检测事件: 僵尸网络攻击检测(DNS签名) 洪水攻击检测 漏洞利用检测 端口扫描检测 威胁情报事件: Palo Alto Networks WildFire签名源 |
| Password Manager Pro |
远程访问事件: 共享密码 远程会话开始 远程会话结束 |
| PostgreSQL |
登录事件: 登录失败 数据库事件: 数据库删除 数据库修改 表事件: 表删除 表修改 表截断 模式事件: 模式删除 模式修改 视图事件: 视图删除 视图修改 触发器事件: 触发器创建 触发器删除 触发器修改 用户管理事件: 用户创建 用户修改 用户删除 角色管理事件: 角色创建 角色修改 角色删除 权限事件: 权限授予 权限撤销 |
| Salesforce |
登录事件: Salesforce登录失败事件 Salesforce登录成功事件 Salesforce登录为事件 未授权事件: Salesforce未授权事件 Salesforce失败事件 报告事件: Salesforce报告导出 Salesforce报告活动 Salesforce多块报告活动 内容事件: Salesforce内容分发活动 Salesforce内容传输活动 审计和设置事件: Salesforce设置审计跟踪事件 自定义对象和用户管理事件: Salesforce自定义对象事件 Salesforce 管理用户事件 Salesforce 用户管理设置事件 应用程序事件: Salesforce 应用程序事件 Salesforce 连接应用事件 |
| Sonicwall |
用户管理事件: 用户添加 用户删除 用户帐户修改 用户权限修改 策略事件: 策略启用 策略禁用 策略添加 策略修改 策略删除 规则事件: 规则添加 规则删除 规则恢复 规则修改 登录事件: 登录成功 登录失败 VPN登录 VPN注销 系统事件: PC 卡移除 时钟更新 发现日志存储已满 日志清除 检测到风扇故障 |
| Sophos |
用户管理事件: 用户添加 用户修改 用户删除 用户启用 用户禁用 组管理事件: 组添加 组修改 组删除 端点事件: 端点正常 端点警告 端点风险 攻击事件: 严重攻击 可能攻击 登录事件: 成功登录 登录失败 VPN登录 VPN注销 规则管理事件: 规则添加 规则修改 规则删除 规则启用 规则禁用 安全事件: 检测到杀毒软件 反垃圾邮件事件 网络过滤异常 应用控制事件 系统事件: 时钟更新 系统关机 系统重启 服务状态 风扇故障 温度状态 内存状态 |
| Symantec |
登录事件: 成功登录 登录失败 管理员管理事件: 管理员添加 管理员删除 管理员修改 策略事件: 策略变更 安全事件: 发现安全风险 发现病毒 网络事件: 端口扫描 应用程序事件: 发现商业应用 威胁事件: 威胁活动 HIPS 活动 |
| Unix |
用户账户事件: 用户帐户添加 用户帐户删除 用户帐户重命名 用户帐户密码修改成功 用户帐户密码修改失败 组管理事件: 组添加 组删除 组重命名 登录事件: 用户登录 SU 登录 SSH 登录 FTP/SFTP 登录 登录失败事件: 用户登录失败 SU 登录失败 SSH 登录失败 FTP/SFTP 登录失败 注销事件: 用户注销 SU注销 SSH注销 FTP/SFTP 注销 设备事件: 可移动磁盘插入 可移动磁盘移除 命令执行事件: 成功执行 sudo 命令 sudo 命令执行失败 服务事件: Syslog 服务停止 Syslog 服务重启 系统事件: 发现磁盘空间不足 |
| WatchGuard |
管理员管理事件: 管理员添加 管理员删除 管理员修改 安全事件: 可能攻击 登录事件: 成功登录 登录失败 VPN登录 VPN注销 策略管理事件: 策略添加 策略删除 策略修改 配置事件: 配置更改 系统事件: 时钟更新 系统状态 服务事件: 服务启动失败 功能事件: 功能状态 |
| Windows |
用户账户事件: 用户帐户创建 用户帐户修改 用户帐户删除 用户帐户锁定 用户帐户密码修改成功 用户帐户密码修改失败 计算机帐户事件: 计算机帐户创建 计算机帐户修改 计算机帐户删除 权限管理事件: 给新登录分配特殊权限 备份/恢复事件: 目录服务恢复模式(DSRM)帐户密码更改 Windows 备份成功 Windows 备份失败 Windows 恢复成功 Windows 恢复失败 检测到 AD 备份错误 文件管理事件: 文件创建 文件修改 文件删除 文件权限修改 文件访问失败 文件创建失败 文件删除失败 文件访问 网络共享事件: 网络共享对象访问 网络共享对象访问失败 规则管理事件: 规则添加 规则修改 规则删除 配置事件: 设置修改 攻击检测事件: 检测到欺骗攻击 检测到泛洪攻击 检测到死亡之ping攻击 检测到 SYN 攻击 组管理事件: 组创建 组删除 成员添加到安全组 成员添加到启用安全的本地组 成员添加到分发组 成员从安全组移除 成员从分发组移除 登录事件: 成功登录 登录失败 账户注销 交互式登录 网络登录 批处理登录 服务登录 工作站解锁 网络明文登录 新凭据登录 远程交互式登录 缓存的交互式登录 交互式登录失败 网络登录失败 批处理登录失败 服务登录失败 工作站解锁失败 网络明文登录失败 新凭据登录失败 远程交互式登录失败 缓存的交互式登录失败 交互式注销 网络注销 远程交互式注销 远程登录 远程登录失败 终端登录 审计策略事件: 系统审计策略已修改 用户审计策略已修改 对象审计策略已修改 组策略事件: 创建了 GPO 修改了 GPO 删除了 GPO 注册表事件: 访问了注册表 创建了注册表项 修改了注册表值 删除了注册表项 注册表访问失败 注册表项创建失败 注册表值修改失败 注册表项删除失败 可移动媒体事件: 可移动磁盘插入 可移动磁盘移除 可移动媒体数据泄露 软件事件: 安装了软件 卸载了软件 更新了软件 软件安装失败 硬件事件: 检测到硬盘故障 设备连接事件: 设备连接到有线网络 设备连接到无线网络 设备从有线网络断开 设备从无线网络断开 日志事件: 清空了事件日志 时间事件: 修改了时间 系统事件: 非预期关机 进程事件: 启动了进程 停止了进程 服务事件: 安装了服务 启动了服务 服务失败 停止了服务 任务事件: 创建了计划任务 删除了计划任务 应用程序事件: 应用程序崩溃 |
另请参阅
本文档列出了数据源及其对应的 Log360 Cloud UEBA 异常检测模型支持的事件类型。有关如何利用 UEBA 的功能,请参阅以下文章: