首页-> 服务与支持-> 客户支持-> 售后服务

服务与支持

绿盟智能安全运营平台(ISOP)攻击识别升级包列表

名称: attack_rule.1.0.0.1.1060707.dat 版本:1.0.0.1.1060707
MD5:31b0a29a876f15391be56ea97d7caab8 大小:32.94M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.3074及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060707,规则总条数为859 条。

【变更内容】
1、修改规则:
490001 内部主机发起RDP或SSH协议的扫描行为
490109 泛微 Ecology 存在登录绕过漏洞
490457 RichMail-用户密码泄露漏洞
490459 Smartbi token回调获取登录凭证漏洞
491044 发现Jenkins远程代码执行漏洞利用攻击
491135 通用可疑文件上传成功并访问行为


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务,其运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 > 引擎配置页面,选择启用对应的实例后点击应用配置。
5.若谛听引擎版本为V3.0R02F00及以下,并且平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4,如果没有实例3和4,可不关注。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-09-22 18:16:50
名称: attack_rule.1.0.0.1.1060674.dat 版本:1.0.0.1.1060674
MD5:1cf73ab9056f47f1b1a05389165a33c5 大小:32.92M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.3074及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060674,规则总条数为859 条。

【变更内容】
1、新增规则:
490459 Smartbi token回调获取登录凭证漏洞
491173 Jeecg-boot JDBC任意代码执行漏洞
491174 Smartbi RMIServlet 权限绕过漏洞

2、修改规则:
490439 Jenkins Java反序列化漏洞
491110 针对Apache Spark-CVE-2022-33891的命令注入漏洞
497005 5G行为分析


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务,其运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 > 引擎配置页面,选择启用对应的实例后点击应用配置。
5.若谛听引擎版本为V3.0R02F00及以下,并且平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4,如果没有实例3和4,可不关注。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-09-11 09:52:57
名称: attack_rule.1.0.0.1.1060659.dat 版本:1.0.0.1.1060659
MD5:002b7367095c4a0e17981a54ea729e95 大小:32.89M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.3074及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060659,规则总条数为856 条。

【变更内容】
1、新增规则:
491172 宏景人力系统sql注入漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务,其运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 > 引擎配置页面,选择启用对应的实例后点击应用配置。
5.若谛听引擎版本为V3.0R02F00及以下,并且平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4,如果没有实例3和4,可不关注。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-08-25 16:28:34
名称: attack_rule.1.0.0.1.1060649.dat 版本:1.0.0.1.1060649
MD5:46df6b1a07414547a8da8b66fe6f3095 大小:32.89M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.3074及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060649,规则总条数为855 条。

【变更内容】
1、新增规则:
490458 jenkins配置文件路径改动导致管理员权限开放漏洞(CVE-2018-1999001)
491171 泛微E-cology 9 后台远程代码执行攻击

2、修改规则:
491168 汉得 SRM 一站式采购管理平台 tomcat.jsp 存在登录绕过漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务,其运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 > 引擎配置页面,选择启用对应的实例后点击应用配置。
5.若谛听引擎版本为V3.0R02F00及以下,并且平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4,如果没有实例3和4,可不关注。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-08-23 09:34:38
名称: attack_rule.1.0.0.1.1060641.dat 版本:1.0.0.1.1060641
MD5:0e87e388a0dfa25573a9ab03ec305254 大小:32.87M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.3074及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060641,规则总条数为853 条。

【变更内容】
1、新增规则:
490457 RichMail用户密码泄露漏洞
491167 契约锁电子签署平台文件上传漏洞
491168 汉得 SRM 一站式采购管理平台 tomcat.jsp 存在登录绕过漏洞
491169 GeoServer SQL注入漏洞
491170 泛微 E-Cology ifNewsCheckOutByCurrentUser SQL注入漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务,其运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 > 引擎配置页面,选择启用对应的实例后点击应用配置。
5.若谛听引擎版本为V3.0R02F00及以下,并且平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4,如果没有实例3和4,可不关注。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-08-22 10:40:24
名称: attack_rule.1.0.0.1.1060620.dat 版本:1.0.0.1.1060620
MD5:88ca41c6fc2ce5a30ffb5f46632e498e 大小:32.85M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.3074及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060620,规则总条数为848 条。

【变更内容】
1、新增规则:
491166 用友移动管理系统任意文件上传漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务,其运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 > 引擎配置页面,选择启用对应的实例后点击应用配置。
5.若谛听引擎版本为V3.0R02F00及以下,并且平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4,如果没有实例3和4,可不关注。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-08-21 10:29:10
名称: attack_rule.1.0.0.1.1060616.dat 版本:1.0.0.1.1060616
MD5:3c283e64f561ba3edef70be8b91ce6b1 大小:32.84M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.3074及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060616,规则总条数为847 条。

【变更内容】
1、新增规则:
491163 任我行CRM SQL 注入漏洞
491164 泛微 Ecology 后台SQL注入RCE漏洞
491165 启明 4A 统一安全管控平台 getMaster 信息泄露漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务,其运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 > 引擎配置页面,选择启用对应的实例后点击应用配置。
5.若谛听引擎版本为V3.0R02F00及以下,并且平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4,如果没有实例3和4,可不关注。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-08-17 22:35:15
名称: attack_rule.1.0.0.1.1060598.dat 版本:1.0.0.1.1060598
MD5:6b28265bf6521ad28e19bcab9626f964 大小:32.83M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.3074及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060598,规则总条数为844 条。

【变更内容】
1、新增规则:
491162 用友U8-Cloud upload文件上传漏洞

2、修改规则:
490002 泛微OA V9任意文件上传漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务,其运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 > 引擎配置页面,选择启用对应的实例后点击应用配置。
5.若谛听引擎版本为V3.0R02F00及以下,并且平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4,如果没有实例3和4,可不关注。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-08-16 20:55:59
名称: attack_rule.1.0.0.1.1060593.dat 版本:1.0.0.1.1060593
MD5:48b8af89b0f515b307bab6edf187fb6a 大小:32.82M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.3074及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060593,规则总条数为843 条。

【变更内容】
1、新增规则:
491156 金和 OA C6 GetTreeDate.aspx SQL 注入漏洞
491157 锐捷无线路由器密码重置漏洞(CVE-2023-4169)
491158 通用敏感配置文件读取
491159 大华智慧园区用户密码泄露漏洞
491160 金和OA C6 GetSqlData.aspx SQL注入漏洞
491161 Openfire 控制台身份认证绕过漏洞(CVE-2023-32315)


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务,其运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 > 引擎配置页面,选择启用对应的实例后点击应用配置。
5.若谛听引擎版本为V3.0R02F00及以下,并且平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4,如果没有实例3和4,可不关注。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-08-16 10:20:37
名称: attack_rule.1.0.0.1.1060574.dat 版本:1.0.0.1.1060574
MD5:1bcfe71e7b0f4b0e2b4284923010718a 大小:32.79M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.3074及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060574,规则总条数为837 条。

【变更内容】
1、新增规则:
491151 百卓 Smart S85F useratte 存在后台文件上传漏洞(CVE-2023-4121)
491152 金盘微信管理平台未授权访问漏洞
491153 用友NC wsncapplet.jsp信息泄漏洞
491154 用友U8-CRM客户关系管理系统文件上传漏洞
491155 大华智慧园区综合管理平台SQL注入漏洞

2、修改规则
491144-致远OA默认审计用户口令漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务,其运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 > 引擎配置页面,选择启用对应的实例后点击应用配置。
5.若谛听引擎版本为V3.0R02F00及以下,并且平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4,如果没有实例3和4,可不关注。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-08-15 10:12:02
名称: attack_rule.1.0.0.1.1060553.dat 版本:1.0.0.1.1060553
MD5:9c4d7b8868bb088f8385034985ed5733 大小:32.77M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.3074及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060553,规则总条数为832 条。

【变更内容】
1、新增规则:
491146 广联达OA系统文件上传漏洞
491147 企望制造 ERP 系统 comboxstore SQL 注入漏洞
491148 360 天擎终端安全管理系统 admin_log_conf 日志泄露漏洞
491149 广联达OA协同办公系统SQL注入漏洞攻击
491150 用友时空KSOA imagefield SQL注入漏洞攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务,其运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 > 引擎配置页面,选择启用对应的实例后点击应用配置。
5.若谛听引擎版本为V3.0R02F00及以下,并且平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4,如果没有实例3和4,可不关注。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-08-13 22:51:54
名称: attack_rule.1.0.0.1.1060537.dat 版本:1.0.0.1.1060537
MD5:e9873d907a722bec2c0620264bcca7a8 大小:32.74M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.3074及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060537,规则总条数为827 条。

【变更内容】
1、新增规则:
491145 迪普负载均衡设备 ADX3000-GA系统存在后台命令执行漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务,其运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 > 引擎配置页面,选择启用对应的实例后点击应用配置。
5.若谛听引擎版本为V3.0R02F00及以下,并且平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4,如果没有实例3和4,可不关注。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-08-12 19:06:11
名称: attack_rule.1.0.0.1.1060533.dat 版本:1.0.0.1.1060533
MD5:0407ce9e2953a17b9a5d0a62178a652f 大小:32.74M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.3074及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060533,规则总条数为826 条。

【变更内容】
1、新增规则:
491142 通达OA-反序列化漏洞攻击
491143 用友时空 KSOA QueryService SQL 注入漏洞
491144 致远 OA 默认审计用户口令漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务,其运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 > 引擎配置页面,选择启用对应的实例后点击应用配置。
5.若谛听引擎版本为V3.0R02F00及以下,并且平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4,如果没有实例3和4,可不关注。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-08-11 22:41:40
名称: attack_rule.1.0.0.1.1060510.dat 版本:1.0.0.1.1060510
MD5:7e509545086ac33b7e5a00c69e74b974 大小:32.72M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.3074及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060510,规则总条数为823 条。

【变更内容】
1、新增规则:
490456 泛微e-Office任意文件上传漏洞(CVE-2023-2523)攻击
491139 海康威视 iSecureCenter 综合安防管理平台文件上传
491140 网神防火墙任意文件上传漏洞攻击
491141 泛微 OA E-Office 9.5 敏感信息泄露漏洞

2、修改规则:
490018 WPS Office for Windows RCE
490280 DNSLog平台访问事件
491107 检测到致远OA wpsAssistServlet任意文件漏洞利用


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务,其运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 > 引擎配置页面,选择启用对应的实例后点击应用配置。
5.若谛听引擎版本为V3.0R02F00及以下,并且平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4,如果没有实例3和4,可不关注。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-08-11 14:10:17
名称: attack_rule.1.0.0.1.1060488.dat 版本:1.0.0.1.1060488
MD5:a9fb73d7752274daff63630594158285 大小:32.70M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.3074及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060488,规则总条数为819 条。

【变更内容】
1、新增规则:
491138 宏景eHR任意文件上传漏洞攻击

2、修改规则:
490142 Smartbi 内置用户登陆绕过漏洞攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务,其运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 > 引擎配置页面,选择启用对应的实例后点击应用配置。
5.若谛听引擎版本为V3.0R02F00及以下,并且平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4,如果没有实例3和4,可不关注。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-08-09 20:22:20
名称: attack_rule.1.0.0.1.1060455.dat 版本:1.0.0.1.1060455
MD5:de9119e9ea5c401d713e8f41e9e3ed3c 大小:32.69M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.3074及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060455,规则总条数为818 条。

【变更内容】
1、新增规则:
490445 检测到Sliver工具HTTP Beacon Implant心跳通信
490451 检测到Havoc C2工具HTTP Demon上线通信行为
490452 检测到Havoc C2工具HTTPS Demon上线通信行为
490454 Metabase远程代码执行漏洞(CVE-2023-38646)
490455 检测到DanderSpiritz工具HTTP木马通信行为

2、修改规则:
490100 Jenkins 漏洞攻击成功
490232 Linux反弹shell成功
490328 DNS协议隧道工具dnscat连接通信成功
490340 Apache Log4j2 远程代码执行漏洞攻击尝试
490395 Siteserver远程模板下载Getshell漏洞攻击
491036 检测到GitLab任意文件读取漏洞攻击
491079 Spring Cloud Function远程命令执行后反弹shell
491098 检测到Spring Cloud Snake Yaml反序列化攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务,其运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 > 引擎配置页面,选择启用对应的实例后点击应用配置。
5.若谛听引擎版本为V3.0R02F00及以下,并且平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4,如果没有实例3和4,可不关注。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-08-04 15:56:06
名称: attack_rule.1.0.0.1.1060370.dat 版本:1.0.0.1.1060370
MD5:ecf74a3adcf8ff4f164cf9dd2a2080fa 大小:32.35M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2972及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060370,规则总条数为813 条。

【变更内容】
1、新增规则:
491137 Apache RocketMQ远程代码执行漏洞(CVE-2023-33246)利用后反弹shell

2、修改规则:
490106 检测到F5 BIGIP iControl REST未授权远程代码执行漏洞攻击
490134 ML算法检测web访问请求中存在Webshell,并请求成功
490137 Webshell、木马等后门程序上传,并访问行为
490162 Apache Jetspeed用户管理REST API未授权访问成功
490167 Drupal远程代码执行下载木马
490184 WebLogic任意文件上传漏洞利用成功后上传Webshell并访问
490185 安全设备被绕过或横向移动行为
490244 通过操作系统漏洞获取服务器权限
490305 SQL注入疑似成功后进行网页登陆行为
490326 Jackson-databind远程代码执行漏洞利用成功后连接dnslog
490351 发现CobaltStrike渗透攻击工具远程命令通信
490376 Spring Cloud Gateway远程代码执行漏洞攻击
490402 检测到用友任意文件上传攻击
490408 用友GRP-U8任意文件上传漏洞
491007 检测到Artica Proxy cyrus.php命令注入攻击
491022 基于iiop协议检测通用weblogic反序列化漏洞利用
491044 发现Jenkins远程代码执行漏洞利用攻击
491094 信呼OA任意文件上传漏洞攻击
491099 用友畅捷通Tplus任意文件上传漏洞上传webshell后连接
491118 致远OA Session泄漏漏洞
493050 检测到windows中查看域管理器信息行为
495005 匿名文件共享网站访问


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-07-24 09:08:21
名称: attack_rule.1.0.0.1.1060264.dat 版本:1.0.0.1.1060264
MD5:05db99d8490e94fa615f8b6cb541c155 大小:32.35M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2972及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060264,规则总条数为812 条。

【变更内容】
1、新增规则:
490450 Apache Shiro权限绕过漏洞
491136 检测到冰蝎3变形webshell连接

2、修改规则:
490009 僵尸网络
490422 Apereo CAS 远程代码执行漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-07-10 09:14:49
名称: attack_rule.1.0.0.1.1060217.dat 版本:1.0.0.1.1060217
MD5:f72e3db5256ffb7ffdc8d123c4d78c93 大小:32.34M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2972及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060217,规则总条数为810 条。

【变更内容】
1、修改规则:
490002 泛微OA V9任意文件上传漏洞
490037 Elasticsearch未授权访问
490413 致远 OA ajax.do 任意文件上传漏洞
491135 通用可疑文件上传成功并访问行为
493103 检测到主机上存在反弹shell攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-07-03 08:50:11
名称: attack_rule.1.0.0.1.1060179.dat 版本:1.0.0.1.1060179
MD5:ce491b12b005fcad247ca498e48635b7 大小:32.33M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2972及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060179,规则总条数为810 条。

【变更内容】
1、新增规则:
490449 WebLogic未授权命令执行漏洞
493103 检测到主机上存在反弹shell攻击
493104 检测到主机上存在webshell攻击
493105 检测到主机存在web命今执行下载敏感文件

2、修改规则:
490255 Zabbix jsrpc.php SQL 注入漏洞利用成功
490312 检测到WebLogic Server XMLDecoder 反序列化漏洞攻击
490363 GoAhead Server 环境变量注入漏洞
490422 Apereo CAS 远程代码执行漏洞
491007 Web目录遍历攻击
491038 使用弱密码成功登录内网站点
491044 发现Jenkins远程代码执行漏洞利用攻击
491076 基于ldap协议检测通用Java反序列化代码执行
491081 基于rmi协议检测通用Java反序列化代码执行
491121 通用文件上传漏洞攻击
491135 通用可疑文件上传并访问行为


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-06-21 16:34:33
名称: attack_rule.1.0.0.1.1060048.dat 版本:1.0.0.1.1060048
MD5:8e73ca81e6691783031f5e27f331843a 大小:32.29M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2925及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1060048,规则总条数为806 条。

【变更内容】
1、新增规则:
490422 Apereo CAS 远程代码执行漏洞
490424 Spring-security 认证绕过漏洞
490439 Jenkins Java反序列化漏洞
490440 Alibaba Nacos 未授权访问漏洞
490441 Apache Spark REST API 未授权访问漏洞
490442 DedeCMS V5.7 SP2后台代码执行漏洞
490443 检测到利用致远OA thirdpartyController.do获取管理员Session
490444 Dedecms管理员密码重置漏洞
491134 通用文件上传提取内部事件
491135 通用可疑文件上传成功并访问行为
493102 主机频繁外联行为
495150 特权账号公用
495151 账号多地访问行为

2、修改规则:
490076 目录遍历漏洞攻击
490086 Nginx_漏洞攻击成功
490106 任意文件上传攻击
490268 Dede CMS 远程代码执行漏洞
490269 利用DedeCMS远程代码执行漏洞读取系统信息
490297 检测到Weblogic权限绕过漏洞利用成功后访问管理员后台
491003 攻击者在尝试SQL注入
491025 致远OA_漏洞攻击
491044 发现Jenkins远程代码执行漏洞利用攻击
491067 Webshell上传连接活动
491112 检测到用友任意文件上传攻击
495002 数据库服务执行高危的数据删除操作


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-06-02 19:28:24
名称: attack_rule.1.0.0.1.1059937.dat 版本:1.0.0.1.1059937
MD5:04a76ffe33574735ca5a2fb917b9056a 大小:32.29M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2925及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1059937,规则总条数为793 条。

【变更内容】
1、新增规则:
490411 Active MQ 反序列化漏洞
490413 致远 OA ajax.do 任意文件上传漏洞
490416 金山 V8 终端安全系统任意文件读取漏洞
490425 Apache Solr 远程命令执行漏洞
490429 Apache Dubbo 反序列化漏洞
490432 GitLab_Graphql 邮箱信息泄露漏洞
490438 契约锁电子签章系统SPEL表达式注入漏洞
491133 检测到Nexus-远程命令执行漏洞攻击(CVE-2020-10199)


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-05-15 17:43:35
名称: attack_rule.1.0.0.1.1059857.dat 版本:1.0.0.1.1059857
MD5:45ecad5d770f636b4d4d4ddb793cd225 大小:32.05M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2841及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1059857,规则总条数为785 条。

【变更内容】
1、新增规则:
491132 检测到瑞友天翼应用虚拟化系统SQL注入漏洞攻击

2、修改规则:
490256 Axis2任意文件读取漏洞利用成功后上传文件
491122 帆软报表ReportServer接口任意文件读取漏洞攻击
491130 ChurchRota远程命令执行漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-05-03 21:23:42
名称: attack_rule.1.0.0.1.1059748.dat 版本:1.0.0.1.1059748
MD5:9c7193453f0daece57a81c5cb638e861 大小:31.88M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2841及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1059748,规则总条数为784 条。

【变更内容】
1、新增规则:
490437 Apache Unomi远程代码执行漏洞-CVE-2020-13942
491128 检测到Nexus-远程命令执行漏洞攻击
491129 Flask服务端模板注入漏洞
491130 ChurchRota远程命令执行漏洞
491131 好视通视频会议系统任意文件下载漏洞-CNVD-2020-62437

2、修改规则:
490037 Elasticsearch未授权访问
490183 基于告警检测通用命令执行回显
490306 可疑webshell脚本上传
490344 Grafana未授权任意文件读取漏洞
490363 GoAhead Server环境变量注入漏洞
491081 基于rmi协议检测通用Java反序列化代码执行
491121 通用文件上传漏洞攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-04-23 09:53:04
名称: attack_rule.1.0.0.1.1059666.dat 版本:1.0.0.1.1059666
MD5:60e963bb0d917b341a6fd41608624e15 大小:31.84M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2841及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1059666,规则总条数为779 条。

【变更内容】
1、新增规则:
491119-检测到Joomla未授权访问漏洞(CVE-2023-23752)攻击
491126-MinIO信息泄露漏洞-CVE-2023-28432攻击
491127-检测到疑似开源DNSLog平台Interactsh通信

2、修改规则
490280-DNSLog平台访问事件
490320-redis认证成功
490338-Metabase任意文件读取漏洞攻击
491078-检测到远程命令执行后使用Dnslog平台验证
493034-wmic远程执行命令
493085-检测到Windows系统MS7-010攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-04-03 10:31:57
名称: attack_rule.1.0.0.1.1059625.dat 版本:1.0.0.1.1059625
MD5:abb9bfdc0cacfb58f79e76ee1789cdb2 大小:31.82M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2827及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1059625,规则总条数为776 条。

【变更内容】
1、新增规则:
491118 致远OA Session泄漏漏洞
491124 发现Sliver渗透攻击工具HTTP通信连接建立行为
491125 发现Sliver渗透攻击工具HTTP协议心跳通信行为
493090 检测到Windows域控SID History后门攻击
493091 检测到Windows域控DCSync攻击
493092 检测到Windows域控DCShadow攻击
493093 检测到Windows域控DSRM后门攻击
493094 检测到Windows域控AdminSDHolder对象修改
493095 检测到Windows域控Skeleton Key后门攻击
493096 针对Windows域内用户暴力破解攻击
493097 检测到Windows域控哈希传递攻击
493098 检测到Windows域控NTDS凭据转储攻击
493099 检测到Windows域控LSASS凭证窃取攻击
493100 针对Windows域内用户密码喷洒攻击
493101 检测到Windows域控黄金票据攻击

2、修改规则
490433 Windows系统bitsadmin远程下载命令执行行为
491077 Spring Framework命令执行写Webshell后连接


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-03-27 09:14:36
名称: attack_rule.1.0.0.1.1058534.dat 版本:1.0.0.1.1058534
MD5:309f7b3b4f7525bc7aa8885a18fefb63 大小:29.45M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2266及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1058534,规则总条数为761 条。

【变更内容】
1、新增规则:
490398 检测到使用wget或curl工具下载PE文件
490436 Suo5-HTTP代理隧道通信
491123 远程加载执行恶意的Class字节码文件

2、修改规则
490038 Solr_漏洞攻击
490233 用友NC grouptemplet接口任意文件上传
490276 检测到jboss反序列化漏洞攻击
490318 通达OA前台任意用户登录漏洞利用成功
490331 Exchange远程代码执行
490433 Windows系统bitsadmin远程下载命令执行行为
491038 使用弱密码成功登录内网站点
493034 wmic远程执行命令


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-03-21 12:10:40
名称: attack_rule.1.0.0.1.1056401.dat 版本:1.0.0.1.1056401
MD5:0db893aec14a8e44cc1a6ed2b0689c35 大小:28.70M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2266及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1056401,规则总条数为758 条。

【变更内容】
1、新增规则:
490433 Windows系统bitsadmin远程下载命令执行行为
490434 Windows系统regsvr32远程代码执行行为
491122 帆软报表ReportServer接口任意文件读取漏洞攻击

2、修改规则
490037 Elasticsearch_漏洞攻击
490072 SQL注入成功
490241 泛微e-cology或用友NC OA系统BeanShell组件未授权访问后远程代码执行
490291 检测到攻击者进行xp_cmdshell漏洞攻击并建立隐蔽隧道后进行端口扫描行为


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-03-06 10:13:19
名称: attack_rule.1.0.0.1.1055213.dat 版本:1.0.0.1.1055213
MD5:8f75e53221da62f6001d272650f3a99c 大小:28.41M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2266及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1055213,规则总条数为755 条。

【变更内容】
1、新增规则:
490431 帆软报表FineReport任意文件覆盖漏洞
491121 通用文件上传漏洞攻击

2、修改规则
490074 安全设备发现Webshell告警,并且请求成功
490078 Struts2_漏洞攻击成功
490090 Tomcat_漏洞攻击成功
490092 Drupal_漏洞攻击成功
490098 phpMyAdmin_漏洞攻击成功
490205 基于命令回显检测通用java命令执行
490207 基于命令回显检测通用php命令执行
490415 Apache Solr ConfigSet 未授权上传漏洞
491022 基于iiop协议检测通用weblogic反序列化漏洞利用
491061 检测到蚁剑webshell通信行为
491061 检测到蚁剑webshell通信行为
491062 基于命令回显检测通用命令执行
491084 基于流量检测通用命令执行回显
491120 检测到禅道系统权限绕过后命令执行漏洞攻击
495144 服务器敏感信息外泄


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-02-21 15:45:26
名称: attack_rule.1.0.0.1.1053807.dat 版本:1.0.0.1.1053807
MD5:4a6f11d209ae2f2fe5945fcea25b7ddd 大小:28.37M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2266及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1053807,规则总条数为753 条。

【变更内容】
1、新增规则:
491117 检测到webshell三剑客下载行为
491120 检测到禅道系统权限绕过后命令执行漏洞攻击

2、修改规则
495001 数据库服务被执行Dump操作
495002 数据库服务执行高危的数据删除操作


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-01-17 10:36:49
名称: attack_rule.1.0.0.1.1053787.dat 版本:1.0.0.1.1053787
MD5:0d1155f1c2d7ac1a1b9919d8f692bd10 大小:28.35M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2266及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1053787,规则总条数为751 条。

【变更内容】
1、新增规则:
490430 针对ImageMagick-CVE-2020-29599的命令注入漏洞
491116 Cacti命令注入漏洞

2、修改规则
490183 ThinkPHP 5.X远程命令执行漏洞写入Webshell并访问
490220 高危端口访问异常
490312 检测到WebLogic Server XMLDecoder 反序列化漏洞攻击
490378 Jenkins任意文件读取漏洞攻击
490383 基于指纹检测CobaltStrike HTTPS Beacon通信
490387 基于指纹检测Metasploit HTTPS Beacon通信
490409 Apache Flink任意文件上传漏洞
491061 检测到蚁剑webshell通信行为
491063 通达OA_尝试攻击成功
491102 检测到Spring Framework远程命令执行漏洞嗅探
491105 检测到畅捷通T+ RecoverPassword.aspx 管理员密码修改漏洞攻击
491109 检测到F5 BIG-IP iControl REST身份认证绕过漏洞攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-01-09 10:15:34
名称: attack_rule.1.0.0.1.1053689.dat 版本:1.0.0.1.1053689
MD5:f7b4ec9743ac2d8d10a5da18d95b6c18 大小:28.33M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2266及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1053689,规则总条数为749 条。

【变更内容】
1、新增规则:
491115 ThinkPHP多语言本地文件包含漏洞

2、修改规则
490312 检测到WebLogic Server XMLDecoder 反序列化漏洞攻击
490340 Apache Log4j2 远程代码执行漏洞攻击尝试
491090 利用禅道SQL注入漏洞探测数据库信息


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-12-25 22:14:23
名称: attack_rule.1.0.0.1.1053645.dat 版本:1.0.0.1.1053645
MD5:5c9b0e2db5e1ae6fdaf19623f9db6c6f 大小:28.32M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2266及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1053645,规则总条数为748 条。

【变更内容】
1、新增规则:
491114 检测到菜刀webshell通信行为
495149 单IP多端口扫描
495148 对目标IP多端口扫描
495147 单IP发起扫描行为
495146 单IP对多IP发起扫描请求
495145 高危端口开放
495144 服务器敏感信息外泄
495143 境外控制业务系统
495142 获取内部轻微量级敏感信息
495141 内部泄露轻微量级敏感数据
495140 获取内部一般量级敏感数据
495139 内部泄露一般量级敏感数据
495138 获取内部较大量级敏感信息
495137 内部泄露较大量级敏感数据
495136 获取内部重大量级敏感信息
495135 内部泄露重大量级敏感数据
495134 获取内部特别重大量级敏感信息
495133 内部泄露特别重大量级敏感数据
495132 获取内部明文证件号信息
495131 内部泄露明文证件号信息
495130 获取内部明文位置信息
495129 内部泄露明文位置信息

2、修改规则:
490161 phpmyadmin弱口令认证
490356 发现使用frp代理工具
491104 Zabbix-CVE-2019-17382登录认证绕过成功

3、其他:
规则包中新增部分清洗规则


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。
6.此版本规则包升级完成后,会新增部分清洗规则以过滤对应规则id的设备日志,如需要这部分的日志进行分析运维,可在导航 > 配置 > 清洗规则,选择waf_clear_1、ips_clear_1进行手动关闭。
若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-12-16 17:23:20
名称: attack_rule.1.0.0.1.1053345.dat 版本:1.0.0.1.1053345
MD5:fd2f129a08964cae59402fe410779595 大小:26.30M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2266及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1053345,规则总条数为726 条。

【变更内容】
1、新增规则:
491112 检测到用友任意文件上传攻击
491113 检测到帆软报表反序列化漏洞攻击

2、修改规则:
490299 Apache Shiro 1.2.4反序列化漏洞攻击
490383 基于指纹检测CobaltStrike HTTPS Beacon通信
490387 基于指纹检测Metasploit HTTPS Beacon通信
490389 Web应用控制台部署恶意war包getshell
491113 检测到帆软报表反序列化漏洞攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-12-05 18:31:36
名称: attack_rule.1.0.0.1.1053187.dat 版本:1.0.0.1.1053187
MD5:cdf9d540f1ef961fe7df07816a1be80b 大小:26.29M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2266及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1053187,规则总条数为724 条。

【变更内容】
1、新增规则:
491104 针对Zabbix-CVE-2019-17382登录认证权限绕过漏洞攻击
493086 检测到PsLoggedOn信息收集
493088 检测到Windows系统NTLM中继攻击
493089 检测到Windows系统ACL修改

2、修改规则:
490340 Apache Log4j2 远程代码执行漏洞攻击尝试
490380 通用漏洞远程命令攻击后反弹shell成功
490382 通用漏洞攻击载荷提取内部事件
491090 利用禅道SQL注入漏洞探测数据库信息
491059 利用Jenkins远程代码执行漏洞查看系统信息
491110 针对Apache Spark-CVE-2022-33891的命令注入漏洞
493080 检测到Windows系统注销


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-10-31 20:56:01
名称: attack_rule.1.0.0.1.1053090.dat 版本:1.0.0.1.1053090
MD5:92ea176802ac6c880d854d217dbf10ac 大小:26.26M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2266及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1053090,规则总条数为720 条。

【变更内容】
1、新增规则:
490417 ThinkPHP6 任意文件写入
491103 针对Zabbix SAML SSO登录绕过漏洞
491105 检测到畅捷通T+ RecoverPassword.aspx 管理员密码修改漏洞攻击
491106 针对金蝶OA系统目录遍历漏洞攻击
491107 检测到致远OA wpsAssistServlet任意文件漏洞利用
491108 PhpCms type.php接口代码注入漏洞攻击
491109 检测到F5 BIG-IP iControl REST身份认证绕过漏洞攻击
491110 针对Apache Spark-CVE-2022-33891的命令注入漏洞
490418 用友 畅捷通T+ DownloadProxy.aspx 任意文件读取漏洞
490419 Teleport堡垒机 do-login 任意用户登录漏洞
490420 H3C CVM 任意文件上传漏洞攻击
490421 GitLab SSRF漏洞
490423 Seacms 任意代码执行漏洞攻击
493078 检测到远程Dump域控密码

2、修改规则:
490074 安全设备发现Webshell告警,并且请求成功
490088 IIS_漏洞攻击成功
493050 检测到windows中查看域管理器信息行为
490311 通用Web漏洞利用成功后反弹shell
490312 检测到WebLogic Server XMLDecoder 反序列化漏洞攻击
490324 Apache Shiro反序列化漏洞攻击成功后反弹shell
490417 ThinkPHP6 任意文件写入
491091 利用禅道任意文件读取漏洞探测敏感文件内容信息
493085 检测到Windows系统MS7-010攻击
497006 非法请求网元API


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-10-14 19:28:28
名称: attack_rule.1.0.0.1.1052816.dat 版本:1.0.0.1.1052816
MD5:bc49a7964f508e1a91e73f61962107a6 大小:26.19M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2266及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1052816,规则总条数为706 条。

【变更内容】
1、新增规则:
490414 Axis远程代码执行漏洞
490415 Apache Solr ConfigSet 未授权上传漏洞
491101 Zabbix远程命令执行漏洞利用成功
491102 检测到Spring Framework远程命令执行漏洞嗅探
493073 检测到Windows系统中SAMR查询敏感用户
493074 检测到Windows系统ZeroLogon
493075 检测到Windows系统中新增组策略
493076 检测到Windows系统中SAMR查询敏感用户组
493077 检测到Windows系统新增用户
493079 检测到Windows系统删除帐户
493080 检测到Windows系统注销的检测
493081 检测到Windows系统修改帐户
493082 检测到Windows系统修改密码
493085 检测到Windows系统MS7-010攻击检测
493083 检测到Windows系统登录成功
493084 检测到Windows系统登录失败

2、修改规则:
490090 针对Tomcat的漏洞攻击行为逻辑
490300 疑似进行Apache Shiro反序列漏洞嗅探并爆破key
490341 Apache Log4j2远程代码执行漏洞攻击并反弹shell
491070 针对MySQL数据库的SQL注入攻击成功
495008 文件或内容中含有手机号码
495009 文件或内容中含有邮箱地址
495010 文件或内容中含有银行卡号
495011 文件或内容中含有居民身份证ID
495012 文件或内容中含有电话号码


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-09-26 09:09:09
名称: attack_rule.1.0.0.1.1052548.dat 版本:1.0.0.1.1052548
MD5:0c5e82b81cb43e4cbc51e75019051e47 大小:26.11M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1052548,规则总条数为690 条。

【变更内容】
1、新增规则:
491100 检测到用友畅捷通Tplus任意文件上传漏洞

2、修改规则:
490299 Apache Shiro 1.2.4反序列化漏洞攻击
490322 GitLab远程命令执行漏洞
490409 Apache link任意文件上传漏洞
491099 用友畅捷通Tplus任意文件上传漏洞上传webshell后连接
495013 异常时段操作



注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-09-14 17:08:22
名称: attack_rule.1.0.0.1.1052413.dat 版本:1.0.0.1.1052413
MD5:a2ffca4f04ec3b9d4d74ed538a59d8b1 大小:26.10M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1052413,规则总条数为689 条。

【变更内容】
1、新增规则:
491097 利用Fastjson反序列化漏洞探测系统信息
491098 检测到Spring Cloud Snake Yaml反序列化攻击
491099 用友畅捷通Tplus任意文件上传漏洞上传webshell后连接
493069 Redis未授权利用向目标服务器写入ssh公钥后远程登录
493072 检测到主机上执行恶意远程命令的攻击

2、修改规则:
491078 检测到远程命令执行后使用Dnslog平台验证


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-08-30 20:58:55
名称: attack_rule.1.0.0.1.1051969.dat 版本:1.0.0.1.1051969
MD5:1554a7df97e3189a87a99d29d3e89c35 大小:26.05M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051969,规则总条数为684 条。

【变更内容】
1、新增规则:
491096 Yii2反序列化漏洞利用执行系统命令
490409 Apache Flink任意文件上传漏洞
490410 Confluence 任意文件读取漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-08-22 12:03:22
名称: attack_rule.1.0.0.1.1051862.dat 版本:1.0.0.1.1051862
MD5:8df8fd0e3f6bc4e72612ef77651d340b 大小:26.04M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051862,规则总条数为681 条。

【变更内容】
1、新增规则:
491095 用友NC ActionHandlerServlet反序列化漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-08-07 14:48:45
名称: attack_rule.1.0.0.1.1051722.dat 版本:1.0.0.1.1051722
MD5:6614947a6e92bd6a51c19078a61ed080 大小:26.03M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051722,规则总条数为680 条。

【变更内容】
1、新增规则:
490401 利用禅道任意文件写入包含漏洞写入Webshell

2、修改规则:
490356 发现使用frp代理工具
491077 Spring Framework命令执行写Webshell后连接
491082 Thinkphp远程代码漏洞攻击后写入或下载webshell


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-08-04 21:21:42
名称: attack_rule.1.0.0.1.1051588.dat 版本:1.0.0.1.1051588
MD5:a3d53c32268ce2486555e5b02552e221 大小:26.03M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051588,规则总条数为679 条。

【变更内容】
1、修改规则:
490068-检测到H3C CAS虚拟化平台任意文件上传漏洞
490137-Webshell上传成功并访问
490389-Web应用控制台部署恶意war包getshell


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-08-02 19:33:53
名称: attack_rule.1.0.0.1.1051553.dat 版本:1.0.0.1.1051553
MD5:75dc83dc4599188af915968e008849ef 大小:26.03M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051553.,规则总条数为679 条。

【变更内容】
1、新增规则:
490407-用友时空KSOA任意文件上传漏洞
490408-用友GRP-U8任意文件上传漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-31 22:24:54
名称: attack_rule.1.0.0.1.1051544.dat 版本:1.0.0.1.1051544
MD5:05e2076efa0c94fee40f59488c1d7332 大小:26.01M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051544.,规则总条数为677 条。

【变更内容】
1、新增规则:
490406-万户OA任意文件上传漏洞
491094-信呼OA任意文件上传漏洞攻击

2、修改规则:
490322 检测到GitLab远程命令执行漏洞攻击
490402 检测到用友任意文件上传攻击
491007 Web目录遍历攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-30 23:35:21
名称: attack_rule.1.0.0.1.1051387.dat 版本:1.0.0.1.1051387
MD5:2e5d56ee53fa4610895fc088f855d6f0 大小:26.00M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051387.,规则总条数为675 条。

【变更内容】
1、新增规则:
490397 检测到拓尔思MAS 命令执行漏洞利用
490404 通用远程命令执行写入并连接Webshell攻击
490405 UBarangay管理系统文件上传漏洞getshell
491093 禅道任意文件上传漏洞攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-28 17:46:55
名称: attack_rule.1.0.0.1.1051285.dat 版本:1.0.0.1.1051285
MD5:6cdcaca4d284c6ccccdb63eb858b5a2f 大小:25.98M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051285.,规则总条数为671 条。

【变更内容】
1、新增规则:
490402 检测到用友任意文件上传攻击
490403 检测到泛微E-cology任意文件上传攻击
491090 利用禅道SQL注入漏洞探测数据库信息
491091 利用禅道任意文件读取漏洞探测敏感文件内容信息


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-27 18:26:12
名称: attack_rule.1.0.0.1.1051239.dat 版本:1.0.0.1.1051239
MD5:f0c27f1ca98212f79834b16c0e21ba95 大小:25.96M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051239.,规则总条数为667 条。

【变更内容】
1、新增规则:
490399 检测到致远OA JDBC接口反序列化漏洞利用
490400 通达OA后台上传绕过漏洞
491092 检测到冰蝎4.0Webshell连接


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-26 18:06:51
名称: attack_rule.1.0.0.1.1051201.dat 版本:1.0.0.1.1051201
MD5:c3c42608ecbd4dae65107529400f48bb 大小:25.94M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051201,规则总条数为664 条。

【变更内容】
1、新增规则:
493070 针对SSH的暴力破解

2、修改规则:
490080 Spring_漏洞攻击成功
490232 反弹shell获取主机控制权
490343 Apache Log4j2 远程代码执行漏洞攻击利用
491007 Web目录遍历攻击
491076 基于ldap协议检测通用Java反序列化代码执行
491081 基于rmi协议检测通用Java反序列化代码执行


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-23 13:11:22
名称: attack_rule.1.0.0.1.1051120.dat 版本:1.0.0.1.1051120
MD5:e48baa4bd787e847161046f443b9cfd1 大小:25.81M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1794及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051120,规则总条数为663 条。

【变更内容】
1、新增规则:
493071 针对RDP的暴力破解

2、修改规则:
490312 检测到WebLogic Server XMLDecoder 反序列化漏洞攻击
491081 基于rmi协议检测通用Java反序列化代码执行
491082 Thinkphp远程代码漏洞攻击后写入或下载webshell


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-22 10:40:22
名称: attack_rule.1.0.0.1.1051086.dat 版本:1.0.0.1.1051086
MD5:5144d6f500a5ad634f82897591c102c0 大小:25.80M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1794及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051086,规则总条数为662 条。

【变更内容】
1、新增规则:
490395 Siteserver远程模板下载Getshell漏洞攻击
491089 检测到Spring Boot端点未授权访问

2、修改规则:
491070 针对MySQL数据库的SQL注入攻击成功
495102 数据泄露
495103 行为分析API场景
495125 未报备对外接口
495126 对外接口中未脱敏数据


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-11 09:22:18
名称: attack_rule.1.0.0.1.1051025.dat 版本:1.0.0.1.1051025
MD5:def0d7c5b1628954a1ac26c04993617f 大小:25.74M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1710及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051025,规则总条数为660 条。

【变更内容】
1、新增规则:
490391 通用web反序列化漏洞利用内部事件
490392 Docker Remote API未授权访问漏洞
490393 通用漏洞攻击载荷提取内部事件
490394 PHPMyAdmin弱口令登录后执行SQL查询
491084 基于请求中的命令和响应内容检测远程代码执行漏洞攻击
491085 phpcms任意文件上传漏洞
491086 通用漏洞攻击载荷提取下载信息内部事件
491087 通用漏洞远程命令攻击后下载文件

2、修改规则:
490080 Spring_漏洞攻击成功
490081 Spring_漏洞攻击失败
490129 针对SSH的暴力破解成功
490297 检测到Weblogic权限绕过漏洞利用成功后访问管理员后台
490311 Web漏洞利用成功后反弹shell
491022 基于iiop协议检测通用weblogic反序列化漏洞利用
491025 致远OA_漏洞攻击成功
491081 基于rmi协议检测通用Java反序列化代码执行


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-05 09:13:18
名称: attack_rule.1.0.0.1.1050917.dat 版本:1.0.0.1.1050917
MD5:982b537d596e771ff59e2cc4d9ae1ab0 大小:25.70M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1710及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1050917,规则总条数为652 条。

【变更内容】
1、新增规则:
490389 Web应用控制台部署恶意war包getshell
491083 mongo-express远程代码执行漏洞攻击成功

2、修改规则:
490312 检测到WebLogic Server XMLDecoder反序列化漏洞攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-06-28 18:08:48
名称: attack_rule.1.0.0.1.1050835.dat 版本:1.0.0.1.1050835
MD5:148bbbd7124815690ef5757a70bb8010 大小:25.69M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1593及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1050835,规则总条数为650 条。

【变更内容】
1、新增规则:
490390 检测到Confluence OGNL表达式注入命令执行漏洞(CVE-2022-26134)攻击
491082 Thinkphp远程代码漏洞攻击后写入或下载webshell

2、修改规则:
490053 检测到向日葵远程控制软件连接服务器
490151 ThinkPHP远程代码执行漏洞攻击成功后下载木马
490204 ThinkPHP_漏洞攻击
490207 ThinkPHP_漏洞攻击成功
491023 ThinkPHP_漏洞攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-06-20 10:30:38
名称: attack_rule.1.0.0.1.1050695.dat 版本:1.0.0.1.1050695
MD5:00aaf5d28031afd0d4cbc7c9989c39c5 大小:25.67M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1593及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1050695,规则总条数为648 条。

【变更内容】
1、新增规则:
492051 检测到钓鱼邮件

2、修改规则:
490297 检测到Weblogic权限绕过漏洞利用成功后访问管理员后台
490321 MYSQL爆破后写入Webshell
495002 数据库服务执行高危的数据删除操作
495125 未报备对外接口


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-06-09 17:04:21
名称: attack_rule.1.0.0.1.1050588.dat 版本:1.0.0.1.1050588
MD5:c22857a172372b3431fe38fb6d20e976 大小:25.67M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1593及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1050588,规则总条数为647 条。

【变更内容】
1、新增规则:
490380 通用漏洞远程命令攻击后反弹shell成功
491081 基于rmi协议检测通用Java反序列化代码执行
495127 MySQL_查询INFORMATION库表
495128 Oracle_访问DBA_USERS表的行为

2、修改规则:
490092 针对Drupal的漏洞攻击行为
490093 针对Drupal的漏洞攻击行为
490207 ThinkPHP_漏洞攻击成功
490295 ActiveMQ任意文件上传成功
490376 Spring Cloud Gateway远程代码执行漏洞攻击
491076 基于ldap协议检测通用Java反序列化代码执行
493050 检测到windows中查看域管理器信息行为


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-05-30 17:28:32
名称: attack_rule.1.0.0.1.1050245.dat 版本:1.0.0.1.1050245
MD5:9b83852c0f62a2567f6923e8891eb680 大小:25.61M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1080及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1050245,规则总条数为640 条。

【变更内容】
1、新增规则:
491080 Fastjson反序列化漏洞利用加载执行恶意字节码文件成功
495123 未知数据资产访问
495124 敏感数据明文传输
495125 未报备对外接口
495126 对外接口中未脱敏数据

2、修改规则:
490013 挖矿
490078 Struts2_漏洞攻击成功
490144 Struts2漏洞攻击载荷提取内部事件
490177 可信Struts2漏洞攻击
490255 Zabbix jsrpc.php SQL 注入漏洞利用成功
490311 Web漏洞利用成功后反弹shell
491055 利用Jenkins远程代码执行漏洞读取敏感配置文件
491059 利用Jenkins远程代码执行漏洞查看系统信息
492044 WannaRen勒索病毒活动
495101 SQL注入
495103 行为分析API场景
495104 行为分析数据库场景
495105 风险操作
495106 口令攻击
495107 账号滥用
495108 数据库漏洞攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-05-18 15:00:50
名称: attack_rule.1.0.0.1.1050010.dat 版本:1.0.0.1.1050010
MD5:9107419d06d93d8369f98477e19fdd55 大小:25.53M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1080及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1050010,规则总条数为635 条。

【变更内容】
1、修改规则:
490101 Jenkins_漏洞攻击失败
490333 检测到sockscap64代理工具启动
491062 基于请求中的命令和响应内容检测远程代码执行成功


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-04-18 12:36:57
名称: attack_rule.1.0.0.1.1049929.dat 版本:1.0.0.1.1049929
MD5:1d4f2dc2cbdad4c77de37d16eef9b35c 大小:25.51M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1080及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1049929,规则总条数为635 条。

【变更内容】
1、新增规则:
490378 Jenkins任意文件读取漏洞攻击
491076 基于关联分析检测Java反序列化代码执行
491078 检测到远程命令执行后使用Dnslog平台验证
491079 Spring Cloud Function远程命令执行后反弹shell


2、修改规则:
491062 基于请求中的命令和响应内容检测远程代码执行成功
495109 疑似网络聊天数据泄露
490201 针对SMB服务的暴力破解成功


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-03-31 18:05:10
名称: attack_rule.1.0.0.1.1049650.dat 版本:1.0.0.1.1049650
MD5:40a84bf6ae8732f738b0014baab736a9 大小:25.43M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.746及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1049650,规则总条数为630 条。

【变更内容】
1、新增2条规则:
490376 Spring Cloud Gateway 远程代码执行漏洞攻击
490377 icmptunnel工具隧道通信

2、修改1条规则:
490205 WebLogic_漏洞攻击成功


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-03-14 09:58:59
名称: attack_rule.1.0.0.1.1049470.dat 版本:1.0.0.1.1049470
MD5:5a1d6e386c67ef452ca81841db8f1f99 大小:25.42M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.648及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1049470,规则总条数为628 条。

【变更内容】
1、新增5条规则:
490371 pingtunnel工具隧道通信
490372 检测到使用ngrok工具建立隧道
490373 Webmin远程代码执行漏洞利用内部事件
490374 Webmin远程代码执行漏洞利用后反弹shell
490375 检测到远程控制软件向日葵命令执行漏洞攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-02-28 14:03:31
名称: attack_rule.1.0.0.1.1049315.dat 版本:1.0.0.1.1049315
MD5:21983f95929d25e13c9fa72fe495c7ed 大小:25.39M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.648及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1049315,规则总条数为623 条。

【变更内容】
1、新增3条规则:
490369 内网扫描工具Perun使用
490368 Gitlab服务器端请求伪造(SSRF)漏洞攻击后连接dnslog
490370 Jenkins CLI-RMI反序列化远程代码执行漏洞


2、修改1条规则:
490185 安全设备被绕过或横向移动行为


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-02-14 10:04:53
名称: attack_rule.1.0.0.1.1049259.dat 版本:1.0.0.1.1049259
MD5:3f5208447904c289807bb0f8a7296c83 大小:25.38M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.648及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1049259,规则总条数为620 条。

【变更内容】
1、新增7条规则:
491075 UEditor编辑器任意文件上传漏洞
490362 Apache HTTP Server 路径穿越漏洞
490363 GoAhead Server 环境变量注入漏洞
490364 Apache Solr SSRF漏洞利用后连接dnslog
490366 xstream漏洞攻击内部事件
490367 XStream反序列化漏洞利用后反弹shell
490365 shiro721反序列化漏洞攻击


2、修改4条规则:
490254 WebSphere漏洞攻击利用后反弹shell
490167 Drupal远程执行漏洞攻击利用后下载木马
490236 JBoss反序列化漏洞攻击后下载木马
495003 客户端从网站资产下载敏感文件



注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-01-24 11:08:43
名称: attack_rule.1.0.0.1.1049055.dat 版本:1.0.0.1.1049055
MD5:d989a1f3b351846c37db1c173e7dfdd1 大小:25.21M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.393及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1049055,规则总条数为613 条。

【变更内容】
1、新增7条规则:
490355 内网隧道工具Neo-reGeorg连接
490356 发现使用frp代理工具
490357 Apache SkyWalking SQL注入漏洞
490358 Apache Unomi 远程代码执行漏洞利用后连接dnslog
490359 Apache Unomi 远程代码执行漏洞内部事件
490360 Apache Unomi 远程代码执行漏洞利用后反弹shell
490361 Jetty信息泄漏漏洞

2、修改4条规则:
490325 Jackson-databind漏洞攻击内部事件
490342 Apache Log4j2远程代码执行漏洞攻击后使用curl或wget下载文件
490343 Apache Log4j2 远程代码执行漏洞攻击利用
495002 数据库服务执行高危的数据删除操作


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-01-10 13:02:18
名称: attack_rule.1.0.0.1.1048839.dat 版本:1.0.0.1.1048839
MD5:2986eff58b7b9ec1febf72601bdddab8 大小:25.18M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.7.48630及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1048839,规则总条数为606 条。

【变更内容】
1、新增8条规则:
490347 哥斯拉Godzilla Webshell脚本上传
490348 哥斯拉Godzilla Webshell连接
490349 发现内网渗透工具Termite通信行为
490350 检测到sockscap64代理工具连通性测试行为
490351 发现CobaltStrike渗透攻击工具远程命令通信
490352 Lanproxy 任意文件读取漏洞
490353 Node-RED-Dashboard任意文件读取漏洞
490354 ntopng权限绕过漏洞

2、修改3条规则:
490322 GitLab远程命令执行漏洞
490288 检测到黑客工具Burp Suite通信活动
490272 发现Cobalt Strike渗透攻击工具Beacon通信行为


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-12-31 16:20:06
名称: attack_rule.1.0.0.1.1048748.dat 版本:1.0.0.1.1048748
MD5:23d35ac400f0663ac22c77c75d3ed1ae 大小:25.14M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.7.48630及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1048748,规则总条数为598 条。

【变更内容】
1、新增6条规则:
490341 Apache Log4j2远程代码执行漏洞攻击并反弹shell
490342 Apache Log4j2远程代码执行漏洞攻击后使用curl或wget下载文件
490343 Apache Log4j2 远程代码执行漏洞攻击利用
490344 Grafana未授权任意文件读取漏洞
490345 Apache ShenYu Admin身份验证绕过漏洞
490346 phpMyAdmin写入Webshell并访问

2、修改1条规则:
490340 Apache Log4j2 远程代码执行漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-12-20 10:19:43
名称: attack_rule.1.0.0.1.1048648.dat 版本:1.0.0.1.1048648
MD5:fac63a395ef222d22bfd0716d5c9baa0 大小:25.09M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.7.48265及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1048648,规则总条数为592 条。

【变更内容】
1、新增9条规则:
490340 Apache Log4j2 远程代码执行漏洞
490332 泛微云桥任意文件读取漏洞
490333检测到sockscap64代理工具启动
490334 Apache Druid漏洞攻击内部事件
490335 Apache Druid漏洞利用成功后连接dnglog
490336 Apache Druid远程代码执行漏洞利用成功后反弹shell
490337 Apache Druid 任意文件读取漏洞攻击
490338 Metabase 任意文件读取漏洞攻击
490339 利用泛微云桥任意文件读取漏洞访问敏感文件


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-12-10 09:59:52
名称: attack_rule.1.0.0.1.1048459.dat 版本:1.0.0.1.1048459
MD5:347e5d0ae8d80639bd937f207de338cc 大小:25.05M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.48265及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1048459,规则总条数为583 条。

【变更内容】
1、新增4条规则:
490330 WordPress 5.0.0 - Image远程代码执行漏洞
490331 Exchange_ssrf命令执行
491073 针对Oracle数据库的SQL注入攻击成功
491074 针对MSSQL的盲注类SQL注入攻击成功

2、修改11条规则:
490122 Redis未授权访问漏洞利用成功后ssh尝试
490137 Webshell、木马等后门程序上传,并访问行为
490162 Apache Jetspeed用户管理REST API未授权访问成功
490205 针对WebLogic的漏洞攻击行为
490226 远程代码执行漏洞攻击
490241 泛微e-cology或用友NC OA系统BeanShell组件未授权访问后远程代码执行
490242 Docker Remote API未授权漏洞成功后ssh登录
490280 DNSLog平台访问事件
490285 账号口令暴力破解行为
490325 Jackson-databind漏洞攻击内部事件
491072 针对MSSQL数据库的SQL注入攻击成功


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-12-06 11:11:10
名称: attack_rule.1.0.0.1.1048012.dat 版本:1.0.0.1.1048012
MD5:7542848e976c47257c89f20128391860 大小:25.00M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.47582及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1048012,规则总条数为579 条。

【变更内容】
1、新增9条规则:
491071 针对PG数据库的SQL注入攻击成功
491072 针对MSSQL数据库的SQL注入攻击成功
490323 MySQL注入点写入WebShell
490324 Apache Shiro反序列化漏洞攻击成功后反弹shell
490325 Jackson-databind漏洞攻击内部事件
490326 Jackson-databind远程代码执行漏洞利用成功后连接dnslog
490327 Jackson-databind远程代码执行漏洞利用成功反弹shell
490328 DNS协议隧道工具dnscat连接通信成功
490329 Tomcat重定向漏洞攻击

2、修改5条规则:
490305 SQL注入疑似成功后进行网页登陆行为
490106 任意文件上传攻击成功
490129 针对SSH的暴力破解成功
490201 针对SMB服务的暴力破解
490308 Tomcat后台部署war木马getshell


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-11-22 09:58:45
名称: attack_rule.1.0.0.1.1047484.dat 版本:1.0.0.1.1047484
MD5:cef15d5bcbbe4412f1c0e777647bdbe7 大小:24.95M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.47170及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1047484,规则总条数为570 条。

【变更内容】
1、新增7条规则:
490318 通达OA前台任意用户登录漏洞利用成功
490319 反序列化漏洞攻击
490320 针对Redis未授权访问远程获得服务器权限漏洞的攻击行为
490321 MYSQL爆破成功后写入Webshell
490322 GitLab远程命令执行漏洞
491070 针对MySQL数据库的SQL注入攻击成功
492050 检测到Pinkbot僵尸网络攻击

2、修改2条规则:
490207 ThinkPHP_漏洞攻击成功
490283 针对RDP的暴力破解



注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-11-08 16:31:05
名称: attack_rule.1.0.0.1.1047025.dat 版本:1.0.0.1.1047025
MD5:2fcd34e3f1d6a4b2326782290a1f9fad 大小:24.90M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.46875及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1047025,规则总条数为563 条。

【变更内容】
1、新增5条规则:
490314 phpmyadmin弱口令认证成功
490315 SMTP弱口令认证成功
490316 tomcat弱口令认证成功
490317 ActiveMQ弱口令认证成功
491069 检测到疑似冰蝎3连接

2、修改8条规则:
490102 HTTPBasic_弱口令认证成功
490104 WebLogic_弱口令认证成功
490233 HTTPBasic弱口令登录成功后进行攻击活动
490241 泛微e-cology或用友NC OA系统BeanShell组件未授权访问后远程代码执行
490311 Web漏洞利用成功后反弹shell
493037 ML算法检测当前运行进程中存在恶意伪装进程
495001 数据库服务被执行Dump操作
495002 数据库服务执行高危的数据删除操作


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-10-29 09:29:17
名称: attack_rule.1.0.0.1.1046686.dat 版本:1.0.0.1.1046686
MD5:2f9a1a6b3f7e8c4b915f6b6bdb0bb116 大小:24.87M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.46158及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1046686,规则总条数为558条。

【变更内容】
1、新增6条规则:
490308 tomcat后台部署war木马getshell
490309 phpMyAdmin跨站请求伪造漏洞
490310 WebLogic漏洞利用上传webshell并访问成功
490311 Web漏洞利用成功后反弹shell
490312 Weblogic UniversalExtractor反序列化漏洞利用执行命令成功
490313 Jboss反序列化漏洞利用后连接dnslog

2、修改5条规则:
490205 WebLogic_漏洞攻击成功
490296 检测到WebLogic漏洞攻击成功后进行dnslog连接
491008 Web插件漏洞攻击行为
491040 5min内WAF检测到大量攻击告警
495002 数据库服务执行高危的数据删除操作


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-10-11 09:09:50
名称: attack_rule.1.0.0.1.1046414.dat 版本:1.0.0.1.1046414
MD5:3bf7b7cdda74c4accb264416b7fa9972 大小:24.84M
描述:


【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.46158及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1046414,规则总条数为552条。

【变更内容】
1、新增1条规则:
493068 检测到微软MSHTML漏洞攻击(CVE-2021-40444)

2、修改5条规则:
490090 Tomcat_漏洞攻击成功
491003 WebSQL注入
497002 异常终端频繁开关机
497012 异常终端频繁发起网络接入或断开的用户
497017 信令攻击HTTP2请求URL超长


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-09-30 13:32:11
名称: attack_rule.1.0.0.1.1045785.dat 版本:1.0.0.1.1045785
MD5:b8155ebaa749d370b5c70f2493db8084 大小:24.83M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.45486及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1045785,规则总条数为551条。

【变更内容】
1、新增2条规则:
490307 泛微OA BeanShell组件命令执行写入webshell后连接
491068 http请求访问敏感配置文件成功

2、修改2条规则:
490004 攻击者在尝试SQL注入
490301 行为分析通用


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-09-15 10:01:17
名称: attack_rule.1.0.0.1.1045126.dat 版本:1.0.0.1.1045126
MD5:d109427304071482bdd0d1ccd240507e 大小:24.80M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.44674及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1045126,规则总条数为549条。

【变更内容】
1、新增1条规则:
490306 可疑webshell脚本上传成功

2、修改2条规则:
490074 安全设备发现Webshell告警,并且请求成功
490151 ThinkPHP远程代码执行漏洞攻击成功后下载木马


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-08-30 11:46:07
名称: attack_rule.1.0.0.1.1044412.dat 版本:1.0.0.1.1044412
MD5:3056b981ed013d7a05526ab2318e5c42 大小:24.80M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.44092及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1044412,规则总条数为548条。

【变更内容】
1、新增11条规则:
490302 内网资产FRP外连通信后发起攻击
490305 SQL注入疑似成功后进行网页登陆行为
497009 信令风暴大量注册或注销请求
497010 信令风暴大量服务请求
497011 信令风暴大量PDU建立请求
497012 异常终端频繁发起网络接入或断开的用户
497013 异常终端频繁发起连接服务的用户
497014 异常终端频繁发起PDU建立连接的用户
497015 异常终端终端频繁切换网络的用户
497016 异常终端信令交互量过大
497017 信令攻击HTTP2请求URL超长

2、修改11条规则:
490098 phpMyAdmin_漏洞攻击成功
490203 WebLogic_漏洞攻击
490205 WebLogic_漏洞攻击成功
495018 操作被防泄漏设备阻断
497001 UE多次鉴权失败
497002 异常终端频繁开关机
497003 UE疑似大量发送短信
497004 信令风暴
497006 非法请求网元API
497007 通过AUSF网元API获取SUPI信息
497008 信令攻击网元大量DELETE请求

注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-08-16 10:34:20
名称: attack_rule.1.0.0.1.1043823.dat 版本:1.0.0.1.1043823
MD5:32829cbff245271961f84252af031b32 大小:24.57M
描述:

【升级说明】

1、本升级包为攻击识别升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。

2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。

3、依赖的解析规则版本为3.0.7.43295及以上。

4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1043823,规则总条数为537条。



【变更内容】

1、新增1条规则:
495122 终端DLP行为分析通用


注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。

2.选择攻击识别规则包,上传升级包。

3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。

4.若攻击识别引擎版本为V3.0R01F03,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。

5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。



若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-08-02 13:28:17
名称: attack_rule.1.0.0.1.1043090.dat 版本:1.0.0.1.1043090
MD5:29aa26fe5947717a434e7fe917e28697 大小:24.65M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F02SP02及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP02及以上,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.42090及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1043090,规则总条数为510条。

【变更内容】
1、新增1条规则:
490302 内网资产FRP外连通信后发起攻击

2、修改2条规则:
490233 HTTPBasic弱口令登录成功后进行攻击活动
490205 WebLogic_漏洞攻击成功

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F02SP02及以上,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。


发布时间:2021-08-02 13:27:34
名称: attack_rule.1.0.0.1.1041940.dat 版本:1.0.0.1.1041940
MD5:1fd7ce8b92e1b0f181d112c19884d1d6 大小:27.29M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01及以上,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.40958及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1041940,规则总条数为509条。


【变更内容】
1、新增3条规则:
497006 非法请求网元API
497007 通过AUSF网元API获取SUPI信息
497008 信令攻击网元大量DELETE请求

2、修改7条规则:
490019 针对FTP服务的暴力破解成功
490078 Struts2_漏洞攻击成功
490100 Jenkins_漏洞攻击成功
490122 Redis未授权访问漏洞利用成功后ssh尝试
490184 WebLogic任意文件上传漏洞利用成功后上传Webshell并访问
490201 针对SMB服务的暴力破解成功
491043 LDAP协议暴力破解



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F02SP01及以上,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-07-05 11:59:01
名称: attack_rule.1.0.0.1.1041225.dat 版本:1.0.0.1.1041225
MD5:3c913b8c267a4ca5b314acf2b8256571 大小:24.10M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01及以上,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.40958及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1041225,规则总条数为506条。如果引擎版本为V3.0R01F01,则升级后规则总条数为504条。


【变更内容】
1、修改4条规则:
490080 Spring_漏洞攻击成功
490092 Drupal_漏洞攻击成功
490100 针对持续集成工具Jenkins的漏洞攻击
491056 http请求访问敏感配置文件






注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-06-21 11:22:08
名称: attack_rule.1.0.0.1.1040669.dat 版本:1.0.0.1.1040669
MD5:3fd4bba6736138dba9aebfea0e612b05 大小:24.07M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01及以上,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.40379及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1040669,规则总条数为506条。如果引擎版本为V3.0R01F01,则升级后规则总条数为504条。


【变更内容】
1、修改7条规则:
490053 检测到远控通信活动
490088 IIS_漏洞攻击成功
490127 针对邮件服务器的暴力破解成功
490128 针对数据库服务的暴力破解成功
490130 针对MySql的暴力破解成功
490131 账号口令暴力破解行为
491043 利用LDAP协议登录认证暴力破解成功







注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-06-11 10:22:02
名称: attack_rule.1.0.0.1.1039736.dat 版本:1.0.0.1.1039736
MD5:a23e8769c28f3b9becf34688fb2340b4 大小:23.62M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.38911及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1039736,规则总条数为506条。如果引擎版本为V3.0R01F01,则升级后规则总条数为504条。


【变更内容】
1、修改3条规则:
490102 HTTPBasic_弱口令认证成功
490104 WebLogic_弱口令认证成功
490161 phpmyadmin弱口令认证





注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-05-28 09:41:59
名称: attack_rule.1.0.0.1.1039462.dat 版本:1.0.0.1.1039462
MD5:0fea50d83c7d4efaab7c7d5e53db5fb6 大小:23.51M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.37682及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1039462,规则总条数为506条。如果引擎版本为V3.0R01F01,则升级后规则总条数为504条。


【变更内容】
1、新增1条规则:
493065 检测到ExifTool组件代码执行漏洞攻击

1、修改4条规则:
490181 主机被植入恶意挖矿程序
490255 Zabbix jsrpc.php SQL 注入漏洞利用成功
490272 发现Cobalt Strike渗透攻击工具Beacon HTTP通信
492045 暗云木马通信




注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-05-18 07:19:03
名称: attack_rule.1.0.0.1.1038349.dat 版本:1.0.0.1.1038349.dat
MD5:d3ab3eb04bd4c23496c23fed51d9a7bc 大小:23.07M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.37682及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1038349.dat,规则总条数为505条。如果引擎版本为V3.0R01F01,则升级后规则总条数为503条。


【变更内容】
1、修改3条规则:
490134 ML算法检测web访问请求中存在Webshell,并请求成功
490220 高危端口访问异常
490285 针对网段轮询类暴力破解




注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-05-10 09:47:23
名称: attack_rule.1.0.0.1.1037656.dat 版本:1.0.0.1.1037656
MD5:12d5b54e685d6a7a51e6fea77923d494 大小:21.40M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.37064及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1037656.dat,规则总条数为505条。如果引擎版本为V3.0R01F01,则升级后规则总条数为503条。


【变更内容】
1、修改3条规则:
490280 DNSLog平台访问事件
491038 使用弱密码成功登录内网站点
493058 检测到wannamine挖矿进程活动行为




注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-04-19 12:11:17
名称: attack_rule.1.0.0.1.1037350.dat 版本:1.0.0.1.1037350
MD5:a1a2da9d96dce80dd6c3b6c4267e2056 大小:22.46M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.37064及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1037350.dat,规则总条数为505条。如果引擎版本为V3.0R01F01,则升级后规则总条数为503条。


【变更内容】
1、新增1条规则:
491067 Webshell上传连接活动


2、修改2条规则:
490209 phpMyAdmin远程代码执行漏洞攻击载荷提取内部事件
490210 phpMyAdmin远程代码执行漏洞攻击成功后下载木马




注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-04-09 18:29:45
名称: attack_rule.1.0.0.1.1036887.dat 版本:1.0.0.1.1036887
MD5:476c0c1c07dd8a735869f93cd316826a 大小:22.41M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.35676及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1036887.dat,规则总条数为504条。新增Apache Shiro 1.2.4反序列化漏洞攻击、可疑的Apache Shiro 1.2.4反序列化漏洞攻击场景依赖引擎V3.0R01F02SP01,如果引擎版本为V3.0R01F01,则升级后规则总条数为502条。


【变更内容】
1、新增4条规则:
490296 检测到WebLogic漏洞攻击成功后进行dnslog连接
490298 检测到Netlogon特权提升漏洞扫描行为
490299 Apache Shiro 1.2.4反序列化漏洞攻击
490300 可疑的Apache Shiro 1.2.4反序列化漏洞攻击



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-04-07 09:57:19
名称: attack_rule.1.0.0.1.1035609.dat 版本:1.0.0.1.1035609
MD5:5a1c3905ff960f27b8ba6cd801ce6316 大小:20.76M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.34525及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1035609.dat,规则总条数为500条。


【变更内容】
1、新增5条规则:
490292 检测到利用Fastjson漏洞加载base64编码的Java序列化内容
490293 检测到Fastjson漏洞攻击成功后进行dnslog连接
490294 WebLogic漏洞攻击提取内部事件
490295 WebLogic漏洞攻击攻击成功后反弹shell
490297 检测到Weblogic权限绕过漏洞利用成功后访问管理员后台

2、修改23条规则:
490096 Nodejs_漏洞攻击成功
490098 phpMyAdmin_漏洞攻击成功
490100 Jenkins_漏洞攻击成功
490106 任意文件上传攻击成功
490199 内网隧道工具reGeorg连接成功
490200 针对SMTP服务的暴力破解成功
490201 针对SMB服务的暴力破解成功
490202 SMTP用户枚举成功
490205 WebLogic_漏洞攻击成功
490207 ThinkPHP_漏洞攻击成功
490232 Linux反弹shell成功
490245 Fastjson漏洞攻击提取内部事件
490251 PhpStudy后门远程代码执行漏洞攻击成功
490247 Fastjson漏洞攻击攻击成功后反弹shell
490248 Tunna工具连接成功
490274 联软NAC任意文件上传漏洞攻击内部事件
490275 联软NAC任意文件上传漏洞攻击成功
490276 JBOSS_漏洞攻击成功
490278 AppWeb认证绕过漏洞(CVE-2018-8715)攻击
491025 致远OA_漏洞攻击
491043 利用LDAP协议登录认证暴力破解成功
491062 基于请求中的命令和响应内容检测远程代码执行成功
495020 同一地址在短时间内被下载大量敏感数据成功

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-03-23 16:33:33
名称: attack_rule.1.0.0.1.1034330.dat 版本:1.0.0.1.1034330
MD5:1795bbda8f0a076e1b94062c7ad1a4a3 大小:20.74M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02SP01(28516)和攻击识别引擎V3.0R01F01及以上版本升级。
2、若攻击识别引擎版本为V3.0R01F02SP01,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.28686及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1034330,规则总条数为495条。


【变更内容】
1、新增14条规则:
492047 检测到疑似APT32的恶意样本传输
492049 检测到疑似APT32的CC通信行为
493058 检测到wannamine挖矿进程活动行为
493059 检测到Linux主机利用file命令探测文件类型
493060 检测Windows系统利用net命令探测文件共享信息信息
493061 检测到Svchost目录下注册表新增
493062 检测到Windows系统上利用certutil命令探测文件类型
493063 检测Windows系统利用systeminfo命令探测系统信息并写入文件
493064 检测Windows系统利用netstat命令探测网络连接信息并写入文件
496001 UE多次鉴权失败
496002 UE频繁注册与去注册
496003 UE疑似大量发送短信
496004 信令风暴
496005 5G行为分析

2、修改43条规则:
490019 针对FTP服务的暴力破解成功
490022 SMB_永恒之蓝利用成功
490072 SQL注入成功
490073 SQL注入失败
490074 webshell成功
490075 webshell失败
490076 目录遍历攻击成功
490077 目录遍历攻击失败
490078 STRUTS2_漏洞攻击成功
490079 STRUTS2_漏洞攻击失败
490080 SPRING_漏洞攻击成功
490081 SPRING_漏洞攻击失败
490082 APACHE_HTTP_SERVER_漏洞攻击成功
490083 APACHE_HTTP_SERVER_漏洞攻击失败
490084 LIGHT_HTTP_漏洞攻击成功
490086 NGINX_漏洞攻击成功
490088 IIS_漏洞攻击成功
490089 IIS_漏洞攻击失败
490090 TOMCAT_漏洞攻击成功
490091 TOMCAT_漏洞攻击失败
490092 DRUPAL_漏洞攻击成功
490093 DRUPAL_漏洞攻击失败
490094 YARN_漏洞攻击成功
490095 YARN_漏洞攻击失败
490099 PHPMYADMIN_漏洞攻击失败
490107 任意文件上传攻击失败
490206 WEBLOGIC_漏洞攻击失败
490229 SaltStack漏洞攻击失败
490281 检测到冰蝎3.0恶意活动内部事件
490289 攻击者进行xp_cmdshell漏洞攻击随后建立隐蔽隧道内部事件
490290 检测到攻击者进行xp_cmdshell漏洞攻击随后建立隐蔽隧道
490291 检测到攻击者进行xp_cmdshell漏洞攻击并建立隐蔽隧道通信后进行端口扫描行为
491042 VNC远程登录工具暴力破解
493012 检测到端口复用后门
493013 检测到用户权限变动
493045 检测到windows中运行黑客工具Burp Suite
493050 检测到windows中查看域管理器信息行为
493051 检测到windows中rundll32进程注入行为
493053 检测Windows系统利用systeminfo命令探测系统信息
493054 检测Windows系统利用netstat命令探测网络连接信息
493055 检测Windows系统利用net命令探测本地用户组信息
493056 检测Windows系统利用net命令探测域控用户相关信息
493057 检测Windows系统利用net命令探测系统已开启服务列表信息

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-03-12 11:27:35
名称: attack_rule.1.0.0.1.1032994.dat 版本:1.0.0.1.1032994
MD5:597f84b748c17218fda19e3565970d54 大小:20.70M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02SP01(28516)和ISOP V3.0R01F02(29771)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1032994,规则总条数为481条。

【变更内容】
1、新增8条规则:
493050 检测到windows中查看域管理器信息行为
493051 检测到windows中rundll32进程注入行为
493052 检测到自启动目录RUN下注册表访问
493053 检测Windows系统利用systeminfo命令探测系统信息
493054 检测Windows系统利用netstat命令探测网络连接信息
493055 检测Windows系统利用net命令探测系统服务列表信息
493056 检测Windows系统利用net命令探测域控用户相关信息
493057 检测Windows系统利用net命令探测系统已开启服务列表信息

2、修改6条规则:
490074 安全设备发现Webshell告警,并且请求成功
490078 Struts2_漏洞攻击成功
490249 帆软FineReport漏洞攻击提取内部事件
492040 疑似Conficker蠕虫活动
493009 检测到主机上利用系统命令创建计划任务行为
493037 ML算法检测当前运行进程中存在恶意伪装进程

注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-02-22 10:30:43
名称: attack_rule.1.0.0.1.1032292.dat 版本:1.0.0.1.1032292
MD5:cff95ccc69d8f20c813558c06e6bb8a1 大小:20.68M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02SP01(28516)和ISOP V3.0R01F02(29771)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1032292,规则总条数为473条。

【变更内容】
1、新增8条规则:
491066 xp_cmdshell执行命令内部事件
490289 攻击者进行xp_cmdshell漏洞攻击随后建立隐蔽隧道内部事件
490290 检测到攻击者进行xp_cmdshell漏洞攻击随后建立隐蔽隧道
490291 检测到攻击者进行xp_cmdshell漏洞攻击并建立隐蔽隧道通信后进行端口扫描行为
493046 检测到Windows系统中安全日志被清空
493047 检测到Windows系统中日志服务被关闭
493048 检测到Windows系统中新增系统服务
493049 检测到Windows系统中新增计划任务

2、修改7条规则:
490090 Tomcat_漏洞攻击成功
490181 主机被植入恶意挖矿程序
490197 SMTP用户枚举
490199 内网隧道工具reGeorg连接成功
490202 SMTP用户枚举成功
490283 针对RDP的暴力破解
490284 针对SMB的暴力破解

注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-01-18 09:59:12
名称: attack_rule.1.0.0.1.1032075.dat 版本:1.0.0.1.1032075
MD5:259f47454a10522a3394b066ef3b2308 大小:20.67M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02SP01(28516)和ISOP V3.0R01F02(29771)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1032075,规则总条数为465条。

【变更内容】
1、新增6条规则:
490283 针对RDP的暴力破解
490284 针对SMB的暴力破解
490285 针对网段轮询类暴力破解
490286 SMB远程代码执行漏洞攻击载荷提取内部事件
490287 SMB远程代码执行漏洞攻击反弹shell
490288 检测到黑客工具Burp Suite通信活动

2、修改64条规则:
490004 SQL注入
490016 目录遍历攻击
490021 Spring_漏洞攻击
490053 检测到远控通信活动
490068 任意文件上传攻击
490074 安全设备发现Webshell告警,并且请求成功
490080 Spring_漏洞攻击成功
490090 Tomcat_漏洞攻击成功
490094 Yarn_漏洞攻击成功
490095 Yarn_漏洞攻击失败
490106 任意文件上传攻击成功
490107 任意文件上传攻击失败
490134 ML算法检测web访问请求中存在Webshell,并请求成功
490137 Webshell、木马等后门程序上传,并访问行为
490144 Struts2漏洞攻击载荷提取内部事件
490147 Yarn_漏洞攻击载荷提取内部事件
490150 ThinkPHP远程代码执行漏洞攻击载荷提取内部事件
490153 WordPress远程代码执行漏洞攻击载荷提取内部事件
490156 Bash远程代码执行漏洞攻击载荷提取内部事件
490159 Redis未授权漏洞攻击载荷提取内部事件
490163 WebLogic WLS组件漏洞载荷提取内部事件
490168 Drupal漏洞攻击载荷提取内部事件
490171 Spring漏洞攻击载荷提取内部事件
490174 Elasticsearch漏洞攻击载荷提取内部事件
490176 利用Netcore后门下载恶意程序
490178 XSS跨站脚本攻击窃取网站账号
490180 可信目录遍历攻击
490186 Flink_漏洞攻击载荷提取内部事件
490190 ImageMagick远程命令执行漏洞攻击载荷提取内部事件
490193 Apache Solr远程代码执行漏洞攻击载荷提取内部事件
490197 SMTP用户枚举
490201 针对SMB服务的暴力破解成功
490202 SMTP用户枚举成功
490205 WebLogic_漏洞攻击成功
490207 ThinkPHP_漏洞攻击成功
490209 phpMyAdmin远程代码执行漏洞攻击载荷提取内部事件
490212 PHP-CGI远程代码执行漏洞攻击载荷提取内部事件
490216 Joomla远程代码执行漏洞攻击载荷提取内部事件
490234 JBoss反序列化漏洞提取内部事件
490238 Confluence远程代码执行漏洞提取内部事件
490241 泛微e-cology OA系统BeanShell组件未授权访问后远程代码执行
490243 RDP爆破成功后远程桌面登录
490245 Fastjson漏洞攻击提取内部事件
490249 帆软FineReport漏洞攻击提取内部事件
490251 PhpStudy后门远程代码执行漏洞攻击成功
490252 WebSphere漏洞提取内部事件
490260 JAVA RMI反序列化漏洞攻击载荷提取内部事件
490263 Tomcat文件上传漏洞攻击提取内部事件
490265 利用Drupal远程代码执行漏洞下载Webshell并访问
490268 利用DedeCMS远程代码执行漏洞读取敏感配置文件
490269 利用DedeCMS远程代码执行漏洞读取系统信息
490270 DedeCMS远程代码执行漏洞利用内部事件
490274 联软NAC任意文件上传漏洞攻击内部事件
491045 Jenkins远程代码执行漏洞攻击载荷提取内部事件
491050 MSSQL数据库xp_cmdshell执行命令内部事件
491055 利用Jenkins远程代码执行漏洞读取敏感配置文件
491056 http请求访问敏感配置文件
491058 利用xp_cmdshell远程命令执行查看系统信息
491059 利用Jenkins远程代码执行漏洞查看系统信息
493030 检测到远程控制工具进程活动
493038 检测到linux主机清除历史命令
493045 检测到windows中运行黑客工具Burp Suite
495001 数据库服务被执行Dump操作
495002 数据库服务执行高危的数据删除操作

3、删除1条规则:
493031 检测到向日葵连接活动

注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-01-12 16:38:25
名称: attack_rule.1.0.0.1.1031346.dat 版本:1.0.0.1.1031346
MD5:8d2f1d9a9f864f5fdbfaeab5e4b38b90 大小:20.66M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02SP01(28516)和ISOP V3.0R01F02(29771)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1031346,规则总条数为460条。

【变更内容】
1、新增2条规则:
490281 检测到冰蝎3.0恶意活动内部事件
490282 检测到冰蝎3.0恶意活动

2、修改54条规则:
490005 木马
490008 蠕虫
490009 僵尸网络
490010 勒索软件
490012 隐蔽信道通信
490014 广告软件通信
490015 钓鱼攻击
490053 TeamViewer_通信
490063 代理_通信
490066 SATAN.LUCKY病毒通信
490126 DNS隐蔽信道
490181 主机被植入恶意挖矿程序
490198 内网隧道工具reGeorg连接
490268 利用DedeCMS远程代码执行漏洞读取敏感配置文件
490279 DNS子域名爆破
491058 利用xp_cmdshell远程命令执行查看系统信息
492001 老裁缝病毒
492002 Xmrig挖矿通信
492038 挖矿程序Kworkerds下载恶意文件
492039 APT索伦之眼攻击
492040 疑似Conficker蠕虫活动
492044 WannaRen勒索病毒活动
493005 检测Windows系统利用tree命令探测目录和文件信息行为
493006 检测Windows系统利用net命令探测系统服务信息行为
493007 检测windows系统利用net命令探测系统时间信息行为
493008 检测Windows系统利用net命令创建用户组行为
493009 检测到主机上利用系统命令创建计划任务行为
493010 检测到清除主机日志行为
493012 检测到端口复用后门
493014 检测到office宏调用cmd/powershell命令
493016 检测到windows系统中dump lsass进程内存的行为
493017 检测到windows系统中利用tasklist命令探测运行进程信息行为
493018 检测到windows系统利用cacls命令修改目录或文件访问控制权限行为
493019 检测到windows中探测系统网络共享行为
493020 检测到windows中探测主机防火墙信息行为
493021 检测到windows中删除系统卷影或备份行为
493029 windows下利用mstsc远程登录成功
493030 检测到teamviewer远程连接活动
493031 检测到向日葵连接活动
493032 windows下Psexec远程命令执行
493037 ML算法检测当前运行进程中存在恶意伪装进程
493038 检测到linux主机清除历史命令
493039 检测到linux中利用screen命令保存会话
493040 检测到linux中使用nc的会话连接
493041 检测到Windows中新增注册表活动
493042 检测到Windows中使用echo命令读取注册表行为
493043 检测到windows下TortoiseSVN文件在短时间内被大量下载
493044 检测到LCX端口转发工具活动
493045 检测到黑客工具burp运行
495008 文件或内容中含有手机号码
495009 文件或内容中含有邮箱地址
495011 文件或内容中含有居民身份证ID
495012 文件或内容中含有电话号码
495013 异常时段操作



注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持

发布时间:2020-12-21 10:44:39
名称: attack_rule.1.0.0.1.1030956.dat 版本:1.0.0.1.1030956
MD5:a8ac288bf7e53e2073775a7d6f7586ec 大小:20.64M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02(27144)和ISOPV3.0R01F01SP02(27673)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1030956,规则总条数为458条。

【变更内容】
1、新增7条规则:
493042 检测到Windows中使用echo命令读取注册表行为
493044 检测到LCX端口转发工具活动
490278 AppWeb认证绕过漏洞(CVE-2018-8715)攻击
493043 检测到windows下TortoiseSVN文件在短时间内被大量下载
493045 检测到windows中运行黑客工具Burp Suite
490288 DNS子域名爆破
490289 DNSLog平台访问事件

2、修改3条规则:
491049 Jenkins远程代码执行漏洞利用成功后下载恶意文件
493012 检测到端口复用后门
493024 检测到windows WScript 或 CScript 脚本执行


注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-12-07 11:41:07
名称: attack_rule.1.0.0.1.1030480.dat 版本:1.0.0.1.1030480
MD5:e3560ef8a212a792cedb053514bbfff5 大小:20.63M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02(27144)和ISOPV3.0R01F01SP02(27673)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1030480,规则总条数为451条。

【变更内容】
1、新增5条规则:
493037 ML算法检测当前运行进程中存在恶意伪装进程
493038 检测到linux主机清除历史命令
493039 检测到利用screen命令保存会话
493040 检测到linux中使用nc的会话连接
493041 检测到Windows中新增注册表活动


2、修改4条规则:
490019 针对FTP服务的暴力破解成功
490136 Tomcat弱口令爆破
490138 Tomcat弱口令爆破成功后上传Webshell并访问
495006 FTP服务账号被爆破后导致数据被下载


注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-11-23 03:22:51
名称: attack_rule.1.0.0.1.1030161.dat 版本:1.0.0.1.1030161
MD5:6710ed36d401391565f3f9ba74a6a7c8 大小:15.64M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02(27144)和ISOPV3.0R01F01SP02(27673)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1030161,规则总条数为446条。

【变更内容】
1、修改4条规则:
490205 WebLogic_漏洞攻击成功
490203 WebLogic_漏洞攻击
490264 Tomcat任意文件上传漏洞getshell
493004 检测Windows系统利用net命令创建用户账户行为


注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-11-09 09:34:27
名称: attack_rule.1.0.0.1.1029968.dat 版本:1.0.0.1.1029968
MD5:e60859bedd19c1414b5cd4d665945f38 大小:15.63M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02(27144)和ISOPV3.0R01F01SP02(27673)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1029968,规则总条数为446条。

【变更内容】
1、新增2条规则:
490276 JBOSS_漏洞攻击成功
490277 JBOSS_漏洞攻击失败


2、修改4条规则:
490076 目录遍历攻击成功
490129 针对SSH的暴力破解成功
491056 http请求访问敏感配置文件
493012 检测到端口复用后门


注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-10-26 11:44:07
名称: attack_rule.1.0.0.1.1029585.dat 版本:1.0.0.1.1029585
MD5:38c7a53cbc4faff2646ae15b7f7f8088 大小:15.63M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02(27144)和ISOPV3.0R01F01SP02(27673)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1029585,规则总条数为444条。

【变更内容】
1、修改2条规则:
490142 远程命令执行漏洞攻击
490207 ThinkPHP_漏洞攻击成功



注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-10-12 10:06:51
名称: attack_rule.1.0.0.1.1029119.dat 版本:1.0.0.1.1029119
MD5:176b13d24e98e10440a703126ff5313b 大小:15.63M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02(27144)和ISOPV3.0R01F01SP02(27673)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1029119,规则总条数为444条。

【变更内容】
1、新增2条规则:
490274 联软NAC任意文件上传漏洞攻击内部事件
490275 联软NAC任意文件上传漏洞攻击成功


2、修改3条规则:
490244 通过操作系统漏洞获取服务器权限
491063 通达OA_尝试攻击成功
491064 通达OA_尝试攻击失败



注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-09-28 10:58:01
名称: attack_rule.1.0.0.1.1028704.dat 版本:1.0.0.1.1028704
MD5:d8055049526e4bde63a39d6230ed50eb 大小:15.62M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02(27144)和ISOPV3.0R01F01SP02(27673)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1028704,规则总条数为442条。

【变更内容】
1、新增1条规则:
490273 联软NAC任意文件上传漏洞攻击


2、修改3条规则:
490233 HTTPBasic弱口令登录成功后进行攻击活动
491065 通达OA_尝试攻击
491057 利用xp_cmdshell远程命令执行读取敏感配置文件




注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-09-17 19:34:06
名称: attack_rule.1.0.0.1.1028243.dat 版本:1.0.0.1.1028243
MD5:36489dde6c1d62aa59b1c7219a6eb344 大小:15.62M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01SP01(26112)平台上升级。
2、依赖的解析规则版本为3.0.7.27883及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1028243,规则总条数为441条。

【变更内容】
1、修改6条规则:
490076 目录遍历攻击成功
490074 安全设备发现Webshell告警,并且请求成功
490207 ThinkPHP_漏洞攻击成功
490231 MsSQL爆破成功后执行系统命令
490221 扫描行为
491056 http请求访问敏感配置文件



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-09-14 10:01:33
名称: attack_rule.1.0.0.1.1027917.dat 版本:1.0.0.1.1027917
MD5:b468fb8eb4c427d128079e384382820a 大小:15.61M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01SP01(26112)平台上升级。
2、依赖的解析规则版本为3.0.7.27883及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1027917,规则总条数为441条。

【变更内容】
1、修改4条规则:
490013 挖矿
490072 SQL注入成功
490205 WebLogic_漏洞攻击成功
490233 HTTPBasic弱口令登录成功后进行攻击活动



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-09-07 09:59:25
名称: attack_rule.1.0.0.1.1027593.dat 版本:1.0.0.1.1027593
MD5:b21757779bba9283a273211208f8fa13 大小:15.61M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01SP01(26112)平台上升级。
2、依赖的解析规则版本为3.0.7.26477及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1027593,规则总条数为441条。

【变更内容】
1、修改2条规则:
490198 内网隧道工具reGeorg连接
491006 数据泄露



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-08-31 09:59:10
名称: attack_rule.1.0.0.1.1027279.dat 版本:1.0.0.1.1027279
MD5:2660ae3f0c445c55c33bf5b824d8bf64 大小:15.61M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01SP01(26112)平台上升级。
2、依赖的解析规则版本为3.0.7.26477及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1027279,规则总条数为441条。

【变更内容】
1、修改2条规则:
495001 数据库服务被执行Dump操作
495002 数据库服务执行高危的数据删除操作



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-08-24 09:57:27
名称: attack_rule.1.0.0.1.1027148.dat 版本:1.0.0.1.1027148
MD5:d9bf1faabedf4312cfe7551fb23a820a 大小:15.61M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01SP01(26112)平台上升级。
2、依赖的解析规则版本为3.0.7.26477及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1027148,规则总条数为441条。

【变更内容】
1、修改3条规则:
491063 通达OA_尝试攻击成功
491064 通达OA_尝试攻击失败
491065 通达OA_尝试攻击



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-08-19 17:55:00
名称: attack_rule.1.0.0.1.1027067.dat 版本:1.0.0.1.1027067
MD5:62e1e436166abea730e527d6a8cb77db 大小:15.61M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01SP01(26112)平台上升级。
2、依赖的解析规则版本为3.0.7.26477及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1027067,规则总条数为441条。

【变更内容】
1、新增3条规则:
491063 通达OA_尝试攻击成功
491064 通达OA_尝试攻击失败
491065 通达OA_尝试攻击



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-08-18 10:56:13
名称: attack_rule.1.0.0.1.1026870.dat 版本:1.0.0.1.1026870
MD5:8eeb5bd27343bd2e080a0ae1c5e89d52 大小:15.60M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01SP01(26112)平台上升级。
2、依赖的解析规则版本为3.0.7.26477及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1026870,规则总条数为438条。

【变更内容】
1、新增2条规则:
490271 SMBv3远程代码执行漏洞尝试攻击
490272 发现Cobalt Strike渗透攻击工具Beacon通信行为


2、修改2条规则:
490039 FTP_漏洞攻击
490068 任意文件上传攻击




注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-08-17 09:54:11
名称: attack_rule.1.0.0.1.1026508.dat 版本:1.0.0.1.1026508
MD5:0f3518f6a93fa7bd052a940a416121a2 大小:15.60M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.25497及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1026508,规则总条数为436条。

【变更内容】
1、新增1条规则:
491062 基于请求中的命令和响应内容检测远程代码执行成功


2、修改7条规则:
490129 针对SSH的暴力破解成功
490144 Struts2漏洞攻击载荷提取内部事件
490226 远程代码执行漏洞攻击
490237 通达OA任意文件上传成功后执行远程命令
490247 Fastjson漏洞攻击攻击成功后反弹shell
491003 WebSQL注入
491056 http请求访问敏感配置文件



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-08-10 10:01:42
名称: attack_rule.1.0.0.1.1026169.dat 版本:1.0.0.1.1026169
MD5:d9a6080da4f71f93298cdae323d5ee3c 大小:15.59M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.25497及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1026169,规则总条数为435条。

【变更内容】
1、修改6条规则:
490090 Tomcat_漏洞攻击成功
490145 Struts2_攻击成功后下载木马
490167 Drupal远程代码执行下载木马
490266 DedeCMS远程代码执行漏洞利用成功后下载恶意文件
491056 http请求访问敏感配置文件
495016 多次认证失败



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-08-03 10:21:10
名称: attack_rule.1.0.0.1.1025600.dat 版本:1.0.0.1.1025600
MD5:06a7a97182e5424e0159825ea6212e72 大小:15.56M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.25497及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1025600,规则总条数为435条。

【变更内容】
1、新增2条规则:
491060 冰蝎Webshell连接成功
491061 检测到蚁剑webshell通信行为

2、修改4条规则:
490243 RDP爆破成功后远程桌面登录
491044 发现Jenkins远程代码执行漏洞利用攻击
491055 利用Jenkins远程代码执行漏洞读取敏感配置文件
491059 利用Jenkins远程代码执行漏洞查看系统信息



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-07-24 20:10:02
名称: attack_rule.1.0.0.1.1025165.dat 版本:1.0.0.1.1025165
MD5:d35ff74578832c846072846c25872361 大小:15.54M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.25121及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1025165,规则总条数为433条。

【变更内容】
1、新增2条规则:
493035 Windows下利用ntdsutil.exe进行Active Directory管理操作
493036 检测Windows系统利用w32tm命令探测系统时间信息行为

2、修改7条规则:
490068 任意文件上传攻击
490106 任意文件上传攻击成功
490107 任意文件上传攻击失败
491056 http请求访问敏感配置文件
491057 利用xp_cmdshell远程命令执行读取敏感文件
491042 VNC远程登录工具暴力破解
491043 利用LDAP协议登录认证暴力破解成功

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-07-24 20:02:51
名称: attack_rule.1.0.0.1.1024660.dat 版本:1.0.0.1.1024660
MD5:3d74f4377fd3201f08d0529efecb5e53 大小:15.53M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01(21314)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.23810及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1024660,规则总条数为431条。

【变更内容】
1、新增6条规则:
493029 windows下利用mstsc远程登录成功
493030 windows下利用TeamViewer远程登录成功
493031 windows下向日葵远程被登录成功
493032 windows下Psexec远程命令执行
493033 检测到windows中利用ipconfig探测主机网络配置信息
493034 wmic远程执行命令

2、修改5条规则:
490004 SQL注入
490190 ImageMagick远程命令执行漏洞攻击载荷提取内部事件
490192 ImageMagick远程命令执行漏洞攻击成功后反弹shell
490200 针对SMTP服务的暴力破解成功
490202 SMTP用户枚举成功


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-07-14 12:25:46
名称: attack_rule.1.0.0.1.1024184.dat 版本:1.0.0.1.1024184
MD5:044a5c5e8bec83ef10c342b8bbdedbf3 大小:15.51M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01(21314)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.23810及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1024184,规则总条数为 425 条。

【变更内容】
1、新增5条规则:
493024 检测到windows WScript 或 CScript 脚本执行
493025 利用whoami探测系统用户和组信息
493026 检测到windows中利用route探测路由表信息
493027 windows中敏感路径下文件创建行为
493028 windows下敏感文件创建行为


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-07-07 11:22:05
名称: attack_rule.1.0.0.1.1023865.dat 版本:1.0.0.1.1023865
MD5:a4ae30502791cbf9a2e367aa506fa483 大小:15.49M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01(21314)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.23810及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1023865,规则总条数为420条。

【变更内容】
1、新增2条规则:
493022 检测到windows中查看arp缓存行为
493023 检测到windows中查看网络配置行为

2、修改2条规则:
493012 检测到端口复用后门
491003 WEBSQL注入



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-06-30 17:24:51
名称: attack_rule.1.0.0.1.1023298.dat 版本:1.0.0.1.1023298
MD5:f7c2a61322917c554e059ec8cfbfd079 大小:15.48M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01(21314)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.22176及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1023298,规则总条数为418条。

【变更内容】
1、新增12条规则:
490265 利用Drupal远程代码执行漏洞下载Webshell并访问
490266 DedeCMS远程代码执行漏洞利用成功后下载恶意文件
490267 利用DedeCMS远程代码执行漏洞利用成功后反弹shell
490268 利用DedeCMS远程代码执行漏洞读取敏感文件
490269 利用DedeCMS远程代码执行漏洞读取系统信息
490270 DedeCMS远程代码执行漏洞利用内部事件
493016 检测到windows系统dump lsass进程内存的行为
493017 检测到windows系统利用tasklist命令探测运行进程信息行为
493018 检测到windows系统利用cacls命令修改目录或文件访问控制权限行为
493019 检测到windows中探测系统网络共享行为
493020 检测到windows中探测主机防火墙信息行为
493021 检测到windows中删除系统卷影或备份行为


2、修改4条规则:
491055 利用Jenkins远程代码执行漏洞读取敏感文件
491057 利用xp_cmdshell远程命令执行读取敏感文件
491058 利用xp_cmdshell远程命令执行查看系统信息
491059 利用Jenkins远程代码执行漏洞查看系统信息



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-06-22 10:18:35
名称: attack_rule.1.0.0.1.1022840.dat 版本:1.0.0.1.1022840
MD5:41a81d19b77ac3800b86e854959b03f3 大小:15.45M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01(21314)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.22176及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1022840,规则总条数为406条。

【变更内容】
1、新增19条规则:
490258 Tomcat文件包含漏洞利用
490259 ActiveMQ弱口令登陆成功后任意文件上传getshell
490260 JAVA RMI反序列化漏洞攻击载荷提取内部事件
490261 JAVA RMI反序列化漏洞攻击成功后反弹shell
490262 phpMyAdmin_弱口令认证暴力破解
490263 Tomcat文件上传漏洞攻击提取内部事件
490264 Tomcat任意文件上传漏洞getshell
491053 Jenkins远程代码执行漏洞攻击载荷加载远程代码内部事件
491054 Jenkins远程代码执行漏洞利用成功调用远程代码
491055 利用Jenkins远程代码执行漏洞读取敏感文件
491056 http请求访问敏感文件
491057 利用xp_cmdshell远程命令执行读取敏感文件
491058 利用xp_cmdshell远程命令执行查看系统信息
491059 利用Jenkins远程代码执行漏洞查看系统信息
493009 检测到主机上利用系统命令创建计划任务行为
493010 检测到清除主机日志行为
493011 检测到新增后门账号并添加Administrators或RDP组
493014 检测到office宏调用cmd/powershell命令
493015 检测到利用系统命令下载文件行为(linux/windows)




注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-06-15 09:36:48
名称: attack_rule.1.0.0.1.1022329.dat 版本:1.0.0.1.1022329
MD5:482444fae8e13049e4b3b3f70314b7dd 大小:15.37M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01(21314)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.22176及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1022329,规则总条数为387条。

【变更内容】
1、新增49条规则:
490231 mssql爆破成功后执行系统命令
490232 Linux反弹shell成功
490233 web应用弱口令登录成功后进行攻击活动
490234 Jboss反序列化漏洞提取内部事件
490235 Jboss反序列化漏洞攻击成功后反弹shell
490236 Jboss反序列化漏洞攻击成功后下载木马
490237 通达OA任意文件上传成功后执行远程命令
490238 confluence远程代码执行漏洞提取内部事件
490239 confluence远程代码执行漏洞攻击成功后反弹shell
490240 confluence远程代码执行漏洞攻击成功后下载木马
490241 泛微e-cology OA系统BeanShell组件未授权访问后远程代码执行
490242 docker remote api未授权漏洞成功后ssh登录
490243 RDP爆破成功后远程桌面登录
490244 通过操作系统漏洞获取服务器权限
490245 Fastjson漏洞攻击提取内部事件
490246 Fastjson漏洞攻击攻击成功后下载木马
490247 Fastjson漏洞攻击攻击成功后反弹shell
490248 tunna工具连接成功
490249 帆软报表FineReport漏洞攻击 提取内部事件
490250 利用FineReport插件管理功能上传webshell并访问
490251 PHPStudy后门远程代码执行漏洞攻击成功
490252 Websphere漏洞提取内部事件
490253 Websphere漏洞攻击成功后下载木马
490254 Websphere漏洞攻击成功后反弹shell
490255 Zabbix jsrpc.php SQL 注入漏洞利用成功
490256 Axis2任意文件读取漏洞利用成功后上传文件]
490257 Mongodb未授权访问漏洞利用
491042 VNC爆破后远程桌面登录
491043 LDAP爆破后远程桌面登录
491044 发现Jenkins远程代码执行漏洞利用攻击
491045 Jenkins远程代码执行漏洞攻击载荷提取内部事件
491046 Jenkins远程代码执行漏洞利用成功后反弹shell
491047 Open_ssl心跳扩展协议包远程信息泄露漏洞利用
491048 xp_cmdshell命令执行危险操作
491049 Jenkins远程代码执行漏洞利用成功下载恶意文件
491050 MSSQL数据库xp_cmdshell命令执行内部事件
491051 MsSQL数据库xp_cmdshell命令执行后下载木马
491052 MsSQL数据库xp_cmdshell命令执行后反弹shell
491053 检测到端口复用后门
491054 检测到用户权限变动
492046 发现APT恶意样本
492048 APT_水坑攻击
492054 暗云木马通信
493003 检测windows系统利用net命令探测用户账户和组信息行为
493004 检测windows系统利用net命令创建用户账户行为
493005 检测windows系统利用tree命令探测目录和文件信息行为
493006 检测windows系统利用net命令探测系统服务信息行为
493007 检测windows系统利用net命令探测系统时间信息行为
493008 检测windows系统利用net命令创建用户组行为

2、修改21条规则
490008 蠕虫
490019 针对FTP服务的暴力破解成功
490021 SPRING_漏洞攻击
490022 SMB_永恒之蓝利用成功
490041 REDIS_漏洞攻击
490080 SPRING_漏洞攻击成功
490081 SPRING_漏洞攻击失败
490122 Redis未授权访问漏洞利用成功后ssh尝试
490124 Webshell未知
490127 针对邮件服务器的暴力破解成功
490128 针对数据库服务的暴力破解成功
490129 针对SSH的暴力破解成功
490131 账号口令爆破成功
490134 Webshell成功
490135 Webshell失败
490136 Tomcat弱口令爆破
490161 Juniper NetScreenOS后门漏洞利用成功
490193 Apache Solr远程代码执行漏洞攻击载荷提取内部事件
490195 Apache Solr远程代码执行漏洞攻击成功后反弹shell
492043 境外APT组织利用深信服SSL VPN下发恶意代码
495007 FTP服务账号被爆破后导致数据外泄


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-06-10 18:35:13
名称: attack_rule.1.0.0.0.213186.dat 版本:1.0.0.0.213186
MD5:db7d155c3a7c92ab74b00e9895b4b6c7 大小:15.05M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共338条)。升级后攻击识别规则版本变更为1.0.0.0.213186。

变更内容:
本次新增3条规则,优化13条规则,具体内容如下:
1.优化了Adobe漏洞攻击相关规则,包括Adobe LiveCycle Data Services XML外部实体注入(XXE)漏洞(CVE-2015-3269)。
2.新增了SaltStack漏洞攻击相关规则,包括SaltStack远程命令执行漏洞(CVE-2020-11651)和SaltStack目录遍历漏洞(CVE-2020-11652)。
3.基于前场反馈优化了部分规则。


新增规则:
490228 SaltStack漏洞攻击成功
490229 SaltStack漏洞攻击失败
490230 SaltStack漏洞攻击

修改规则:
490144 STRUTS2漏洞攻击载荷提取内部事件
490145 STRUTS2_攻击成功后下载木马
490147 YARN_漏洞攻击载荷提取内部事件
490148 YARN_漏洞攻击成功后下载木马
490150 THINKPHP远程代码执行漏洞攻击载荷提取内部事件
490151 THINKPHP远程代码执行漏洞攻击成功后下载木马
490163 Weblogic WLS组件漏洞载荷提取内部事件
490167 Drupal远程代码执行下载木马
490168 Drupal漏洞攻击载荷提取内部事件
490170 Spring远程代码执行下载木马
490171 Spring漏洞攻击载荷提取内部事件
491038 使用弱密码成功登录内网站点
490047 ADOBE_漏洞攻击



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2020-05-10 11:31:13
名称: attack_rule.1.0.0.0.211249.dat 版本:1.0.0.0.211249
MD5:2bd811709bdb6b0ebc23c1aebeb7d515 大小:15.03M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共335条)。升级后攻击识别规则版本变更为1.0.0.0.211249。

变更内容:
本次优化4条规则,禁用2条规则,具体内容如下:
1.基于前场反馈优化了部分规则。
2.禁用了部分异常时段相关规则。


修改规则:
492044 WannaRen勒索病毒活动
492043 境外APT组织利用深信服SSL VPN下发恶意代码
491040 超量WAF攻击告警
491041 WAF同源多种类攻击告警

禁用规则:
495013 异常时段操作
495017 异常时段尝试登录


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2020-04-27 10:54:01
名称: attack_rule.1.0.0.0.210052.dat 版本:1.0.0.0.210052
MD5:9ce6e7110eccb02f9235ac58b000d2d1 大小:15.03M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共335条)。升级后攻击识别规则版本变更为1.0.0.0.210052。

变更内容:
本次新增3条规则,优化4条规则,具体内容如下:
1.新增针对WannaRen的新型勒索病毒活动的检测规则。
2.新增针对境外APT组织利用深信服SSL VPN下发恶意代码的检测规则。
3.基于前场反馈优化和新增了部分规则。


新增规则:
490227 未授权访问漏洞攻击
492043 境外APT组织利用深信服SSL VPN下发恶意代码
492044 WannaRen勒索病毒活动

修改规则:
490136 Tomcat弱口令爆破
490185 安全设备被绕过或横向移动行为
492042 绿盟TAC设备发现可疑的病毒样本
495017 异常时段尝试登录


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2020-04-15 16:25:11
名称: attack_rule.1.0.0.0.208483.dat 版本:1.0.0.0.208483
MD5:71c69e4a7861034ea2546bc1b46802d2 大小:15.02M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共332条)。升级后攻击识别规则版本变更为1.0.0.0.208483。

变更内容:
本次新增1条规则,具体内容如下:
1.新增绿盟TAC设备发现可疑的病毒样本。


新增规则:
492042 绿盟TAC设备发现可疑的病毒样本


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2020-03-30 09:08:31
名称: attack_rule.1.0.0.0.207104.dat 版本:1.0.0.0.207104
MD5:23541544b080894cd0cbf9e7f45e4af0 大小:15.02M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共331条)。升级后攻击识别规则版本变更为1.0.0.0.207104。

变更内容:
本次新增1条规则,优化3条规则,具体内容如下:
1.新增远程代码执行漏洞攻击,加入了Microsoft SMBv3远程代码执行漏洞(CVE-2020-0796)。
2.基于前场反馈优化了部分规则。

新增规则:
490226 远程代码执行漏洞攻击

修改规则:
490178 XSS跨站脚本攻击窃取网站账号
490225 VPN用户登录地点异常
495019 在零信任环境疑似暴力破解成功


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2020-03-13 22:57:57
名称: attack_rule.1.0.0.0.205297.dat 版本:1.0.0.0.205297
MD5:703694d2963fe24e4374f9ea0270b65d 大小:15.02M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共330条)。升级后攻击识别规则版本变更为1.0.0.0.205297。

变更内容:
本次新增2条规则,优化1条规则,具体内容如下:
1.新增VPN异常登录相关场景。
2.基于前场反馈优化了XSS跨站脚本攻击场景规则。


新增规则:
490224 VPN用户多IP登陆
490225 VPN用户登录地点异常

修改规则:
490178 XSS跨站脚本攻击窃取网站账号


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。


发布时间:2020-03-03 11:05:46
名称: attack_rule.1.0.0.0.204825.dat 版本:1.0.0.0.204825
MD5:61f47d2cf6cb267111fac7ec6a634626 大小:15.02M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共328条)。升级后攻击识别规则版本变更为1.0.0.0.204825。

变更内容:
本次新增4条规则,优化4条规则,具体内容如下:
1.优化了Tomcat漏洞攻击相关规则,加入了Apache Tomcat AJP协议文件包含漏洞(CVE-2020-1938)。
2.基于前场反馈优化和新增了部分规则。


新增规则:
491041 WAF同源多种类攻击告警
491040 超量WAF攻击告警
490222 针对同一VPN账号的暴力破解失败
490223 同一IP针对VPN的暴力破解失败

修改规则:

490027 TOMCAT_漏洞攻击
490090 TOMCAT_漏洞攻击成功
490091 TOMCAT_漏洞攻击失败
490120 行为分析_上传文件到非公司FTP服务器

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。



发布时间:2020-02-21 23:19:09
名称: attack_rule.1.0.0.0.204159.dat 版本:1.0.0.0.204159
MD5:46d24b02336e86057e32a2fef1b23cf6 大小:15.01M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共324条)。升级后攻击识别规则版本变更为1.0.0.0.204159。

变更内容:
本次优化1条规则,具体内容如下:
1.基于前场反馈优化了Webshell上传成功并访问规则。

附变更规则:
490137 Webshell上传成功并访问

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2020-02-17 10:19:42
名称: attack_rule.1.0.0.0.203289.dat 版本:1.0.0.0.203289
MD5:4c05336b7bdf4bf6565a83f4a0b8276b 大小:15.00M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共324条)。升级后攻击识别规则版本变更为1.0.0.0.203289。

变更内容:
本次优化10条规则,具体内容如下:
1.优化了部分MDR规则。
2.优化了weblogic漏洞攻击相关规则,加入了Weblogic WLS 组件 IIOP 协议远程代码执行漏洞(CVE-2020-2551)。
3.基于前场反馈优化了部分规则。

附变更规则:
490209 phpMyAdmin远程代码执行漏洞攻击载荷提取内部事件
490212 PHP-CGI远程代码执行漏洞攻击载荷提取内部事件
490216 Joomla远程代码执行漏洞攻击载荷提取内部事件
490136 Tomcat弱口令爆破
490168 Drupal漏洞攻击载荷提取内部事件
490144 STRUTS2漏洞攻击载荷提取内部事件
490203 WEBLOGIC_漏洞攻击
490205 WEBLOGIC_漏洞攻击成功
490206 WEBLOGIC_漏洞攻击失败
490163 Weblogic WLS组件漏洞载荷提取内部事件


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。


发布时间:2020-01-19 16:44:04
名称: attack_rule.1.0.0.0.202125.dat 版本:1.0.0.0.202125
MD5:e3d5dda3a8784be831a3e4380edbba6d 大小:15.00M
描述:

描述:
本升级包为攻击识别规则升级包,支持在ISOP-V3.0R01F00版本(11389)上升级。升级包为全量升级包(升级后规则共324条)。升级后攻击识别规则版本变更为1.0.0.0.202125。

变更内容:
本次新增14条规则,优化14条规则,具体内容如下:
1.新增MDR规则。
2.新增基于IPS告警分析的规则。
3.优化了机器学习相关规则。
4.基于前场反馈优化了部分规则。

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2020-01-03 20:58:17
名称: attack_rule.1.0.0.0.201028.dat 版本:1.0.0.0.201028
MD5:9b49da1a5a6badb6b7b1c537efe177b8 大小:14.96M
描述:

描述:
本升级包为攻击识别规则升级包,支持在ISOP-V3.0R01F00版本(11389)上升级。升级包为全量升级包(升级后规则共310条)。升级后攻击识别规则版本变更为1.0.0.0.201028。

变更内容:
本次新增21条规则,优化5条规则,具体内容如下:
1.新增MDR规则。
2.新增基于IPS告警的WEBLOGIC和THINKPHP漏洞攻击相关规则。

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2019-12-24 10:33:13
名称: attack_rule.1.0.0.0.200108.dat 版本:1.0.0.0.200108
MD5:62d03a81ad73fae9f841f3cbb1b19b4e 大小:14.90M
描述:

描述:
本升级包为攻击识别规则升级包,支持在ISOP-V3.0R01F00版本(11389)上升级。升级包为全量升级包(升级后规则共289条)。升级后攻击识别规则版本变更为1.0.0.0.200108。

变更内容:
本次新增13条规则,优化41条规则,具体内容如下:
1.新增终端型安全规则。
2.新增基于审计日志的数据安全型规则。
3.优化事件模板的威胁等级、优先级和可信度等信息。

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2019-12-10 09:15:36
名称: attack_rule.1.0.0.0.199321.dat 版本:1.0.0.0.199321
MD5:313b5f520ce4b81f080a16d82615bfe5 大小:14.86M
描述:

描述:
本升级包为攻击识别规则升级包,支持在ISOP-V3.0R01F00版本(11389)上升级。升级包为全量升级包(升级后规则共276条)。升级后攻击识别规则版本变更为1.0.0.0.199321。

变更内容:
本次新增6条规则,优化43条规则,具体内容如下:
1.增加多步攻击场景规则。
2.新增基于时序、原始流量进行综合判断的规则。
3.通过新增限制条件来修改部分规则。
4.细化部分规则的攻击结果判断。

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2019-11-26 14:13:36