首页-> 服务与支持-> 客户支持-> 售后服务

服务与支持

绿盟智能安全运营平台(ISOP)攻击识别升级包列表

名称: attack_rule.1.0.0.1.1053187.dat 版本:1.0.0.1.1053187
MD5:cdf9d540f1ef961fe7df07816a1be80b 大小:26.29M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2266及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1053187,规则总条数为724 条。

【变更内容】
1、新增规则:
491104 针对Zabbix-CVE-2019-17382登录认证权限绕过漏洞攻击
493086 检测到PsLoggedOn信息收集
493088 检测到Windows系统NTLM中继攻击
493089 检测到Windows系统ACL修改

2、修改规则:
490340 Apache Log4j2 远程代码执行漏洞攻击尝试
490380 通用漏洞远程命令攻击后反弹shell成功
490382 通用漏洞攻击载荷提取内部事件
491090 利用禅道SQL注入漏洞探测数据库信息
491059 利用Jenkins远程代码执行漏洞查看系统信息
491110 针对Apache Spark-CVE-2022-33891的命令注入漏洞
493080 检测到Windows系统注销


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-10-31 20:56:01
名称: attack_rule.1.0.0.1.1053090.dat 版本:1.0.0.1.1053090
MD5:92ea176802ac6c880d854d217dbf10ac 大小:26.26M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2266及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1053090,规则总条数为720 条。

【变更内容】
1、新增规则:
490417 ThinkPHP6 任意文件写入
491103 针对Zabbix SAML SSO登录绕过漏洞
491105 检测到畅捷通T+ RecoverPassword.aspx 管理员密码修改漏洞攻击
491106 针对金蝶OA系统目录遍历漏洞攻击
491107 检测到致远OA wpsAssistServlet任意文件漏洞利用
491108 PhpCms type.php接口代码注入漏洞攻击
491109 检测到F5 BIG-IP iControl REST身份认证绕过漏洞攻击
491110 针对Apache Spark-CVE-2022-33891的命令注入漏洞
490418 用友 畅捷通T+ DownloadProxy.aspx 任意文件读取漏洞
490419 Teleport堡垒机 do-login 任意用户登录漏洞
490420 H3C CVM 任意文件上传漏洞攻击
490421 GitLab SSRF漏洞
490423 Seacms 任意代码执行漏洞攻击
493078 检测到远程Dump域控密码

2、修改规则:
490074 安全设备发现Webshell告警,并且请求成功
490088 IIS_漏洞攻击成功
493050 检测到windows中查看域管理器信息行为
490311 通用Web漏洞利用成功后反弹shell
490312 检测到WebLogic Server XMLDecoder 反序列化漏洞攻击
490324 Apache Shiro反序列化漏洞攻击成功后反弹shell
490417 ThinkPHP6 任意文件写入
491091 利用禅道任意文件读取漏洞探测敏感文件内容信息
493085 检测到Windows系统MS7-010攻击
497006 非法请求网元API


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-10-14 19:28:28
名称: attack_rule.1.0.0.1.1052816.dat 版本:1.0.0.1.1052816
MD5:bc49a7964f508e1a91e73f61962107a6 大小:26.19M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.2266及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1052816,规则总条数为706 条。

【变更内容】
1、新增规则:
490414 Axis远程代码执行漏洞
490415 Apache Solr ConfigSet 未授权上传漏洞
491101 Zabbix远程命令执行漏洞利用成功
491102 检测到Spring Framework远程命令执行漏洞嗅探
493073 检测到Windows系统中SAMR查询敏感用户
493074 检测到Windows系统ZeroLogon
493075 检测到Windows系统中新增组策略
493076 检测到Windows系统中SAMR查询敏感用户组
493077 检测到Windows系统新增用户
493079 检测到Windows系统删除帐户
493080 检测到Windows系统注销的检测
493081 检测到Windows系统修改帐户
493082 检测到Windows系统修改密码
493085 检测到Windows系统MS7-010攻击检测
493083 检测到Windows系统登录成功
493084 检测到Windows系统登录失败

2、修改规则:
490090 针对Tomcat的漏洞攻击行为逻辑
490300 疑似进行Apache Shiro反序列漏洞嗅探并爆破key
490341 Apache Log4j2远程代码执行漏洞攻击并反弹shell
491070 针对MySQL数据库的SQL注入攻击成功
495008 文件或内容中含有手机号码
495009 文件或内容中含有邮箱地址
495010 文件或内容中含有银行卡号
495011 文件或内容中含有居民身份证ID
495012 文件或内容中含有电话号码


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-09-26 09:09:09
名称: attack_rule.1.0.0.1.1052548.dat 版本:1.0.0.1.1052548
MD5:0c5e82b81cb43e4cbc51e75019051e47 大小:26.11M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1052548,规则总条数为690 条。

【变更内容】
1、新增规则:
491100 检测到用友畅捷通Tplus任意文件上传漏洞

2、修改规则:
490299 Apache Shiro 1.2.4反序列化漏洞攻击
490322 GitLab远程命令执行漏洞
490409 Apache link任意文件上传漏洞
491099 用友畅捷通Tplus任意文件上传漏洞上传webshell后连接
495013 异常时段操作



注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-09-14 17:08:22
名称: attack_rule.1.0.0.1.1052413.dat 版本:1.0.0.1.1052413
MD5:a2ffca4f04ec3b9d4d74ed538a59d8b1 大小:26.10M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1052413,规则总条数为689 条。

【变更内容】
1、新增规则:
491097 利用Fastjson反序列化漏洞探测系统信息
491098 检测到Spring Cloud Snake Yaml反序列化攻击
491099 用友畅捷通Tplus任意文件上传漏洞上传webshell后连接
493069 Redis未授权利用向目标服务器写入ssh公钥后远程登录
493072 检测到主机上执行恶意远程命令的攻击

2、修改规则:
491078 检测到远程命令执行后使用Dnslog平台验证


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-08-30 20:58:55
名称: attack_rule.1.0.0.1.1051969.dat 版本:1.0.0.1.1051969
MD5:1554a7df97e3189a87a99d29d3e89c35 大小:26.05M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051969,规则总条数为684 条。

【变更内容】
1、新增规则:
491096 Yii2反序列化漏洞利用执行系统命令
490409 Apache Flink任意文件上传漏洞
490410 Confluence 任意文件读取漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-08-22 12:03:22
名称: attack_rule.1.0.0.1.1051862.dat 版本:1.0.0.1.1051862
MD5:8df8fd0e3f6bc4e72612ef77651d340b 大小:26.04M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051862,规则总条数为681 条。

【变更内容】
1、新增规则:
491095 用友NC ActionHandlerServlet反序列化漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-08-07 14:48:45
名称: attack_rule.1.0.0.1.1051722.dat 版本:1.0.0.1.1051722
MD5:6614947a6e92bd6a51c19078a61ed080 大小:26.03M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051722,规则总条数为680 条。

【变更内容】
1、新增规则:
490401 利用禅道任意文件写入包含漏洞写入Webshell

2、修改规则:
490356 发现使用frp代理工具
491077 Spring Framework命令执行写Webshell后连接
491082 Thinkphp远程代码漏洞攻击后写入或下载webshell


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-08-04 21:21:42
名称: attack_rule.1.0.0.1.1051588.dat 版本:1.0.0.1.1051588
MD5:a3d53c32268ce2486555e5b02552e221 大小:26.03M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051588,规则总条数为679 条。

【变更内容】
1、修改规则:
490068-检测到H3C CAS虚拟化平台任意文件上传漏洞
490137-Webshell上传成功并访问
490389-Web应用控制台部署恶意war包getshell


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-08-02 19:33:53
名称: attack_rule.1.0.0.1.1051553.dat 版本:1.0.0.1.1051553
MD5:75dc83dc4599188af915968e008849ef 大小:26.03M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051553.,规则总条数为679 条。

【变更内容】
1、新增规则:
490407-用友时空KSOA任意文件上传漏洞
490408-用友GRP-U8任意文件上传漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-31 22:24:54
名称: attack_rule.1.0.0.1.1051544.dat 版本:1.0.0.1.1051544
MD5:05e2076efa0c94fee40f59488c1d7332 大小:26.01M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051544.,规则总条数为677 条。

【变更内容】
1、新增规则:
490406-万户OA任意文件上传漏洞
491094-信呼OA任意文件上传漏洞攻击

2、修改规则:
490322 检测到GitLab远程命令执行漏洞攻击
490402 检测到用友任意文件上传攻击
491007 Web目录遍历攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-30 23:35:21
名称: attack_rule.1.0.0.1.1051387.dat 版本:1.0.0.1.1051387
MD5:2e5d56ee53fa4610895fc088f855d6f0 大小:26.00M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051387.,规则总条数为675 条。

【变更内容】
1、新增规则:
490397 检测到拓尔思MAS 命令执行漏洞利用
490404 通用远程命令执行写入并连接Webshell攻击
490405 UBarangay管理系统文件上传漏洞getshell
491093 禅道任意文件上传漏洞攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-28 17:46:55
名称: attack_rule.1.0.0.1.1051285.dat 版本:1.0.0.1.1051285
MD5:6cdcaca4d284c6ccccdb63eb858b5a2f 大小:25.98M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051285.,规则总条数为671 条。

【变更内容】
1、新增规则:
490402 检测到用友任意文件上传攻击
490403 检测到泛微E-cology任意文件上传攻击
491090 利用禅道SQL注入漏洞探测数据库信息
491091 利用禅道任意文件读取漏洞探测敏感文件内容信息


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-27 18:26:12
名称: attack_rule.1.0.0.1.1051239.dat 版本:1.0.0.1.1051239
MD5:f0c27f1ca98212f79834b16c0e21ba95 大小:25.96M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051239.,规则总条数为667 条。

【变更内容】
1、新增规则:
490399 检测到致远OA JDBC接口反序列化漏洞利用
490400 通达OA后台上传绕过漏洞
491092 检测到冰蝎4.0Webshell连接


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-26 18:06:51
名称: attack_rule.1.0.0.1.1051201.dat 版本:1.0.0.1.1051201
MD5:c3c42608ecbd4dae65107529400f48bb 大小:25.94M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1879及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051201,规则总条数为664 条。

【变更内容】
1、新增规则:
493070 针对SSH的暴力破解

2、修改规则:
490080 Spring_漏洞攻击成功
490232 反弹shell获取主机控制权
490343 Apache Log4j2 远程代码执行漏洞攻击利用
491007 Web目录遍历攻击
491076 基于ldap协议检测通用Java反序列化代码执行
491081 基于rmi协议检测通用Java反序列化代码执行


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-23 13:11:22
名称: attack_rule.1.0.0.1.1051120.dat 版本:1.0.0.1.1051120
MD5:e48baa4bd787e847161046f443b9cfd1 大小:25.81M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1794及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051120,规则总条数为663 条。

【变更内容】
1、新增规则:
493071 针对RDP的暴力破解

2、修改规则:
490312 检测到WebLogic Server XMLDecoder 反序列化漏洞攻击
491081 基于rmi协议检测通用Java反序列化代码执行
491082 Thinkphp远程代码漏洞攻击后写入或下载webshell


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-22 10:40:22
名称: attack_rule.1.0.0.1.1051086.dat 版本:1.0.0.1.1051086
MD5:5144d6f500a5ad634f82897591c102c0 大小:25.80M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1794及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051086,规则总条数为662 条。

【变更内容】
1、新增规则:
490395 Siteserver远程模板下载Getshell漏洞攻击
491089 检测到Spring Boot端点未授权访问

2、修改规则:
491070 针对MySQL数据库的SQL注入攻击成功
495102 数据泄露
495103 行为分析API场景
495125 未报备对外接口
495126 对外接口中未脱敏数据


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-11 09:22:18
名称: attack_rule.1.0.0.1.1051025.dat 版本:1.0.0.1.1051025
MD5:def0d7c5b1628954a1ac26c04993617f 大小:25.74M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1710及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1051025,规则总条数为660 条。

【变更内容】
1、新增规则:
490391 通用web反序列化漏洞利用内部事件
490392 Docker Remote API未授权访问漏洞
490393 通用漏洞攻击载荷提取内部事件
490394 PHPMyAdmin弱口令登录后执行SQL查询
491084 基于请求中的命令和响应内容检测远程代码执行漏洞攻击
491085 phpcms任意文件上传漏洞
491086 通用漏洞攻击载荷提取下载信息内部事件
491087 通用漏洞远程命令攻击后下载文件

2、修改规则:
490080 Spring_漏洞攻击成功
490081 Spring_漏洞攻击失败
490129 针对SSH的暴力破解成功
490297 检测到Weblogic权限绕过漏洞利用成功后访问管理员后台
490311 Web漏洞利用成功后反弹shell
491022 基于iiop协议检测通用weblogic反序列化漏洞利用
491025 致远OA_漏洞攻击成功
491081 基于rmi协议检测通用Java反序列化代码执行


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-07-05 09:13:18
名称: attack_rule.1.0.0.1.1050917.dat 版本:1.0.0.1.1050917
MD5:982b537d596e771ff59e2cc4d9ae1ab0 大小:25.70M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1710及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1050917,规则总条数为652 条。

【变更内容】
1、新增规则:
490389 Web应用控制台部署恶意war包getshell
491083 mongo-express远程代码执行漏洞攻击成功

2、修改规则:
490312 检测到WebLogic Server XMLDecoder反序列化漏洞攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-06-28 18:08:48
名称: attack_rule.1.0.0.1.1050835.dat 版本:1.0.0.1.1050835
MD5:148bbbd7124815690ef5757a70bb8010 大小:25.69M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1593及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1050835,规则总条数为650 条。

【变更内容】
1、新增规则:
490390 检测到Confluence OGNL表达式注入命令执行漏洞(CVE-2022-26134)攻击
491082 Thinkphp远程代码漏洞攻击后写入或下载webshell

2、修改规则:
490053 检测到向日葵远程控制软件连接服务器
490151 ThinkPHP远程代码执行漏洞攻击成功后下载木马
490204 ThinkPHP_漏洞攻击
490207 ThinkPHP_漏洞攻击成功
491023 ThinkPHP_漏洞攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-06-20 10:30:38
名称: attack_rule.1.0.0.1.1050695.dat 版本:1.0.0.1.1050695
MD5:00aaf5d28031afd0d4cbc7c9989c39c5 大小:25.67M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1593及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1050695,规则总条数为648 条。

【变更内容】
1、新增规则:
492051 检测到钓鱼邮件

2、修改规则:
490297 检测到Weblogic权限绕过漏洞利用成功后访问管理员后台
490321 MYSQL爆破后写入Webshell
495002 数据库服务执行高危的数据删除操作
495125 未报备对外接口


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-06-09 17:04:21
名称: attack_rule.1.0.0.1.1050588.dat 版本:1.0.0.1.1050588
MD5:c22857a172372b3431fe38fb6d20e976 大小:25.67M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1593及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1050588,规则总条数为647 条。

【变更内容】
1、新增规则:
490380 通用漏洞远程命令攻击后反弹shell成功
491081 基于rmi协议检测通用Java反序列化代码执行
495127 MySQL_查询INFORMATION库表
495128 Oracle_访问DBA_USERS表的行为

2、修改规则:
490092 针对Drupal的漏洞攻击行为
490093 针对Drupal的漏洞攻击行为
490207 ThinkPHP_漏洞攻击成功
490295 ActiveMQ任意文件上传成功
490376 Spring Cloud Gateway远程代码执行漏洞攻击
491076 基于ldap协议检测通用Java反序列化代码执行
493050 检测到windows中查看域管理器信息行为


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-05-30 17:28:32
名称: attack_rule.1.0.0.1.1050245.dat 版本:1.0.0.1.1050245
MD5:9b83852c0f62a2567f6923e8891eb680 大小:25.61M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1080及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1050245,规则总条数为640 条。

【变更内容】
1、新增规则:
491080 Fastjson反序列化漏洞利用加载执行恶意字节码文件成功
495123 未知数据资产访问
495124 敏感数据明文传输
495125 未报备对外接口
495126 对外接口中未脱敏数据

2、修改规则:
490013 挖矿
490078 Struts2_漏洞攻击成功
490144 Struts2漏洞攻击载荷提取内部事件
490177 可信Struts2漏洞攻击
490255 Zabbix jsrpc.php SQL 注入漏洞利用成功
490311 Web漏洞利用成功后反弹shell
491055 利用Jenkins远程代码执行漏洞读取敏感配置文件
491059 利用Jenkins远程代码执行漏洞查看系统信息
492044 WannaRen勒索病毒活动
495101 SQL注入
495103 行为分析API场景
495104 行为分析数据库场景
495105 风险操作
495106 口令攻击
495107 账号滥用
495108 数据库漏洞攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-05-18 15:00:50
名称: attack_rule.1.0.0.1.1050010.dat 版本:1.0.0.1.1050010
MD5:9107419d06d93d8369f98477e19fdd55 大小:25.53M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1080及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1050010,规则总条数为635 条。

【变更内容】
1、修改规则:
490101 Jenkins_漏洞攻击失败
490333 检测到sockscap64代理工具启动
491062 基于请求中的命令和响应内容检测远程代码执行成功


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-04-18 12:36:57
名称: attack_rule.1.0.0.1.1049929.dat 版本:1.0.0.1.1049929
MD5:1d4f2dc2cbdad4c77de37d16eef9b35c 大小:25.51M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.1080及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1049929,规则总条数为635 条。

【变更内容】
1、新增规则:
490378 Jenkins任意文件读取漏洞攻击
491076 基于关联分析检测Java反序列化代码执行
491078 检测到远程命令执行后使用Dnslog平台验证
491079 Spring Cloud Function远程命令执行后反弹shell


2、修改规则:
491062 基于请求中的命令和响应内容检测远程代码执行成功
495109 疑似网络聊天数据泄露
490201 针对SMB服务的暴力破解成功


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-03-31 18:05:10
名称: attack_rule.1.0.0.1.1049650.dat 版本:1.0.0.1.1049650
MD5:40a84bf6ae8732f738b0014baab736a9 大小:25.43M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.746及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1049650,规则总条数为630 条。

【变更内容】
1、新增2条规则:
490376 Spring Cloud Gateway 远程代码执行漏洞攻击
490377 icmptunnel工具隧道通信

2、修改1条规则:
490205 WebLogic_漏洞攻击成功


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-03-14 09:58:59
名称: attack_rule.1.0.0.1.1049470.dat 版本:1.0.0.1.1049470
MD5:5a1d6e386c67ef452ca81841db8f1f99 大小:25.42M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.648及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1049470,规则总条数为628 条。

【变更内容】
1、新增5条规则:
490371 pingtunnel工具隧道通信
490372 检测到使用ngrok工具建立隧道
490373 Webmin远程代码执行漏洞利用内部事件
490374 Webmin远程代码执行漏洞利用后反弹shell
490375 检测到远程控制软件向日葵命令执行漏洞攻击


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-02-28 14:03:31
名称: attack_rule.1.0.0.1.1049315.dat 版本:1.0.0.1.1049315
MD5:21983f95929d25e13c9fa72fe495c7ed 大小:25.39M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.648及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1049315,规则总条数为623 条。

【变更内容】
1、新增3条规则:
490369 内网扫描工具Perun使用
490368 Gitlab服务器端请求伪造(SSRF)漏洞攻击后连接dnslog
490370 Jenkins CLI-RMI反序列化远程代码执行漏洞


2、修改1条规则:
490185 安全设备被绕过或横向移动行为


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-02-14 10:04:53
名称: attack_rule.1.0.0.1.1049259.dat 版本:1.0.0.1.1049259
MD5:3f5208447904c289807bb0f8a7296c83 大小:25.38M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.648及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1049259,规则总条数为620 条。

【变更内容】
1、新增7条规则:
491075 UEditor编辑器任意文件上传漏洞
490362 Apache HTTP Server 路径穿越漏洞
490363 GoAhead Server 环境变量注入漏洞
490364 Apache Solr SSRF漏洞利用后连接dnslog
490366 xstream漏洞攻击内部事件
490367 XStream反序列化漏洞利用后反弹shell
490365 shiro721反序列化漏洞攻击


2、修改4条规则:
490254 WebSphere漏洞攻击利用后反弹shell
490167 Drupal远程执行漏洞攻击利用后下载木马
490236 JBoss反序列化漏洞攻击后下载木马
495003 客户端从网站资产下载敏感文件



注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-01-24 11:08:43
名称: attack_rule.1.0.0.1.1049055.dat 版本:1.0.0.1.1049055
MD5:d989a1f3b351846c37db1c173e7dfdd1 大小:25.21M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.8.393及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1049055,规则总条数为613 条。

【变更内容】
1、新增7条规则:
490355 内网隧道工具Neo-reGeorg连接
490356 发现使用frp代理工具
490357 Apache SkyWalking SQL注入漏洞
490358 Apache Unomi 远程代码执行漏洞利用后连接dnslog
490359 Apache Unomi 远程代码执行漏洞内部事件
490360 Apache Unomi 远程代码执行漏洞利用后反弹shell
490361 Jetty信息泄漏漏洞

2、修改4条规则:
490325 Jackson-databind漏洞攻击内部事件
490342 Apache Log4j2远程代码执行漏洞攻击后使用curl或wget下载文件
490343 Apache Log4j2 远程代码执行漏洞攻击利用
495002 数据库服务执行高危的数据删除操作


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-01-10 13:02:18
名称: attack_rule.1.0.0.1.1048839.dat 版本:1.0.0.1.1048839
MD5:2986eff58b7b9ec1febf72601bdddab8 大小:25.18M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.7.48630及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1048839,规则总条数为606 条。

【变更内容】
1、新增8条规则:
490347 哥斯拉Godzilla Webshell脚本上传
490348 哥斯拉Godzilla Webshell连接
490349 发现内网渗透工具Termite通信行为
490350 检测到sockscap64代理工具连通性测试行为
490351 发现CobaltStrike渗透攻击工具远程命令通信
490352 Lanproxy 任意文件读取漏洞
490353 Node-RED-Dashboard任意文件读取漏洞
490354 ntopng权限绕过漏洞

2、修改3条规则:
490322 GitLab远程命令执行漏洞
490288 检测到黑客工具Burp Suite通信活动
490272 发现Cobalt Strike渗透攻击工具Beacon通信行为


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-12-31 16:20:06
名称: attack_rule.1.0.0.1.1048748.dat 版本:1.0.0.1.1048748
MD5:23d35ac400f0663ac22c77c75d3ed1ae 大小:25.14M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.7.48630及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1048748,规则总条数为598 条。

【变更内容】
1、新增6条规则:
490341 Apache Log4j2远程代码执行漏洞攻击并反弹shell
490342 Apache Log4j2远程代码执行漏洞攻击后使用curl或wget下载文件
490343 Apache Log4j2 远程代码执行漏洞攻击利用
490344 Grafana未授权任意文件读取漏洞
490345 Apache ShenYu Admin身份验证绕过漏洞
490346 phpMyAdmin写入Webshell并访问

2、修改1条规则:
490340 Apache Log4j2 远程代码执行漏洞


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-12-20 10:19:43
名称: attack_rule.1.0.0.1.1048648.dat 版本:1.0.0.1.1048648
MD5:fac63a395ef222d22bfd0716d5c9baa0 大小:25.09M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、依赖的解析规则版本为3.0.7.48265及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1048648,规则总条数为592 条。

【变更内容】
1、新增9条规则:
490340 Apache Log4j2 远程代码执行漏洞
490332 泛微云桥任意文件读取漏洞
490333检测到sockscap64代理工具启动
490334 Apache Druid漏洞攻击内部事件
490335 Apache Druid漏洞利用成功后连接dnglog
490336 Apache Druid远程代码执行漏洞利用成功后反弹shell
490337 Apache Druid 任意文件读取漏洞攻击
490338 Metabase 任意文件读取漏洞攻击
490339 利用泛微云桥任意文件读取漏洞访问敏感文件


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-12-10 09:59:52
名称: attack_rule.1.0.0.1.1048459.dat 版本:1.0.0.1.1048459
MD5:347e5d0ae8d80639bd937f207de338cc 大小:25.05M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.48265及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1048459,规则总条数为583 条。

【变更内容】
1、新增4条规则:
490330 WordPress 5.0.0 - Image远程代码执行漏洞
490331 Exchange_ssrf命令执行
491073 针对Oracle数据库的SQL注入攻击成功
491074 针对MSSQL的盲注类SQL注入攻击成功

2、修改11条规则:
490122 Redis未授权访问漏洞利用成功后ssh尝试
490137 Webshell、木马等后门程序上传,并访问行为
490162 Apache Jetspeed用户管理REST API未授权访问成功
490205 针对WebLogic的漏洞攻击行为
490226 远程代码执行漏洞攻击
490241 泛微e-cology或用友NC OA系统BeanShell组件未授权访问后远程代码执行
490242 Docker Remote API未授权漏洞成功后ssh登录
490280 DNSLog平台访问事件
490285 账号口令暴力破解行为
490325 Jackson-databind漏洞攻击内部事件
491072 针对MSSQL数据库的SQL注入攻击成功


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-12-06 11:11:10
名称: attack_rule.1.0.0.1.1048012.dat 版本:1.0.0.1.1048012
MD5:7542848e976c47257c89f20128391860 大小:25.00M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.47582及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1048012,规则总条数为579 条。

【变更内容】
1、新增9条规则:
491071 针对PG数据库的SQL注入攻击成功
491072 针对MSSQL数据库的SQL注入攻击成功
490323 MySQL注入点写入WebShell
490324 Apache Shiro反序列化漏洞攻击成功后反弹shell
490325 Jackson-databind漏洞攻击内部事件
490326 Jackson-databind远程代码执行漏洞利用成功后连接dnslog
490327 Jackson-databind远程代码执行漏洞利用成功反弹shell
490328 DNS协议隧道工具dnscat连接通信成功
490329 Tomcat重定向漏洞攻击

2、修改5条规则:
490305 SQL注入疑似成功后进行网页登陆行为
490106 任意文件上传攻击成功
490129 针对SSH的暴力破解成功
490201 针对SMB服务的暴力破解
490308 Tomcat后台部署war木马getshell


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-11-22 09:58:45
名称: attack_rule.1.0.0.1.1047484.dat 版本:1.0.0.1.1047484
MD5:cef15d5bcbbe4412f1c0e777647bdbe7 大小:24.95M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.47170及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1047484,规则总条数为570 条。

【变更内容】
1、新增7条规则:
490318 通达OA前台任意用户登录漏洞利用成功
490319 反序列化漏洞攻击
490320 针对Redis未授权访问远程获得服务器权限漏洞的攻击行为
490321 MYSQL爆破成功后写入Webshell
490322 GitLab远程命令执行漏洞
491070 针对MySQL数据库的SQL注入攻击成功
492050 检测到Pinkbot僵尸网络攻击

2、修改2条规则:
490207 ThinkPHP_漏洞攻击成功
490283 针对RDP的暴力破解



注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-11-08 16:31:05
名称: attack_rule.1.0.0.1.1047025.dat 版本:1.0.0.1.1047025
MD5:2fcd34e3f1d6a4b2326782290a1f9fad 大小:24.90M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.46875及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1047025,规则总条数为563 条。

【变更内容】
1、新增5条规则:
490314 phpmyadmin弱口令认证成功
490315 SMTP弱口令认证成功
490316 tomcat弱口令认证成功
490317 ActiveMQ弱口令认证成功
491069 检测到疑似冰蝎3连接

2、修改8条规则:
490102 HTTPBasic_弱口令认证成功
490104 WebLogic_弱口令认证成功
490233 HTTPBasic弱口令登录成功后进行攻击活动
490241 泛微e-cology或用友NC OA系统BeanShell组件未授权访问后远程代码执行
490311 Web漏洞利用成功后反弹shell
493037 ML算法检测当前运行进程中存在恶意伪装进程
495001 数据库服务被执行Dump操作
495002 数据库服务执行高危的数据删除操作


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-10-29 09:29:17
名称: attack_rule.1.0.0.1.1046686.dat 版本:1.0.0.1.1046686
MD5:2f9a1a6b3f7e8c4b915f6b6bdb0bb116 大小:24.87M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.46158及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1046686,规则总条数为558条。

【变更内容】
1、新增6条规则:
490308 tomcat后台部署war木马getshell
490309 phpMyAdmin跨站请求伪造漏洞
490310 WebLogic漏洞利用上传webshell并访问成功
490311 Web漏洞利用成功后反弹shell
490312 Weblogic UniversalExtractor反序列化漏洞利用执行命令成功
490313 Jboss反序列化漏洞利用后连接dnslog

2、修改5条规则:
490205 WebLogic_漏洞攻击成功
490296 检测到WebLogic漏洞攻击成功后进行dnslog连接
491008 Web插件漏洞攻击行为
491040 5min内WAF检测到大量攻击告警
495002 数据库服务执行高危的数据删除操作


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-10-11 09:09:50
名称: attack_rule.1.0.0.1.1046414.dat 版本:1.0.0.1.1046414
MD5:3bf7b7cdda74c4accb264416b7fa9972 大小:24.84M
描述:


【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.46158及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1046414,规则总条数为552条。

【变更内容】
1、新增1条规则:
493068 检测到微软MSHTML漏洞攻击(CVE-2021-40444)

2、修改5条规则:
490090 Tomcat_漏洞攻击成功
491003 WebSQL注入
497002 异常终端频繁开关机
497012 异常终端频繁发起网络接入或断开的用户
497017 信令攻击HTTP2请求URL超长


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-09-30 13:32:11
名称: attack_rule.1.0.0.1.1045785.dat 版本:1.0.0.1.1045785
MD5:b8155ebaa749d370b5c70f2493db8084 大小:24.83M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.45486及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1045785,规则总条数为551条。

【变更内容】
1、新增2条规则:
490307 泛微OA BeanShell组件命令执行写入webshell后连接
491068 http请求访问敏感配置文件成功

2、修改2条规则:
490004 攻击者在尝试SQL注入
490301 行为分析通用


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-09-15 10:01:17
名称: attack_rule.1.0.0.1.1045126.dat 版本:1.0.0.1.1045126
MD5:d109427304071482bdd0d1ccd240507e 大小:24.80M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.44674及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1045126,规则总条数为549条。

【变更内容】
1、新增1条规则:
490306 可疑webshell脚本上传成功

2、修改2条规则:
490074 安全设备发现Webshell告警,并且请求成功
490151 ThinkPHP远程代码执行漏洞攻击成功后下载木马


注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-08-30 11:46:07
名称: attack_rule.1.0.0.1.1044412.dat 版本:1.0.0.1.1044412
MD5:3056b981ed013d7a05526ab2318e5c42 大小:24.80M
描述:

【升级说明】
1、本升级包为攻击识别规则升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.44092及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1044412,规则总条数为548条。

【变更内容】
1、新增11条规则:
490302 内网资产FRP外连通信后发起攻击
490305 SQL注入疑似成功后进行网页登陆行为
497009 信令风暴大量注册或注销请求
497010 信令风暴大量服务请求
497011 信令风暴大量PDU建立请求
497012 异常终端频繁发起网络接入或断开的用户
497013 异常终端频繁发起连接服务的用户
497014 异常终端频繁发起PDU建立连接的用户
497015 异常终端终端频繁切换网络的用户
497016 异常终端信令交互量过大
497017 信令攻击HTTP2请求URL超长

2、修改11条规则:
490098 phpMyAdmin_漏洞攻击成功
490203 WebLogic_漏洞攻击
490205 WebLogic_漏洞攻击成功
495018 操作被防泄漏设备阻断
497001 UE多次鉴权失败
497002 异常终端频繁开关机
497003 UE疑似大量发送短信
497004 信令风暴
497006 非法请求网元API
497007 通过AUSF网元API获取SUPI信息
497008 信令攻击网元大量DELETE请求

注意事项:
1.进入平台,选择导航 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F03,则进入平台,选择导航 组件 > 攻击识别引擎 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果平台为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-08-16 10:34:20
名称: attack_rule.1.0.0.1.1043823.dat 版本:1.0.0.1.1043823
MD5:32829cbff245271961f84252af031b32 大小:24.57M
描述:

【升级说明】

1、本升级包为攻击识别升级包,基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。

2、若攻击识别引擎版本为V3.0R01F03,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。

3、依赖的解析规则版本为3.0.7.43295及以上。

4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1043823,规则总条数为537条。



【变更内容】

1、新增1条规则:
495122 终端DLP行为分析通用


注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。

2.选择攻击识别规则包,上传升级包。

3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。

4.若攻击识别引擎版本为V3.0R01F03,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。

5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。



若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-08-02 13:28:17
名称: attack_rule.1.0.0.1.1043090.dat 版本:1.0.0.1.1043090
MD5:29aa26fe5947717a434e7fe917e28697 大小:24.65M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F02SP02及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP02及以上,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.42090及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1043090,规则总条数为510条。

【变更内容】
1、新增1条规则:
490302 内网资产FRP外连通信后发起攻击

2、修改2条规则:
490233 HTTPBasic弱口令登录成功后进行攻击活动
490205 WebLogic_漏洞攻击成功

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F02SP02及以上,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。


发布时间:2021-08-02 13:27:34
名称: attack_rule.1.0.0.1.1041940.dat 版本:1.0.0.1.1041940
MD5:1fd7ce8b92e1b0f181d112c19884d1d6 大小:27.29M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01及以上,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效。
3、依赖的解析规则版本为3.0.7.40958及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1041940,规则总条数为509条。


【变更内容】
1、新增3条规则:
497006 非法请求网元API
497007 通过AUSF网元API获取SUPI信息
497008 信令攻击网元大量DELETE请求

2、修改7条规则:
490019 针对FTP服务的暴力破解成功
490078 Struts2_漏洞攻击成功
490100 Jenkins_漏洞攻击成功
490122 Redis未授权访问漏洞利用成功后ssh尝试
490184 WebLogic任意文件上传漏洞利用成功后上传Webshell并访问
490201 针对SMB服务的暴力破解成功
491043 LDAP协议暴力破解



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若攻击识别引擎版本为V3.0R01F02SP01及以上,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-07-05 11:59:01
名称: attack_rule.1.0.0.1.1041225.dat 版本:1.0.0.1.1041225
MD5:3c913b8c267a4ca5b314acf2b8256571 大小:24.10M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01及以上,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.40958及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1041225,规则总条数为506条。如果引擎版本为V3.0R01F01,则升级后规则总条数为504条。


【变更内容】
1、修改4条规则:
490080 Spring_漏洞攻击成功
490092 Drupal_漏洞攻击成功
490100 针对持续集成工具Jenkins的漏洞攻击
491056 http请求访问敏感配置文件






注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-06-21 11:22:08
名称: attack_rule.1.0.0.1.1040669.dat 版本:1.0.0.1.1040669
MD5:3fd4bba6736138dba9aebfea0e612b05 大小:24.07M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01及以上,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.40379及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1040669,规则总条数为506条。如果引擎版本为V3.0R01F01,则升级后规则总条数为504条。


【变更内容】
1、修改7条规则:
490053 检测到远控通信活动
490088 IIS_漏洞攻击成功
490127 针对邮件服务器的暴力破解成功
490128 针对数据库服务的暴力破解成功
490130 针对MySql的暴力破解成功
490131 账号口令暴力破解行为
491043 利用LDAP协议登录认证暴力破解成功







注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-06-11 10:22:02
名称: attack_rule.1.0.0.1.1039736.dat 版本:1.0.0.1.1039736
MD5:a23e8769c28f3b9becf34688fb2340b4 大小:23.62M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.38911及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1039736,规则总条数为506条。如果引擎版本为V3.0R01F01,则升级后规则总条数为504条。


【变更内容】
1、修改3条规则:
490102 HTTPBasic_弱口令认证成功
490104 WebLogic_弱口令认证成功
490161 phpmyadmin弱口令认证





注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-05-28 09:41:59
名称: attack_rule.1.0.0.1.1039462.dat 版本:1.0.0.1.1039462
MD5:0fea50d83c7d4efaab7c7d5e53db5fb6 大小:23.51M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.37682及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1039462,规则总条数为506条。如果引擎版本为V3.0R01F01,则升级后规则总条数为504条。


【变更内容】
1、新增1条规则:
493065 检测到ExifTool组件代码执行漏洞攻击

1、修改4条规则:
490181 主机被植入恶意挖矿程序
490255 Zabbix jsrpc.php SQL 注入漏洞利用成功
490272 发现Cobalt Strike渗透攻击工具Beacon HTTP通信
492045 暗云木马通信




注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-05-18 07:19:03
名称: attack_rule.1.0.0.1.1038349.dat 版本:1.0.0.1.1038349.dat
MD5:d3ab3eb04bd4c23496c23fed51d9a7bc 大小:23.07M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.37682及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1038349.dat,规则总条数为505条。如果引擎版本为V3.0R01F01,则升级后规则总条数为503条。


【变更内容】
1、修改3条规则:
490134 ML算法检测web访问请求中存在Webshell,并请求成功
490220 高危端口访问异常
490285 针对网段轮询类暴力破解




注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-05-10 09:47:23
名称: attack_rule.1.0.0.1.1037656.dat 版本:1.0.0.1.1037656
MD5:12d5b54e685d6a7a51e6fea77923d494 大小:21.40M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.37064及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1037656.dat,规则总条数为505条。如果引擎版本为V3.0R01F01,则升级后规则总条数为503条。


【变更内容】
1、修改3条规则:
490280 DNSLog平台访问事件
491038 使用弱密码成功登录内网站点
493058 检测到wannamine挖矿进程活动行为




注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-04-19 12:11:17
名称: attack_rule.1.0.0.1.1037350.dat 版本:1.0.0.1.1037350
MD5:a1a2da9d96dce80dd6c3b6c4267e2056 大小:22.46M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.37064及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1037350.dat,规则总条数为505条。如果引擎版本为V3.0R01F01,则升级后规则总条数为503条。


【变更内容】
1、新增1条规则:
491067 Webshell上传连接活动


2、修改2条规则:
490209 phpMyAdmin远程代码执行漏洞攻击载荷提取内部事件
490210 phpMyAdmin远程代码执行漏洞攻击成功后下载木马




注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-04-09 18:29:45
名称: attack_rule.1.0.0.1.1036887.dat 版本:1.0.0.1.1036887
MD5:476c0c1c07dd8a735869f93cd316826a 大小:22.41M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.35676及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1036887.dat,规则总条数为504条。新增Apache Shiro 1.2.4反序列化漏洞攻击、可疑的Apache Shiro 1.2.4反序列化漏洞攻击场景依赖引擎V3.0R01F02SP01,如果引擎版本为V3.0R01F01,则升级后规则总条数为502条。


【变更内容】
1、新增4条规则:
490296 检测到WebLogic漏洞攻击成功后进行dnslog连接
490298 检测到Netlogon特权提升漏洞扫描行为
490299 Apache Shiro 1.2.4反序列化漏洞攻击
490300 可疑的Apache Shiro 1.2.4反序列化漏洞攻击



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-04-07 09:57:19
名称: attack_rule.1.0.0.1.1035609.dat 版本:1.0.0.1.1035609
MD5:5a1c3905ff960f27b8ba6cd801ce6316 大小:20.76M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSA V2.0R01F02SP02(28529)和攻击识别引擎 V3.0R01F01及以上版本平台上升级。
2、若攻击识别引擎版本为V3.0R01F02SP01,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.34525及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1035609.dat,规则总条数为500条。


【变更内容】
1、新增5条规则:
490292 检测到利用Fastjson漏洞加载base64编码的Java序列化内容
490293 检测到Fastjson漏洞攻击成功后进行dnslog连接
490294 WebLogic漏洞攻击提取内部事件
490295 WebLogic漏洞攻击攻击成功后反弹shell
490297 检测到Weblogic权限绕过漏洞利用成功后访问管理员后台

2、修改23条规则:
490096 Nodejs_漏洞攻击成功
490098 phpMyAdmin_漏洞攻击成功
490100 Jenkins_漏洞攻击成功
490106 任意文件上传攻击成功
490199 内网隧道工具reGeorg连接成功
490200 针对SMTP服务的暴力破解成功
490201 针对SMB服务的暴力破解成功
490202 SMTP用户枚举成功
490205 WebLogic_漏洞攻击成功
490207 ThinkPHP_漏洞攻击成功
490232 Linux反弹shell成功
490245 Fastjson漏洞攻击提取内部事件
490251 PhpStudy后门远程代码执行漏洞攻击成功
490247 Fastjson漏洞攻击攻击成功后反弹shell
490248 Tunna工具连接成功
490274 联软NAC任意文件上传漏洞攻击内部事件
490275 联软NAC任意文件上传漏洞攻击成功
490276 JBOSS_漏洞攻击成功
490278 AppWeb认证绕过漏洞(CVE-2018-8715)攻击
491025 致远OA_漏洞攻击
491043 利用LDAP协议登录认证暴力破解成功
491062 基于请求中的命令和响应内容检测远程代码执行成功
495020 同一地址在短时间内被下载大量敏感数据成功

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.如果当前攻击识别引擎版本为V3.0R01F01,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击后保存。若攻击识别引擎版本为V3.0R01F02SP01,则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面,选择启用对应的实例后点击应用配置。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-03-23 16:33:33
名称: attack_rule.1.0.0.1.1034330.dat 版本:1.0.0.1.1034330
MD5:1795bbda8f0a076e1b94062c7ad1a4a3 大小:20.74M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02SP01(28516)和攻击识别引擎V3.0R01F01及以上版本升级。
2、若攻击识别引擎版本为V3.0R01F02SP01,规则包升级后需要在攻击识别引擎规则配置界面点击应用配置,规则才能生效,如果引擎版本为V3.0R01F01,规则包升级后无需点击应用配置。
3、依赖的解析规则版本为3.0.7.28686及以上。
4、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1034330,规则总条数为495条。


【变更内容】
1、新增14条规则:
492047 检测到疑似APT32的恶意样本传输
492049 检测到疑似APT32的CC通信行为
493058 检测到wannamine挖矿进程活动行为
493059 检测到Linux主机利用file命令探测文件类型
493060 检测Windows系统利用net命令探测文件共享信息信息
493061 检测到Svchost目录下注册表新增
493062 检测到Windows系统上利用certutil命令探测文件类型
493063 检测Windows系统利用systeminfo命令探测系统信息并写入文件
493064 检测Windows系统利用netstat命令探测网络连接信息并写入文件
496001 UE多次鉴权失败
496002 UE频繁注册与去注册
496003 UE疑似大量发送短信
496004 信令风暴
496005 5G行为分析

2、修改43条规则:
490019 针对FTP服务的暴力破解成功
490022 SMB_永恒之蓝利用成功
490072 SQL注入成功
490073 SQL注入失败
490074 webshell成功
490075 webshell失败
490076 目录遍历攻击成功
490077 目录遍历攻击失败
490078 STRUTS2_漏洞攻击成功
490079 STRUTS2_漏洞攻击失败
490080 SPRING_漏洞攻击成功
490081 SPRING_漏洞攻击失败
490082 APACHE_HTTP_SERVER_漏洞攻击成功
490083 APACHE_HTTP_SERVER_漏洞攻击失败
490084 LIGHT_HTTP_漏洞攻击成功
490086 NGINX_漏洞攻击成功
490088 IIS_漏洞攻击成功
490089 IIS_漏洞攻击失败
490090 TOMCAT_漏洞攻击成功
490091 TOMCAT_漏洞攻击失败
490092 DRUPAL_漏洞攻击成功
490093 DRUPAL_漏洞攻击失败
490094 YARN_漏洞攻击成功
490095 YARN_漏洞攻击失败
490099 PHPMYADMIN_漏洞攻击失败
490107 任意文件上传攻击失败
490206 WEBLOGIC_漏洞攻击失败
490229 SaltStack漏洞攻击失败
490281 检测到冰蝎3.0恶意活动内部事件
490289 攻击者进行xp_cmdshell漏洞攻击随后建立隐蔽隧道内部事件
490290 检测到攻击者进行xp_cmdshell漏洞攻击随后建立隐蔽隧道
490291 检测到攻击者进行xp_cmdshell漏洞攻击并建立隐蔽隧道通信后进行端口扫描行为
491042 VNC远程登录工具暴力破解
493012 检测到端口复用后门
493013 检测到用户权限变动
493045 检测到windows中运行黑客工具Burp Suite
493050 检测到windows中查看域管理器信息行为
493051 检测到windows中rundll32进程注入行为
493053 检测Windows系统利用systeminfo命令探测系统信息
493054 检测Windows系统利用netstat命令探测网络连接信息
493055 检测Windows系统利用net命令探测本地用户组信息
493056 检测Windows系统利用net命令探测域控用户相关信息
493057 检测Windows系统利用net命令探测系统已开启服务列表信息

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-03-12 11:27:35
名称: attack_rule.1.0.0.1.1032994.dat 版本:1.0.0.1.1032994
MD5:597f84b748c17218fda19e3565970d54 大小:20.70M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02SP01(28516)和ISOP V3.0R01F02(29771)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1032994,规则总条数为481条。

【变更内容】
1、新增8条规则:
493050 检测到windows中查看域管理器信息行为
493051 检测到windows中rundll32进程注入行为
493052 检测到自启动目录RUN下注册表访问
493053 检测Windows系统利用systeminfo命令探测系统信息
493054 检测Windows系统利用netstat命令探测网络连接信息
493055 检测Windows系统利用net命令探测系统服务列表信息
493056 检测Windows系统利用net命令探测域控用户相关信息
493057 检测Windows系统利用net命令探测系统已开启服务列表信息

2、修改6条规则:
490074 安全设备发现Webshell告警,并且请求成功
490078 Struts2_漏洞攻击成功
490249 帆软FineReport漏洞攻击提取内部事件
492040 疑似Conficker蠕虫活动
493009 检测到主机上利用系统命令创建计划任务行为
493037 ML算法检测当前运行进程中存在恶意伪装进程

注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-02-22 10:30:43
名称: attack_rule.1.0.0.1.1032292.dat 版本:1.0.0.1.1032292
MD5:cff95ccc69d8f20c813558c06e6bb8a1 大小:20.68M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02SP01(28516)和ISOP V3.0R01F02(29771)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1032292,规则总条数为473条。

【变更内容】
1、新增8条规则:
491066 xp_cmdshell执行命令内部事件
490289 攻击者进行xp_cmdshell漏洞攻击随后建立隐蔽隧道内部事件
490290 检测到攻击者进行xp_cmdshell漏洞攻击随后建立隐蔽隧道
490291 检测到攻击者进行xp_cmdshell漏洞攻击并建立隐蔽隧道通信后进行端口扫描行为
493046 检测到Windows系统中安全日志被清空
493047 检测到Windows系统中日志服务被关闭
493048 检测到Windows系统中新增系统服务
493049 检测到Windows系统中新增计划任务

2、修改7条规则:
490090 Tomcat_漏洞攻击成功
490181 主机被植入恶意挖矿程序
490197 SMTP用户枚举
490199 内网隧道工具reGeorg连接成功
490202 SMTP用户枚举成功
490283 针对RDP的暴力破解
490284 针对SMB的暴力破解

注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-01-18 09:59:12
名称: attack_rule.1.0.0.1.1032075.dat 版本:1.0.0.1.1032075
MD5:259f47454a10522a3394b066ef3b2308 大小:20.67M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02SP01(28516)和ISOP V3.0R01F02(29771)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1032075,规则总条数为465条。

【变更内容】
1、新增6条规则:
490283 针对RDP的暴力破解
490284 针对SMB的暴力破解
490285 针对网段轮询类暴力破解
490286 SMB远程代码执行漏洞攻击载荷提取内部事件
490287 SMB远程代码执行漏洞攻击反弹shell
490288 检测到黑客工具Burp Suite通信活动

2、修改64条规则:
490004 SQL注入
490016 目录遍历攻击
490021 Spring_漏洞攻击
490053 检测到远控通信活动
490068 任意文件上传攻击
490074 安全设备发现Webshell告警,并且请求成功
490080 Spring_漏洞攻击成功
490090 Tomcat_漏洞攻击成功
490094 Yarn_漏洞攻击成功
490095 Yarn_漏洞攻击失败
490106 任意文件上传攻击成功
490107 任意文件上传攻击失败
490134 ML算法检测web访问请求中存在Webshell,并请求成功
490137 Webshell、木马等后门程序上传,并访问行为
490144 Struts2漏洞攻击载荷提取内部事件
490147 Yarn_漏洞攻击载荷提取内部事件
490150 ThinkPHP远程代码执行漏洞攻击载荷提取内部事件
490153 WordPress远程代码执行漏洞攻击载荷提取内部事件
490156 Bash远程代码执行漏洞攻击载荷提取内部事件
490159 Redis未授权漏洞攻击载荷提取内部事件
490163 WebLogic WLS组件漏洞载荷提取内部事件
490168 Drupal漏洞攻击载荷提取内部事件
490171 Spring漏洞攻击载荷提取内部事件
490174 Elasticsearch漏洞攻击载荷提取内部事件
490176 利用Netcore后门下载恶意程序
490178 XSS跨站脚本攻击窃取网站账号
490180 可信目录遍历攻击
490186 Flink_漏洞攻击载荷提取内部事件
490190 ImageMagick远程命令执行漏洞攻击载荷提取内部事件
490193 Apache Solr远程代码执行漏洞攻击载荷提取内部事件
490197 SMTP用户枚举
490201 针对SMB服务的暴力破解成功
490202 SMTP用户枚举成功
490205 WebLogic_漏洞攻击成功
490207 ThinkPHP_漏洞攻击成功
490209 phpMyAdmin远程代码执行漏洞攻击载荷提取内部事件
490212 PHP-CGI远程代码执行漏洞攻击载荷提取内部事件
490216 Joomla远程代码执行漏洞攻击载荷提取内部事件
490234 JBoss反序列化漏洞提取内部事件
490238 Confluence远程代码执行漏洞提取内部事件
490241 泛微e-cology OA系统BeanShell组件未授权访问后远程代码执行
490243 RDP爆破成功后远程桌面登录
490245 Fastjson漏洞攻击提取内部事件
490249 帆软FineReport漏洞攻击提取内部事件
490251 PhpStudy后门远程代码执行漏洞攻击成功
490252 WebSphere漏洞提取内部事件
490260 JAVA RMI反序列化漏洞攻击载荷提取内部事件
490263 Tomcat文件上传漏洞攻击提取内部事件
490265 利用Drupal远程代码执行漏洞下载Webshell并访问
490268 利用DedeCMS远程代码执行漏洞读取敏感配置文件
490269 利用DedeCMS远程代码执行漏洞读取系统信息
490270 DedeCMS远程代码执行漏洞利用内部事件
490274 联软NAC任意文件上传漏洞攻击内部事件
491045 Jenkins远程代码执行漏洞攻击载荷提取内部事件
491050 MSSQL数据库xp_cmdshell执行命令内部事件
491055 利用Jenkins远程代码执行漏洞读取敏感配置文件
491056 http请求访问敏感配置文件
491058 利用xp_cmdshell远程命令执行查看系统信息
491059 利用Jenkins远程代码执行漏洞查看系统信息
493030 检测到远程控制工具进程活动
493038 检测到linux主机清除历史命令
493045 检测到windows中运行黑客工具Burp Suite
495001 数据库服务被执行Dump操作
495002 数据库服务执行高危的数据删除操作

3、删除1条规则:
493031 检测到向日葵连接活动

注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-01-12 16:38:25
名称: attack_rule.1.0.0.1.1031346.dat 版本:1.0.0.1.1031346
MD5:8d2f1d9a9f864f5fdbfaeab5e4b38b90 大小:20.66M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02SP01(28516)和ISOP V3.0R01F02(29771)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1031346,规则总条数为460条。

【变更内容】
1、新增2条规则:
490281 检测到冰蝎3.0恶意活动内部事件
490282 检测到冰蝎3.0恶意活动

2、修改54条规则:
490005 木马
490008 蠕虫
490009 僵尸网络
490010 勒索软件
490012 隐蔽信道通信
490014 广告软件通信
490015 钓鱼攻击
490053 TeamViewer_通信
490063 代理_通信
490066 SATAN.LUCKY病毒通信
490126 DNS隐蔽信道
490181 主机被植入恶意挖矿程序
490198 内网隧道工具reGeorg连接
490268 利用DedeCMS远程代码执行漏洞读取敏感配置文件
490279 DNS子域名爆破
491058 利用xp_cmdshell远程命令执行查看系统信息
492001 老裁缝病毒
492002 Xmrig挖矿通信
492038 挖矿程序Kworkerds下载恶意文件
492039 APT索伦之眼攻击
492040 疑似Conficker蠕虫活动
492044 WannaRen勒索病毒活动
493005 检测Windows系统利用tree命令探测目录和文件信息行为
493006 检测Windows系统利用net命令探测系统服务信息行为
493007 检测windows系统利用net命令探测系统时间信息行为
493008 检测Windows系统利用net命令创建用户组行为
493009 检测到主机上利用系统命令创建计划任务行为
493010 检测到清除主机日志行为
493012 检测到端口复用后门
493014 检测到office宏调用cmd/powershell命令
493016 检测到windows系统中dump lsass进程内存的行为
493017 检测到windows系统中利用tasklist命令探测运行进程信息行为
493018 检测到windows系统利用cacls命令修改目录或文件访问控制权限行为
493019 检测到windows中探测系统网络共享行为
493020 检测到windows中探测主机防火墙信息行为
493021 检测到windows中删除系统卷影或备份行为
493029 windows下利用mstsc远程登录成功
493030 检测到teamviewer远程连接活动
493031 检测到向日葵连接活动
493032 windows下Psexec远程命令执行
493037 ML算法检测当前运行进程中存在恶意伪装进程
493038 检测到linux主机清除历史命令
493039 检测到linux中利用screen命令保存会话
493040 检测到linux中使用nc的会话连接
493041 检测到Windows中新增注册表活动
493042 检测到Windows中使用echo命令读取注册表行为
493043 检测到windows下TortoiseSVN文件在短时间内被大量下载
493044 检测到LCX端口转发工具活动
493045 检测到黑客工具burp运行
495008 文件或内容中含有手机号码
495009 文件或内容中含有邮箱地址
495011 文件或内容中含有居民身份证ID
495012 文件或内容中含有电话号码
495013 异常时段操作



注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持

发布时间:2020-12-21 10:44:39
名称: attack_rule.1.0.0.1.1030956.dat 版本:1.0.0.1.1030956
MD5:a8ac288bf7e53e2073775a7d6f7586ec 大小:20.64M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02(27144)和ISOPV3.0R01F01SP02(27673)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1030956,规则总条数为458条。

【变更内容】
1、新增7条规则:
493042 检测到Windows中使用echo命令读取注册表行为
493044 检测到LCX端口转发工具活动
490278 AppWeb认证绕过漏洞(CVE-2018-8715)攻击
493043 检测到windows下TortoiseSVN文件在短时间内被大量下载
493045 检测到windows中运行黑客工具Burp Suite
490288 DNS子域名爆破
490289 DNSLog平台访问事件

2、修改3条规则:
491049 Jenkins远程代码执行漏洞利用成功后下载恶意文件
493012 检测到端口复用后门
493024 检测到windows WScript 或 CScript 脚本执行


注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-12-07 11:41:07
名称: attack_rule.1.0.0.1.1030480.dat 版本:1.0.0.1.1030480
MD5:e3560ef8a212a792cedb053514bbfff5 大小:20.63M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02(27144)和ISOPV3.0R01F01SP02(27673)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1030480,规则总条数为451条。

【变更内容】
1、新增5条规则:
493037 ML算法检测当前运行进程中存在恶意伪装进程
493038 检测到linux主机清除历史命令
493039 检测到利用screen命令保存会话
493040 检测到linux中使用nc的会话连接
493041 检测到Windows中新增注册表活动


2、修改4条规则:
490019 针对FTP服务的暴力破解成功
490136 Tomcat弱口令爆破
490138 Tomcat弱口令爆破成功后上传Webshell并访问
495006 FTP服务账号被爆破后导致数据被下载


注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-11-23 03:22:51
名称: attack_rule.1.0.0.1.1030161.dat 版本:1.0.0.1.1030161
MD5:6710ed36d401391565f3f9ba74a6a7c8 大小:15.64M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02(27144)和ISOPV3.0R01F01SP02(27673)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1030161,规则总条数为446条。

【变更内容】
1、修改4条规则:
490205 WebLogic_漏洞攻击成功
490203 WebLogic_漏洞攻击
490264 Tomcat任意文件上传漏洞getshell
493004 检测Windows系统利用net命令创建用户账户行为


注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-11-09 09:34:27
名称: attack_rule.1.0.0.1.1029968.dat 版本:1.0.0.1.1029968
MD5:e60859bedd19c1414b5cd4d665945f38 大小:15.63M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02(27144)和ISOPV3.0R01F01SP02(27673)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1029968,规则总条数为446条。

【变更内容】
1、新增2条规则:
490276 JBOSS_漏洞攻击成功
490277 JBOSS_漏洞攻击失败


2、修改4条规则:
490076 目录遍历攻击成功
490129 针对SSH的暴力破解成功
491056 http请求访问敏感配置文件
493012 检测到端口复用后门


注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-10-26 11:44:07
名称: attack_rule.1.0.0.1.1029585.dat 版本:1.0.0.1.1029585
MD5:38c7a53cbc4faff2646ae15b7f7f8088 大小:15.63M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02(27144)和ISOPV3.0R01F01SP02(27673)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1029585,规则总条数为444条。

【变更内容】
1、修改2条规则:
490142 远程命令执行漏洞攻击
490207 ThinkPHP_漏洞攻击成功



注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-10-12 10:06:51
名称: attack_rule.1.0.0.1.1029119.dat 版本:1.0.0.1.1029119
MD5:176b13d24e98e10440a703126ff5313b 大小:15.63M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02(27144)和ISOPV3.0R01F01SP02(27673)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1029119,规则总条数为444条。

【变更内容】
1、新增2条规则:
490274 联软NAC任意文件上传漏洞攻击内部事件
490275 联软NAC任意文件上传漏洞攻击成功


2、修改3条规则:
490244 通过操作系统漏洞获取服务器权限
491063 通达OA_尝试攻击成功
491064 通达OA_尝试攻击失败



注意事项:

1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-09-28 10:58:01
名称: attack_rule.1.0.0.1.1028704.dat 版本:1.0.0.1.1028704
MD5:d8055049526e4bde63a39d6230ed50eb 大小:15.62M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F02(27144)和ISOPV3.0R01F01SP02(27673)平台上升级。
2、依赖的解析规则版本为3.0.7.28686及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1028704,规则总条数为442条。

【变更内容】
1、新增1条规则:
490273 联软NAC任意文件上传漏洞攻击


2、修改3条规则:
490233 HTTPBasic弱口令登录成功后进行攻击活动
491065 通达OA_尝试攻击
491057 利用xp_cmdshell远程命令执行读取敏感配置文件




注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-09-17 19:34:06
名称: attack_rule.1.0.0.1.1028243.dat 版本:1.0.0.1.1028243
MD5:36489dde6c1d62aa59b1c7219a6eb344 大小:15.62M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01SP01(26112)平台上升级。
2、依赖的解析规则版本为3.0.7.27883及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1028243,规则总条数为441条。

【变更内容】
1、修改6条规则:
490076 目录遍历攻击成功
490074 安全设备发现Webshell告警,并且请求成功
490207 ThinkPHP_漏洞攻击成功
490231 MsSQL爆破成功后执行系统命令
490221 扫描行为
491056 http请求访问敏感配置文件



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-09-14 10:01:33
名称: attack_rule.1.0.0.1.1027917.dat 版本:1.0.0.1.1027917
MD5:b468fb8eb4c427d128079e384382820a 大小:15.61M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01SP01(26112)平台上升级。
2、依赖的解析规则版本为3.0.7.27883及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1027917,规则总条数为441条。

【变更内容】
1、修改4条规则:
490013 挖矿
490072 SQL注入成功
490205 WebLogic_漏洞攻击成功
490233 HTTPBasic弱口令登录成功后进行攻击活动



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-09-07 09:59:25
名称: attack_rule.1.0.0.1.1027593.dat 版本:1.0.0.1.1027593
MD5:b21757779bba9283a273211208f8fa13 大小:15.61M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01SP01(26112)平台上升级。
2、依赖的解析规则版本为3.0.7.26477及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1027593,规则总条数为441条。

【变更内容】
1、修改2条规则:
490198 内网隧道工具reGeorg连接
491006 数据泄露



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-08-31 09:59:10
名称: attack_rule.1.0.0.1.1027279.dat 版本:1.0.0.1.1027279
MD5:2660ae3f0c445c55c33bf5b824d8bf64 大小:15.61M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01SP01(26112)平台上升级。
2、依赖的解析规则版本为3.0.7.26477及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1027279,规则总条数为441条。

【变更内容】
1、修改2条规则:
495001 数据库服务被执行Dump操作
495002 数据库服务执行高危的数据删除操作



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-08-24 09:57:27
名称: attack_rule.1.0.0.1.1027148.dat 版本:1.0.0.1.1027148
MD5:d9bf1faabedf4312cfe7551fb23a820a 大小:15.61M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01SP01(26112)平台上升级。
2、依赖的解析规则版本为3.0.7.26477及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1027148,规则总条数为441条。

【变更内容】
1、修改3条规则:
491063 通达OA_尝试攻击成功
491064 通达OA_尝试攻击失败
491065 通达OA_尝试攻击



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-08-19 17:55:00
名称: attack_rule.1.0.0.1.1027067.dat 版本:1.0.0.1.1027067
MD5:62e1e436166abea730e527d6a8cb77db 大小:15.61M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01SP01(26112)平台上升级。
2、依赖的解析规则版本为3.0.7.26477及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1027067,规则总条数为441条。

【变更内容】
1、新增3条规则:
491063 通达OA_尝试攻击成功
491064 通达OA_尝试攻击失败
491065 通达OA_尝试攻击



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-08-18 10:56:13
名称: attack_rule.1.0.0.1.1026870.dat 版本:1.0.0.1.1026870
MD5:8eeb5bd27343bd2e080a0ae1c5e89d52 大小:15.60M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01SP01(26112)平台上升级。
2、依赖的解析规则版本为3.0.7.26477及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1026870,规则总条数为438条。

【变更内容】
1、新增2条规则:
490271 SMBv3远程代码执行漏洞尝试攻击
490272 发现Cobalt Strike渗透攻击工具Beacon通信行为


2、修改2条规则:
490039 FTP_漏洞攻击
490068 任意文件上传攻击




注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-08-17 09:54:11
名称: attack_rule.1.0.0.1.1026508.dat 版本:1.0.0.1.1026508
MD5:0f3518f6a93fa7bd052a940a416121a2 大小:15.60M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.25497及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1026508,规则总条数为436条。

【变更内容】
1、新增1条规则:
491062 基于请求中的命令和响应内容检测远程代码执行成功


2、修改7条规则:
490129 针对SSH的暴力破解成功
490144 Struts2漏洞攻击载荷提取内部事件
490226 远程代码执行漏洞攻击
490237 通达OA任意文件上传成功后执行远程命令
490247 Fastjson漏洞攻击攻击成功后反弹shell
491003 WebSQL注入
491056 http请求访问敏感配置文件



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-08-10 10:01:42
名称: attack_rule.1.0.0.1.1026169.dat 版本:1.0.0.1.1026169
MD5:d9a6080da4f71f93298cdae323d5ee3c 大小:15.59M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.25497及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1026169,规则总条数为435条。

【变更内容】
1、修改6条规则:
490090 Tomcat_漏洞攻击成功
490145 Struts2_攻击成功后下载木马
490167 Drupal远程代码执行下载木马
490266 DedeCMS远程代码执行漏洞利用成功后下载恶意文件
491056 http请求访问敏感配置文件
495016 多次认证失败



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-08-03 10:21:10
名称: attack_rule.1.0.0.1.1025600.dat 版本:1.0.0.1.1025600
MD5:06a7a97182e5424e0159825ea6212e72 大小:15.56M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.25497及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1025600,规则总条数为435条。

【变更内容】
1、新增2条规则:
491060 冰蝎Webshell连接成功
491061 检测到蚁剑webshell通信行为

2、修改4条规则:
490243 RDP爆破成功后远程桌面登录
491044 发现Jenkins远程代码执行漏洞利用攻击
491055 利用Jenkins远程代码执行漏洞读取敏感配置文件
491059 利用Jenkins远程代码执行漏洞查看系统信息



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-07-24 20:10:02
名称: attack_rule.1.0.0.1.1025165.dat 版本:1.0.0.1.1025165
MD5:d35ff74578832c846072846c25872361 大小:15.54M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01SP01(23905)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.25121及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1025165,规则总条数为433条。

【变更内容】
1、新增2条规则:
493035 Windows下利用ntdsutil.exe进行Active Directory管理操作
493036 检测Windows系统利用w32tm命令探测系统时间信息行为

2、修改7条规则:
490068 任意文件上传攻击
490106 任意文件上传攻击成功
490107 任意文件上传攻击失败
491056 http请求访问敏感配置文件
491057 利用xp_cmdshell远程命令执行读取敏感文件
491042 VNC远程登录工具暴力破解
491043 利用LDAP协议登录认证暴力破解成功

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-07-24 20:02:51
名称: attack_rule.1.0.0.1.1024660.dat 版本:1.0.0.1.1024660
MD5:3d74f4377fd3201f08d0529efecb5e53 大小:15.53M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01(21314)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.23810及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1024660,规则总条数为431条。

【变更内容】
1、新增6条规则:
493029 windows下利用mstsc远程登录成功
493030 windows下利用TeamViewer远程登录成功
493031 windows下向日葵远程被登录成功
493032 windows下Psexec远程命令执行
493033 检测到windows中利用ipconfig探测主机网络配置信息
493034 wmic远程执行命令

2、修改5条规则:
490004 SQL注入
490190 ImageMagick远程命令执行漏洞攻击载荷提取内部事件
490192 ImageMagick远程命令执行漏洞攻击成功后反弹shell
490200 针对SMTP服务的暴力破解成功
490202 SMTP用户枚举成功


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-07-14 12:25:46
名称: attack_rule.1.0.0.1.1024184.dat 版本:1.0.0.1.1024184
MD5:044a5c5e8bec83ef10c342b8bbdedbf3 大小:15.51M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01(21314)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.23810及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1024184,规则总条数为 425 条。

【变更内容】
1、新增5条规则:
493024 检测到windows WScript 或 CScript 脚本执行
493025 利用whoami探测系统用户和组信息
493026 检测到windows中利用route探测路由表信息
493027 windows中敏感路径下文件创建行为
493028 windows下敏感文件创建行为


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-07-07 11:22:05
名称: attack_rule.1.0.0.1.1023865.dat 版本:1.0.0.1.1023865
MD5:a4ae30502791cbf9a2e367aa506fa483 大小:15.49M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01(21314)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.23810及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1023865,规则总条数为420条。

【变更内容】
1、新增2条规则:
493022 检测到windows中查看arp缓存行为
493023 检测到windows中查看网络配置行为

2、修改2条规则:
493012 检测到端口复用后门
491003 WEBSQL注入



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-06-30 17:24:51
名称: attack_rule.1.0.0.1.1023298.dat 版本:1.0.0.1.1023298
MD5:f7c2a61322917c554e059ec8cfbfd079 大小:15.48M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01(21314)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.22176及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1023298,规则总条数为418条。

【变更内容】
1、新增12条规则:
490265 利用Drupal远程代码执行漏洞下载Webshell并访问
490266 DedeCMS远程代码执行漏洞利用成功后下载恶意文件
490267 利用DedeCMS远程代码执行漏洞利用成功后反弹shell
490268 利用DedeCMS远程代码执行漏洞读取敏感文件
490269 利用DedeCMS远程代码执行漏洞读取系统信息
490270 DedeCMS远程代码执行漏洞利用内部事件
493016 检测到windows系统dump lsass进程内存的行为
493017 检测到windows系统利用tasklist命令探测运行进程信息行为
493018 检测到windows系统利用cacls命令修改目录或文件访问控制权限行为
493019 检测到windows中探测系统网络共享行为
493020 检测到windows中探测主机防火墙信息行为
493021 检测到windows中删除系统卷影或备份行为


2、修改4条规则:
491055 利用Jenkins远程代码执行漏洞读取敏感文件
491057 利用xp_cmdshell远程命令执行读取敏感文件
491058 利用xp_cmdshell远程命令执行查看系统信息
491059 利用Jenkins远程代码执行漏洞查看系统信息



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-06-22 10:18:35
名称: attack_rule.1.0.0.1.1022840.dat 版本:1.0.0.1.1022840
MD5:41a81d19b77ac3800b86e854959b03f3 大小:15.45M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01(21314)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.22176及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1022840,规则总条数为406条。

【变更内容】
1、新增19条规则:
490258 Tomcat文件包含漏洞利用
490259 ActiveMQ弱口令登陆成功后任意文件上传getshell
490260 JAVA RMI反序列化漏洞攻击载荷提取内部事件
490261 JAVA RMI反序列化漏洞攻击成功后反弹shell
490262 phpMyAdmin_弱口令认证暴力破解
490263 Tomcat文件上传漏洞攻击提取内部事件
490264 Tomcat任意文件上传漏洞getshell
491053 Jenkins远程代码执行漏洞攻击载荷加载远程代码内部事件
491054 Jenkins远程代码执行漏洞利用成功调用远程代码
491055 利用Jenkins远程代码执行漏洞读取敏感文件
491056 http请求访问敏感文件
491057 利用xp_cmdshell远程命令执行读取敏感文件
491058 利用xp_cmdshell远程命令执行查看系统信息
491059 利用Jenkins远程代码执行漏洞查看系统信息
493009 检测到主机上利用系统命令创建计划任务行为
493010 检测到清除主机日志行为
493011 检测到新增后门账号并添加Administrators或RDP组
493014 检测到office宏调用cmd/powershell命令
493015 检测到利用系统命令下载文件行为(linux/windows)




注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-06-15 09:36:48
名称: attack_rule.1.0.0.1.1022329.dat 版本:1.0.0.1.1022329
MD5:482444fae8e13049e4b3b3f70314b7dd 大小:15.37M
描述:

【升级说明】
1、本升级包为攻击识别升级包,基于BSAV2.0R01F01(21314)和ISOPV3.0R01F01(22496)平台上升级。
2、依赖的解析规则版本为3.0.7.22176及以上。
3、升级包为全量升级包,升级后攻击识别版本变更为1.0.0.1.1022329,规则总条数为387条。

【变更内容】
1、新增49条规则:
490231 mssql爆破成功后执行系统命令
490232 Linux反弹shell成功
490233 web应用弱口令登录成功后进行攻击活动
490234 Jboss反序列化漏洞提取内部事件
490235 Jboss反序列化漏洞攻击成功后反弹shell
490236 Jboss反序列化漏洞攻击成功后下载木马
490237 通达OA任意文件上传成功后执行远程命令
490238 confluence远程代码执行漏洞提取内部事件
490239 confluence远程代码执行漏洞攻击成功后反弹shell
490240 confluence远程代码执行漏洞攻击成功后下载木马
490241 泛微e-cology OA系统BeanShell组件未授权访问后远程代码执行
490242 docker remote api未授权漏洞成功后ssh登录
490243 RDP爆破成功后远程桌面登录
490244 通过操作系统漏洞获取服务器权限
490245 Fastjson漏洞攻击提取内部事件
490246 Fastjson漏洞攻击攻击成功后下载木马
490247 Fastjson漏洞攻击攻击成功后反弹shell
490248 tunna工具连接成功
490249 帆软报表FineReport漏洞攻击 提取内部事件
490250 利用FineReport插件管理功能上传webshell并访问
490251 PHPStudy后门远程代码执行漏洞攻击成功
490252 Websphere漏洞提取内部事件
490253 Websphere漏洞攻击成功后下载木马
490254 Websphere漏洞攻击成功后反弹shell
490255 Zabbix jsrpc.php SQL 注入漏洞利用成功
490256 Axis2任意文件读取漏洞利用成功后上传文件]
490257 Mongodb未授权访问漏洞利用
491042 VNC爆破后远程桌面登录
491043 LDAP爆破后远程桌面登录
491044 发现Jenkins远程代码执行漏洞利用攻击
491045 Jenkins远程代码执行漏洞攻击载荷提取内部事件
491046 Jenkins远程代码执行漏洞利用成功后反弹shell
491047 Open_ssl心跳扩展协议包远程信息泄露漏洞利用
491048 xp_cmdshell命令执行危险操作
491049 Jenkins远程代码执行漏洞利用成功下载恶意文件
491050 MSSQL数据库xp_cmdshell命令执行内部事件
491051 MsSQL数据库xp_cmdshell命令执行后下载木马
491052 MsSQL数据库xp_cmdshell命令执行后反弹shell
491053 检测到端口复用后门
491054 检测到用户权限变动
492046 发现APT恶意样本
492048 APT_水坑攻击
492054 暗云木马通信
493003 检测windows系统利用net命令探测用户账户和组信息行为
493004 检测windows系统利用net命令创建用户账户行为
493005 检测windows系统利用tree命令探测目录和文件信息行为
493006 检测windows系统利用net命令探测系统服务信息行为
493007 检测windows系统利用net命令探测系统时间信息行为
493008 检测windows系统利用net命令创建用户组行为

2、修改21条规则
490008 蠕虫
490019 针对FTP服务的暴力破解成功
490021 SPRING_漏洞攻击
490022 SMB_永恒之蓝利用成功
490041 REDIS_漏洞攻击
490080 SPRING_漏洞攻击成功
490081 SPRING_漏洞攻击失败
490122 Redis未授权访问漏洞利用成功后ssh尝试
490124 Webshell未知
490127 针对邮件服务器的暴力破解成功
490128 针对数据库服务的暴力破解成功
490129 针对SSH的暴力破解成功
490131 账号口令爆破成功
490134 Webshell成功
490135 Webshell失败
490136 Tomcat弱口令爆破
490161 Juniper NetScreenOS后门漏洞利用成功
490193 Apache Solr远程代码执行漏洞攻击载荷提取内部事件
490195 Apache Solr远程代码执行漏洞攻击成功后反弹shell
492043 境外APT组织利用深信服SSL VPN下发恶意代码
495007 FTP服务账号被爆破后导致数据外泄


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2020-06-10 18:35:13
名称: attack_rule.1.0.0.0.213186.dat 版本:1.0.0.0.213186
MD5:db7d155c3a7c92ab74b00e9895b4b6c7 大小:15.05M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共338条)。升级后攻击识别规则版本变更为1.0.0.0.213186。

变更内容:
本次新增3条规则,优化13条规则,具体内容如下:
1.优化了Adobe漏洞攻击相关规则,包括Adobe LiveCycle Data Services XML外部实体注入(XXE)漏洞(CVE-2015-3269)。
2.新增了SaltStack漏洞攻击相关规则,包括SaltStack远程命令执行漏洞(CVE-2020-11651)和SaltStack目录遍历漏洞(CVE-2020-11652)。
3.基于前场反馈优化了部分规则。


新增规则:
490228 SaltStack漏洞攻击成功
490229 SaltStack漏洞攻击失败
490230 SaltStack漏洞攻击

修改规则:
490144 STRUTS2漏洞攻击载荷提取内部事件
490145 STRUTS2_攻击成功后下载木马
490147 YARN_漏洞攻击载荷提取内部事件
490148 YARN_漏洞攻击成功后下载木马
490150 THINKPHP远程代码执行漏洞攻击载荷提取内部事件
490151 THINKPHP远程代码执行漏洞攻击成功后下载木马
490163 Weblogic WLS组件漏洞载荷提取内部事件
490167 Drupal远程代码执行下载木马
490168 Drupal漏洞攻击载荷提取内部事件
490170 Spring远程代码执行下载木马
490171 Spring漏洞攻击载荷提取内部事件
491038 使用弱密码成功登录内网站点
490047 ADOBE_漏洞攻击



注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2020-05-10 11:31:13
名称: attack_rule.1.0.0.0.211249.dat 版本:1.0.0.0.211249
MD5:2bd811709bdb6b0ebc23c1aebeb7d515 大小:15.03M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共335条)。升级后攻击识别规则版本变更为1.0.0.0.211249。

变更内容:
本次优化4条规则,禁用2条规则,具体内容如下:
1.基于前场反馈优化了部分规则。
2.禁用了部分异常时段相关规则。


修改规则:
492044 WannaRen勒索病毒活动
492043 境外APT组织利用深信服SSL VPN下发恶意代码
491040 超量WAF攻击告警
491041 WAF同源多种类攻击告警

禁用规则:
495013 异常时段操作
495017 异常时段尝试登录


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2020-04-27 10:54:01
名称: attack_rule.1.0.0.0.210052.dat 版本:1.0.0.0.210052
MD5:9ce6e7110eccb02f9235ac58b000d2d1 大小:15.03M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共335条)。升级后攻击识别规则版本变更为1.0.0.0.210052。

变更内容:
本次新增3条规则,优化4条规则,具体内容如下:
1.新增针对WannaRen的新型勒索病毒活动的检测规则。
2.新增针对境外APT组织利用深信服SSL VPN下发恶意代码的检测规则。
3.基于前场反馈优化和新增了部分规则。


新增规则:
490227 未授权访问漏洞攻击
492043 境外APT组织利用深信服SSL VPN下发恶意代码
492044 WannaRen勒索病毒活动

修改规则:
490136 Tomcat弱口令爆破
490185 安全设备被绕过或横向移动行为
492042 绿盟TAC设备发现可疑的病毒样本
495017 异常时段尝试登录


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2020-04-15 16:25:11
名称: attack_rule.1.0.0.0.208483.dat 版本:1.0.0.0.208483
MD5:71c69e4a7861034ea2546bc1b46802d2 大小:15.02M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共332条)。升级后攻击识别规则版本变更为1.0.0.0.208483。

变更内容:
本次新增1条规则,具体内容如下:
1.新增绿盟TAC设备发现可疑的病毒样本。


新增规则:
492042 绿盟TAC设备发现可疑的病毒样本


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2020-03-30 09:08:31
名称: attack_rule.1.0.0.0.207104.dat 版本:1.0.0.0.207104
MD5:23541544b080894cd0cbf9e7f45e4af0 大小:15.02M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共331条)。升级后攻击识别规则版本变更为1.0.0.0.207104。

变更内容:
本次新增1条规则,优化3条规则,具体内容如下:
1.新增远程代码执行漏洞攻击,加入了Microsoft SMBv3远程代码执行漏洞(CVE-2020-0796)。
2.基于前场反馈优化了部分规则。

新增规则:
490226 远程代码执行漏洞攻击

修改规则:
490178 XSS跨站脚本攻击窃取网站账号
490225 VPN用户登录地点异常
495019 在零信任环境疑似暴力破解成功


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2020-03-13 22:57:57
名称: attack_rule.1.0.0.0.205297.dat 版本:1.0.0.0.205297
MD5:703694d2963fe24e4374f9ea0270b65d 大小:15.02M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共330条)。升级后攻击识别规则版本变更为1.0.0.0.205297。

变更内容:
本次新增2条规则,优化1条规则,具体内容如下:
1.新增VPN异常登录相关场景。
2.基于前场反馈优化了XSS跨站脚本攻击场景规则。


新增规则:
490224 VPN用户多IP登陆
490225 VPN用户登录地点异常

修改规则:
490178 XSS跨站脚本攻击窃取网站账号


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。


发布时间:2020-03-03 11:05:46
名称: attack_rule.1.0.0.0.204825.dat 版本:1.0.0.0.204825
MD5:61f47d2cf6cb267111fac7ec6a634626 大小:15.02M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共328条)。升级后攻击识别规则版本变更为1.0.0.0.204825。

变更内容:
本次新增4条规则,优化4条规则,具体内容如下:
1.优化了Tomcat漏洞攻击相关规则,加入了Apache Tomcat AJP协议文件包含漏洞(CVE-2020-1938)。
2.基于前场反馈优化和新增了部分规则。


新增规则:
491041 WAF同源多种类攻击告警
491040 超量WAF攻击告警
490222 针对同一VPN账号的暴力破解失败
490223 同一IP针对VPN的暴力破解失败

修改规则:

490027 TOMCAT_漏洞攻击
490090 TOMCAT_漏洞攻击成功
490091 TOMCAT_漏洞攻击失败
490120 行为分析_上传文件到非公司FTP服务器

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。



发布时间:2020-02-21 23:19:09
名称: attack_rule.1.0.0.0.204159.dat 版本:1.0.0.0.204159
MD5:46d24b02336e86057e32a2fef1b23cf6 大小:15.01M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共324条)。升级后攻击识别规则版本变更为1.0.0.0.204159。

变更内容:
本次优化1条规则,具体内容如下:
1.基于前场反馈优化了Webshell上传成功并访问规则。

附变更规则:
490137 Webshell上传成功并访问

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2020-02-17 10:19:42
名称: attack_rule.1.0.0.0.203289.dat 版本:1.0.0.0.203289
MD5:4c05336b7bdf4bf6565a83f4a0b8276b 大小:15.00M
描述:

描述:
本升级包为攻击识别规则升级包,支持在 ISOP-V3.0R01F00SP01版本(13833)上升级。升级包为全量升级包(升级后规则共324条)。升级后攻击识别规则版本变更为1.0.0.0.203289。

变更内容:
本次优化10条规则,具体内容如下:
1.优化了部分MDR规则。
2.优化了weblogic漏洞攻击相关规则,加入了Weblogic WLS 组件 IIOP 协议远程代码执行漏洞(CVE-2020-2551)。
3.基于前场反馈优化了部分规则。

附变更规则:
490209 phpMyAdmin远程代码执行漏洞攻击载荷提取内部事件
490212 PHP-CGI远程代码执行漏洞攻击载荷提取内部事件
490216 Joomla远程代码执行漏洞攻击载荷提取内部事件
490136 Tomcat弱口令爆破
490168 Drupal漏洞攻击载荷提取内部事件
490144 STRUTS2漏洞攻击载荷提取内部事件
490203 WEBLOGIC_漏洞攻击
490205 WEBLOGIC_漏洞攻击成功
490206 WEBLOGIC_漏洞攻击失败
490163 Weblogic WLS组件漏洞载荷提取内部事件


注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。


发布时间:2020-01-19 16:44:04
名称: attack_rule.1.0.0.0.202125.dat 版本:1.0.0.0.202125
MD5:e3d5dda3a8784be831a3e4380edbba6d 大小:15.00M
描述:

描述:
本升级包为攻击识别规则升级包,支持在ISOP-V3.0R01F00版本(11389)上升级。升级包为全量升级包(升级后规则共324条)。升级后攻击识别规则版本变更为1.0.0.0.202125。

变更内容:
本次新增14条规则,优化14条规则,具体内容如下:
1.新增MDR规则。
2.新增基于IPS告警分析的规则。
3.优化了机器学习相关规则。
4.基于前场反馈优化了部分规则。

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2020-01-03 20:58:17
名称: attack_rule.1.0.0.0.201028.dat 版本:1.0.0.0.201028
MD5:9b49da1a5a6badb6b7b1c537efe177b8 大小:14.96M
描述:

描述:
本升级包为攻击识别规则升级包,支持在ISOP-V3.0R01F00版本(11389)上升级。升级包为全量升级包(升级后规则共310条)。升级后攻击识别规则版本变更为1.0.0.0.201028。

变更内容:
本次新增21条规则,优化5条规则,具体内容如下:
1.新增MDR规则。
2.新增基于IPS告警的WEBLOGIC和THINKPHP漏洞攻击相关规则。

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2019-12-24 10:33:13
名称: attack_rule.1.0.0.0.200108.dat 版本:1.0.0.0.200108
MD5:62d03a81ad73fae9f841f3cbb1b19b4e 大小:14.90M
描述:

描述:
本升级包为攻击识别规则升级包,支持在ISOP-V3.0R01F00版本(11389)上升级。升级包为全量升级包(升级后规则共289条)。升级后攻击识别规则版本变更为1.0.0.0.200108。

变更内容:
本次新增13条规则,优化41条规则,具体内容如下:
1.新增终端型安全规则。
2.新增基于审计日志的数据安全型规则。
3.优化事件模板的威胁等级、优先级和可信度等信息。

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2019-12-10 09:15:36
名称: attack_rule.1.0.0.0.199321.dat 版本:1.0.0.0.199321
MD5:313b5f520ce4b81f080a16d82615bfe5 大小:14.86M
描述:

描述:
本升级包为攻击识别规则升级包,支持在ISOP-V3.0R01F00版本(11389)上升级。升级包为全量升级包(升级后规则共276条)。升级后攻击识别规则版本变更为1.0.0.0.199321。

变更内容:
本次新增6条规则,优化43条规则,具体内容如下:
1.增加多步攻击场景规则。
2.新增基于时序、原始流量进行综合判断的规则。
3.通过新增限制条件来修改部分规则。
4.细化部分规则的攻击结果判断。

注意事项:
1.进入ISOP,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2.选择攻击识别规则包,上传升级包。
3.升级成功后,进入任务管理,查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行,任务状态为启动。
4.若FLINK_ENGINE_1~3不为启动状态,则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面,编辑未启用的实例,在编辑页面选择启用,点击保存。
5.如果ISOP为单机场景,建议只开启实例1~3,如果为集群场景,可按照步骤4开启实例4。

如果对以上操作有任何问题,请联系绿盟400支持。

发布时间:2019-11-26 14:13:36