首页-> 服务与支持-> 客户支持-> 售后服务

服务与支持

绿盟智能安全运营平台(ISOP)行为分析规则升级包列表

名称: ubaEngine_rule.1.0.0.0.60430.dat 版本:1.0.0.0.60430
MD5:a7e486d57ae6e276cbb64bbf4021708b 大小:24.12M
描述:

【升级说明】
本升级包为行为分析规则升级包,基于BSAV2.0R01F04(47310)版本和谛听V3.0R02F00SP03及以上版本平台上升级。升级包为全量升级包,升级后行为分析规则版本变更为1.0.0.0.60430,内置场景为136条。依赖解析规则版本为3.0.8.2804及以上。

【变更内容】
1、修改规则
510056 资产外联-外联云函数
510055 资产外联-异常外联DGA域名

【升级步骤】
1、单击右上角图标,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2、选择行为分析规则包。
3、上传规则包:单击灰色框的区域,选择行为分析规则安装升级文件ubaEngine_rule.x.x.x.x.xdat,或者拖动文件到蓝色框区域。
4、单击【升级】按钮,导入并升级行为分析规则包。升级过程预计2分钟,界面提示持续加载中,直到提示升级完成。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-08-04 10:27:15
名称: ubaEngine_rule.1.0.0.0.60378.dat 版本:1.0.0.0.60378
MD5:a969da4df028d665a4bd419e8061a57b 大小:24.11M
描述:

【升级说明】
本升级包为行为分析规则升级包,基于BSAV2.0R01F04(47310)版本和谛听V3.0R02F00SP03及以上版本平台上升级。升级包为全量升级包,升级后行为分析规则版本变更为1.0.0.0.60378,内置场景为136条。依赖解析规则版本为3.0.8.2804及以上。

【变更内容】
1、新增规则
510061 新奇事件检测
510063 新进程连接CDN服务器
2、修改规则
510056 资产外联-外联云函数
510032 资产外联-外联云主机
510034 加密webshell
3、删除规则
410000 [终端安全]异常时间段账号登录
410002 [终端安全]异常登录次数
410001 [终端安全]休眠账号登录
510025 资产发现新的告警数据
510026 发现新的告警资产
510024 主机发送过量邮件
510113 邮件收件人的发件对象数目超量
510114 邮件发件人的收件对象数目超量
510015 FTP服务器异常用户登录
500407 访问端口异常
420004 异常开放高危端口
400029 [数据安全]用户登录行为异常
500401 DNS解析结果异常
500402 DNS请求的数量异常
500403 不同TLD请求的数量异常
500409 非英文数字域名
500410 存在多个相同字符主域名
510017 异常ip访问

【升级步骤】
1、单击右上角图标,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2、选择行为分析规则包。
3、上传规则包:单击灰色框的区域,选择行为分析规则安装升级文件ubaEngine_rule.x.x.x.x.xdat,或者拖动文件到蓝色框区域。
4、单击【升级】按钮,导入并升级行为分析规则包。升级过程预计2分钟,界面提示持续加载中,直到提示升级完成。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-07-24 09:12:36
名称: ubaEngine_rule.1.0.0.0.59988.dat 版本:1.0.0.0.59988
MD5:e4380d5b7a18c1ceb030ed93e59397a8 大小:24.23M
描述:

【升级说明】
本升级包为行为分析规则升级包,基于BSAV2.0R01F04(47310)版本和行为分析引擎V3.0R01F02及以上版本或谛听V3.0R02F00及以上版本平台上升级。升级包为全量升级包,升级后行为分析规则版本变更为1.0.0.0.59988,内置场景为152条。依赖解析规则版本为3.0.8.2804及以上。

【变更内容】
1、新增规则
510059 资产疑似失陷(流量侧)检测
510060 高风险攻击者检测
510104 钓鱼活动-邮箱携可疑附件或正文内容
2、修改规则
510058 边界资产高风险登录行为
510057 终端疑似回连C2主机
510056 资产外联-外联云函数
510055 异常外联DGA域名
510103 钓鱼活动-疑似失陷邮箱群发邮件
510102 钓鱼活动-高仿邮件发件行为
510101 钓鱼活动-FROM头部伪造
510100 钓鱼活动-可疑邮箱群发或携可疑附件正文内容
510032 资产外联-外联云主机
510034 加密webshell


【升级步骤】
1、单击右上角图标,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2、选择行为分析规则包。
3、上传规则包:单击灰色框的区域,选择行为分析规则安装升级文件ubaEngine_rule.x.x.x.x.xdat,或者拖动文件到蓝色框区域。
4、单击【升级】按钮,导入并升级行为分析规则包。升级过程预计2分钟,界面提示持续加载中,直到提示升级完成。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-05-22 09:39:16
名称: ubaEngine_rule.1.0.0.0.59665.dat 版本:1.0.0.0.59665
MD5:8c35d04be372e0e57e3f7b8b61c8cb8f 大小:24.70M
描述:

【升级说明】
本升级包为行为分析规则升级包,基于BSAV2.0R01F04(47310)版本和行为分析引擎V3.0R01F02及以上版本或谛听V3.0R02F00及以上版本平台上升级。升级包为全量升级包,升级后行为分析规则版本变更为1.0.0.0.59665,内置场景为149条。依赖解析规则版本为3.0.8.2804及以上。

【变更内容】
1、新增规则
510056 资产外联-外联云函数
510101 钓鱼活动-FROM头部伪造
510102 钓鱼活动-高仿邮件发件行为
510057 终端疑似回连C2主机
510058 边界资产高风险登录行为
510055 异常外联DGA域名

2、修改规则
510034 加密webshell
510051 异常地域外联检测场景
510052 异常源IP访问业务检测场景
510123 新ip登录场景
510032 新外联IP的出现


【升级步骤】
1、单击右上角图标,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2、选择行为分析规则包。
3、上传规则包:单击灰色框的区域,选择行为分析规则安装升级文件ubaEngine_rule.x.x.x.x.xdat,或者拖动文件到蓝色框区域。
4、单击【升级】按钮,导入并升级行为分析规则包。升级过程预计2分钟,界面提示持续加载中,直到提示升级完成。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2023-04-03 10:46:49
名称: ubaEngine_rule.1.0.0.0.44296.dat 版本:1.0.0.0.44296
MD5:e97cd8123962b96e36eba4758d4e92da 大小:4.00M
描述:

【升级说明】
本升级包为行为分析规则升级包,基于BSA平台V2.0R01F03.38130版本、行为分析引擎V3.0R01F01SP04版本上进行升级。升级包为全量升级包,升级后行为分析规则版本变更为1.0.0.0.44296,内置静态规则数量为14条,动态为77条。依赖解析规则版本为3.0.7.44092及以上。

【变更内容】
1、删除规则1条:
400022 [数据安全]异常用户操作文件
2、修改规则34条:
400000 [数据安全]数据库异常IP访问
400001 [数据安全]数据表异常IP访问
400002 [数据安全]异常时段访问数据库
400003 [数据安全]异常时段访问数据表
400004 [数据安全]数据库异常访问次数
400005 [数据安全]数据表异常访问次数
400006 [数据安全]客户端异常访问数据库用户
400007 [数据安全]客户端异常访问数据库的库
400008 [数据安全]客户端异常访问数据库的表
400014 [数据安全]API异常时段访问
400015 [数据安全]API异常访问次数
400016 [数据安全]异常IP访问API
400017 [数据安全]疑似自动爬取业务接口报警
400018 [数据安全]SQL执行时长基线偏离
400019 [数据安全]SQL登录工具基线偏离
400020 [数据安全]异常操作文件
400021 [数据安全]异常时间段操作文件
400023 [数据安全]异常时间段拷贝
400024 [数据安全]异常时间段打印
510000 异地账号登录
510001 异常时段账号登录
510002 休眠账号登录告警
510004 主机新开放端口
510006 内网服务器外联
510012 客户端异常访问数据库的库
510013 客户端异常访问数据库的表
510014 客户端异常访问数据库用户
510015 FTP服务器异常用户登录
510016 FTP服务器异常用户指令操作
510017 异常ip访问
510018 http新增post方法的可疑uri
510020 Web服务异常操作序列
510121 用户异常登录行为
510123 新ip登录场景

【升级步骤】
1、单击右上角图标,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2、选择行为分析规则包。
3、上传规则包:单击灰色框的区域,选择行为分析规则安装升级文件ubaEngine_rule.x.x.x.x.dat,或者拖动文件到蓝色框区域。
4、单击【升级】按钮,导入并升级行为分析规则包。升级过程预计2分钟,界面提示持续加载中,直到提示升级完成。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2022-01-17 09:45:59
名称: ubaEngine_rule.1.0.0.0.41897.dat 版本:1.0.0.0.41897
MD5:b0354b35dad8514eabce53f82b263ca7 大小:3.99M
描述:

【升级说明】
本升级包为行为分析规则升级包,基于BSA平台V2.0R01F03.38130版本、行为分析引擎V3.0R01F01SP04版本上进行升级。升级包为全量升级包,升级后行为分析规则版本变更为1.0.0.0.41897,内置静态规则数量为14条,动态为78条。依赖解析规则版本为3.0.7.43295及以上。

【变更内容】
新增规则:
400020 [数据安全]异常操作文件
400021 [数据安全]异常时间段操作文件
400022 [数据安全]异常用户操作文件
400023 [数据安全]异常时间段拷贝
400024 [数据安全]异常时间段打印

【升级步骤】
1、单击右上角图标,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2、选择行为分析规则包。
3、上传规则包:单击灰色框的区域,选择行为分析规则安装升级文件ubaEngine_rule.x.x.x.x.dat,或者拖动文件到蓝色框区域。
4、单击【升级】按钮,导入并升级行为分析规则包。升级过程预计2分钟,界面提示持续加载中,直到提示升级完成。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-08-09 10:06:36
名称: ubaEngine_rule.1.0.0.0.40643.dat 版本:40643
MD5:09afaee4cd50ab37d6526b38e667c79d 大小:2.06M
描述:

【升级说明】
本升级包为行为分析规则升级包,基于BSA平台V2.0R01F03版本、行为分析引擎(40189)版本上进行升级。升级包为全量升级包,支持在行为分析引擎1.0.0.40189及以上版本升级,升级后行为分析规则版本变更为1.0.0.0.40643,内置静态规则数量为14条,动态为73条。

【变更内容】
更新规则:
10001 后门url
10002 HTTP暴力破解
10003 业务接口漏洞探测告警
10004 上传文件到非公司站点
10005 疑似自动爬取业务接口报警
10006 数据库新增用户告警
10007 数据库弱口令尝试
10008 客户端非法写入文件
10009 FTP服务器口令尝试
10010 FTP服务器包含系统敏感路径
10011 FTP危险操作指令
10012 FTP服务器匿名登录
10013 上传文件到非公司FTP服务器
10014 FTP服务器管理员账户滥用

【升级步骤】
1、单击右上角图标,选择菜单 系统 > 系统控制 > 系统升级 > 统一规则库升级,进入统一规则库升级页面。
2、选择行为分析规则包。
3、上传规则包:单击灰色框的区域,选择解析规则安装升级文件ubaEngine_rule.x.x.x.x.dat,或者拖动文件到蓝色框区域。
4、单击【升级】按钮,导入并升级行为分析规则包。升级过程预计2分钟,界面提示持续加载中,直到提示升级完成。

若升级过程中遇到问题,请联系绿盟400支持。

发布时间:2021-07-05 09:09:42