行為分析 - Cloud Firewall

全流量威脅檢測與響應NDR（Network Detection and Response）

背景資訊

在當今數字化時代，企業面臨日益嚴峻的安全威脅，尤其在身分識別驗證和存取控制方面。傳統邊界防禦難以應對不斷進化的網路攻擊，駭客常通過竊取高許可權帳號或利用弱口令、明文傳輸等漏洞入侵核心資產。可檢測登入行為（如特權帳號、弱口令、純文字密碼及已泄漏AKSK）、敏感性資料操作及高危服務行為，並提供登入行為的可視化分析能力。

前提條件

資產流量已接入。具體操作，請參見接入管理。

登入行為風險類型介紹

風險類型	風險分析
特權帳號濫用	特權帳號因其對系統和資料的高度存取權限，一旦被攻破，將帶來災難性後果。通過即時監控與分析特權帳號的登入行為，能夠迅速捕捉異常活動。例如來自未知地理位置的登入、非工作時間的訪問嘗試，或超出常規範圍的登入頻率等，從而有效防範並阻止潛在威脅的發生。
弱口令登入	賬戶被盜用的一個主要原因是使用簡單、容易猜測的密碼。通過定期檢查並將密碼更新為複雜且強大的形式，可以顯著降低賬戶被暴力破解的風險。產品能夠檢測網路流量中的弱口令成功登入行為（例如：Web/MySQL/FTP等弱口令登入），並及時提醒安全營運團隊採取措施進行治理，從而進一步提升系統的安全性。
純文字密碼傳輸	在網路中傳輸未加密的密碼、未使用指定密碼編譯演算法或編碼方式（例如：base64、SHA、AES）的密碼，無異於為攻擊者敞開大門。確保所有通訊均經過加密處理，並通過監測網路流量來發現可能泄露密碼的行為，是保障系統安全的關鍵環節。這不僅有助於抵禦外部攻擊者的入侵，還能有效防止內部人員因疏忽而導致敏感資訊的意外暴露。
已泄露AKSK登入	在雲端環境中，AK/SK（存取金鑰/秘密密鑰）是用於認證和授權的核心憑證。然而，一旦AK/SK被泄露，攻擊者即可利用這些敏感資訊訪問雲資源（如Object Storage Service、資料庫、虛擬機器等），進而實施惡意操作，例如資料竊取、資源濫用或非法部署等。此外，攻擊者可能進一步擴大攻擊範圍，通過橫向移動訪問其他雲資源，甚至濫用雲資源進行挖礦或DDoS攻擊等活動。更嚴重的是，攻擊者可能藉助AK/SK通過合法的API介面發起攻擊，而無需依賴惡意檔案或進程，從而實現“無檔案攻擊”。這種攻擊方式隱蔽性強，傳統端點偵查工具往往難以發現其蹤跡。產品通過監控使用已泄露的AKSK登入成功的行為，快速識別異常活動並進行警示，相關人員及時採取措施，可有效防範潛在威脅，保障雲端環境的安全性。

登入行為可視分析

登入全流量威脅檢測與響應控制台。
在左側導覽列，選擇检测响应 > 行为分析。
在可视分析頁簽中，查看登入行為風險及資料庫行為風險情況。可單擊查看详情，跳轉至對應功能頁簽中查看詳細資料。

查看登入行為

查看特權帳號登入行為

在登录行为 > 特权账号頁簽中

查看日誌
單擊操作列的查看日志，跳轉至回溯分析功能，並根據該登入行為包含的源IP地址、目標埠等條件式篩選日誌資訊。
查看特權帳號登入風險詳情
1. 單擊操作列詳情，在詳情面板，查看目標資產的特權帳號的基本資料和特權帳號登入詳情。
2. 單擊操作列查看Payload，可查看該條記錄的詳細Payload資訊。單擊可匯出該識別記錄中包含的所有特權帳號登入詳情。

查看弱口令登入行為

在登录行为 > 弱口令頁簽中

查看資產詳情
1. 在弱口令登入風險列表中，單擊目的IP列的地址，可查看資產IP對應的资产信息。
2. 在资产信息對話方塊下方地區，單擊威胁分析、协议日志或报文检索跳轉至對應頁面，對當前指定IP進行分析。具體詳情，請參見威脅分析、日誌分析、回溯分析。
查看日誌
單擊操作列的查看日志，跳轉至回溯分析功能，並根據該登入行為包含的源IP地址、目標埠等條件式篩選日誌資訊。
查看弱口令風險詳情
1. 單擊操作列詳情，在詳情面板，查看目標資產的弱口令風險的基本信息和弱口令登入詳情。
2. 單擊操作列查看Payload，可查看該條記錄的詳細Payload資訊。單擊可匯出該識別記錄中包含的所有弱口令登入詳情。

查看純文字密碼登入行為

在登录行为 > 明文密码頁簽中

查看資產詳情
1. 在純文字密碼登入風險列表中，單擊目的IP列的地址，可查看資產IP對應的资产信息。
2. 在资产信息對話方塊下方地區，單擊威胁分析、协议日志或报文检索跳轉至對應頁面，對當前指定IP進行分析。具體詳情，請參見威脅分析、日誌分析、回溯分析。
查看日誌
單擊操作列的查看日志，跳轉至回溯分析功能，並根據該登入行為包含的源IP地址、目標埠等條件式篩選日誌資訊。
查看純文字密碼登入風險詳情
1. 單擊操作列詳情，在詳情面板，查看目標資產的純文字密碼登入的基本資料和純文字密碼登入詳情。
2. 單擊操作列查看Payload，可查看該條記錄的詳細Payload資訊。單擊可匯出該識別記錄中包含的所有純文字密碼登入詳情。

查看已泄漏AKSK登入行為

在登录行为 > 已泄漏AKSK頁簽中

查看資產詳情
1. 在已泄露AKSK登入風險列表中，單擊目的IP列的地址，可查看資產IP對應的资产信息。
2. 在资产信息對話方塊下方地區，擊威胁分析、协议日志或报文检索跳轉至對應頁面，對當前指定IP進行分析。具體詳情，請參見威脅分析、日誌分析、回溯分析。
查看日誌
單擊操作列的查看日志，跳轉至回溯分析功能，並根據該登入行為包含的目的IP、目的連接埠等條件式篩選日誌資訊。
查看已泄漏AKSK登入風險詳情
1. 單擊操作列詳情，在詳情面板，查看目標資產的基本資料和已泄漏AKSK登入詳情。
2. 單擊操作列查看Payload，可查看該條記錄的詳細Payload資訊。單擊可匯出該識別記錄中包含的所有已泄漏AKSK登入詳情。

其他動作

資料匯出
1. 單擊列表右上方的按鈕，可添加下載任務。
2. 單擊頁面右上方的下载任务，在任务列表中，查看所有風險類型的下載任務。
3. 對执行完成的下載任務可以單擊下載或刪除操作。
查看敏感性資料
單擊敏感信息，可以查看登入行為中包含的敏感資訊。
自訂欄表展示欄位
單擊按鈕，自訂欄表展示欄位。

查看敏感性資料行為

在左側導覽列，選擇检测响应 > 行为分析。

在敏感数据行为頁簽中，查看已接入資產檢測到的敏感性資料傳輸行為及敏感性資料詳情。

敏感等級	說明
S1	不敏感性資料，公開該類資料在絕大多數情況下不會造成危害。如省份、城市、商品名稱等。
S2	一般敏感性資料，不適合公開該資料，資料泄露的危害程度較低。如姓名、地址等。
S3	關鍵敏感性資料，資料敏感程度較高，少量泄漏即會帶來嚴重危害。如各類身份證件、帳號密碼、資料庫資訊等。
S4	核心機密資料，任何情況下不應泄露。如基因、指紋、虹膜等。

查看資產詳情
1. 在敏感性資料行為列表中，單擊IP位址段列的IP，可查看資產IP對應的资产信息。
2. 在资产信息對話方塊下方地區，單擊威胁分析、协议日志或报文检索跳轉至對應頁面，對當前指定IP進行分析。具體詳情，請參見威脅分析、日誌分析、回溯分析。
查看日誌
單擊操作列的查看日志，跳轉至回溯分析 > 協議解析回溯功能，並根據該登入行為包含的條件式篩選日誌資訊。
查看敏感性資料行為詳情
- 單擊操作列詳情，在詳情面板，查看目標資產敏感性資料行為的基本信息和敏感信息风险详情。
- 單擊敏感信息数量列的數字，可查看該條記錄中包含的敏感資訊。
- 單擊操作列查看Payload，可查看該條記錄的詳細Payload資訊。單擊可匯出該識別記錄中包含的所有敏感資訊風險詳情。

查看高危服務行為

在左側導覽列，選擇检测响应 > 行为分析。
在高危服务行为分析頁簽中，查看檢測的高危服務行為的詳細資料。
單擊操作列的查看日志，跳轉至回溯分析 > 協議解析回溯頁簽中，並按照條件式篩選日誌資訊。

查看資料庫行為分析

在左側導覽列，選擇检测响应 > 行为分析。

在数据库行为分析頁簽中，查看公網和私網的資料庫風險行為相關資訊。

風險類型說明

風險類型	說明
資料與資訊異常	資料與資訊異常風險是指資料庫操作中涉及超出常規範圍的敏感資訊讀取行為，可能導致系統關鍵資訊泄露或暴露資料庫內部狀態。這類風險通常表現為未經授權的系統中繼資料查詢、敏感表訪問、環境參數擷取等操作，例如嘗試讀取資料庫核心配置、使用者權限結構或系統版本資訊。此類異常操作危害在於泄漏出系統內部敏感資訊，為後續的資料竊取等安全事件提供了關鍵情報。因此，需通過審計機制識別潛在的非必要資訊暴露路徑，在滿足業務需求的同時保障資料資產的機密性。 `SELECT * FROM information_schema.tables; SELECT * FROM pg_settings; SELECT * FROM mysql.user;` 此類異常操作可能為後續的安全攻擊提供資訊支援，構成潛在的安全威脅。因此，有必要通過完善的審計機制識別這些異常行為，限制非必要的資訊暴露路徑，在保障業務正常運作的同時，切實維護資料資產的機密性與安全性。
檔案系統修改風險	檔案系統修改風險主要指在資料庫運行過程中，對關鍵檔案或核心配置進行變更的操作行為。此類風險通常由營運操作失誤或異常指令觸發，可能導致系統核心參數被非法篡改、敏感性資料泄露，或整體系統穩定性受到損害。例如，通過特定語句不當修改日誌儲存路徑或調整安全性原則限制，可能為未授權訪問或惡意代碼注入創造條件。 `SET GLOBAL slow_query_log_file = '/tmp/slow_query.log'; ALTER SYSTEM SET shared_preload_libraries = 'pg_stat_statements,auto_explain'; SET GLOBAL local_infile = 1;` 及時對這類操作進行審計與追蹤，不僅有助於確保資料庫配置的合規性和安全性，還能有效維護底層運行環境的完整性與可控性，防止因配置異常引發的連鎖安全問題，從而提升整體系統的安全防護能力。
許可權配置風險	許可權配置風險是指在資料庫營運過程中，由於許可權分配不當或安全性原則配置錯誤，導致特權資訊被過度暴露或存取控制機制失效的安全隱患。該類風險通常涉及許可權授予、身分識別驗證參數調整、系統級資源管控等關鍵操作，具有較高的安全敏感性。例如： `GRANT ALL PRIVILEGES ON . TO 'dev_user'@'%'; CREATE USER admin IDENTIFIED BY 'admin'; GRANT ALL ON customer_data TO public;` 此類風險主要表現為：高危許可權的非必要擴散、核心安全機制被降級、或啟用可能被用於提權的敏感功能等。不當的許可權配置可能破壞“最小許可權原則”，為未授權操作、橫向移動攻擊提供可乘之機，進而導致敏感性資料泄露或系統被非法控制。為有效防控此類風險，應通過審計機制識別超出業務需求的許可權授予行為、偏離安全基準的參數配置等異常情況，確保許可權體系設計符合職責分離原則，強化資料庫整體的安全管控能力，防範因特權濫用引發的資料越權訪問或系統級安全事件。
資料刪除風險	資料刪除風險是指在資料庫營運過程中，可能直接導致資料丟失或關鍵結構被破壞的高危操作行為，主要涉及對資料表、資料庫、視圖等核心對象的刪除操作。此類操作往往缺乏必要的篩選條件或業務合理性校正，例如無範圍限制的敏感性資料清除、整庫刪除、函數及預存程序等相依元件的刪除等，可能直接引發業務中斷、歷史資料無法復原丟失或系統功能鏈的斷裂。 `DELETE FROM user_credentials; TRUNCATE TABLE financial_transactions; DROP DATABASE sales_system; DROP TRIGGER trg_after_insert;` 該風險不僅涵蓋顯式的 DDL 操作（如 DROP、TRUNCATE），還包括未設定精準過濾條件的 DML 刪除語句（如 DELETE）。為有效識別並控制此類高危行為，需通過審計機制檢測非常規的刪除模式，在保障正常營運操作的前提下，防範因誤操作或惡意行為引發的資料資產損毀風險，切實保障資料完整性與商務持續性。

單擊操作列的詳情，查看風險行為詳情、AI智能分析及處置建議。
單擊操作列的查看日志，跳轉至回溯分析 > 協議解析回溯頁簽中，並按照條件式篩選資料。具體操作，請參見協議解析回溯。

Cloud Firewall：行為分析