128 lines
9.0 KiB
JSON
128 lines
9.0 KiB
JSON
|
{
|
|||
|
|
"alerts": {
|
|||
|
|
"PROTO-01": {
|
|||
|
|
"title": "{} 协议被主机 {} 用于连接外部网络。",
|
|||
|
|
"description": "{} 协议一般只用于本地网络。请检查主机 {} ,结合其他警报确认是否存在威胁。"
|
|||
|
|
},
|
|||
|
|
"PROTO-02": {
|
|||
|
|
"title": "存在 {} 个前往 {} 的连接使用了大于或等于 {} 的端口号.",
|
|||
|
|
"description": "共有 {} 个目的地主机为 {} 的连接,使用了端口号 {} 。恶意流量时常使用非标准端口号。我们推荐对该主机地址的声誉进行检查,请参考其他警报并在互联网上搜索该地址。"
|
|||
|
|
},
|
|||
|
|
"PROTO-03": {
|
|||
|
|
"title": "前往主机 {} 的HTTP连接",
|
|||
|
|
"description": "您的设备向主机 {} 发起了未加密的HTTP连接。虽然此行为本身未必来自恶意软件,但大部分智能手机后台运行的软件不会发起未加密的HTTP连接。请在互联网上搜索该地址以检查该主机的声誉。"
|
|||
|
|
},
|
|||
|
|
"PROTO-04": {
|
|||
|
|
"title": "前往主机 {} 的HTTP连接,使用了非标准端口 ({}).",
|
|||
|
|
"description": "您的设备向主机 {} 发起了未加密的HTTP连接,并使用了非标准端口号 {} 。此行为相当异常。请在互联网上搜索该地址以检查该主机的声誉。"
|
|||
|
|
},
|
|||
|
|
"PROTO-05": {
|
|||
|
|
"title": "本次分析期间,主机地址 {} 在DNS解析请求中并未出现过。",
|
|||
|
|
"description": "这说明没有任何域名指向地址 {} ,或者被分析的设备缓存了之前的DNS解析结果。如果该地址出现在其他警报当中,请仔细检查。"
|
|||
|
|
},
|
|||
|
|
"IOC-01": {
|
|||
|
|
"title": "存在前往 {} ({}) 的连接,该地址被标记为 {} 。",
|
|||
|
|
"description": "主机 {} 由于恶意行为已被加入了黑明单。您的设备很可能已被感染,需要由IT安全人员进行深度分析。"
|
|||
|
|
},
|
|||
|
|
"IOC-02": {
|
|||
|
|
"title": "前往 {} 的连接目的地处于 {} 网段,该网段已被标记为 {} 。",
|
|||
|
|
"description": "服务器 {} 所处的网段存在大量已知的恶意活动。虽然该行为本身未必来自恶意软件,您仍然需要检查其他警告是否包含该地址。如果您有所怀疑,请在互联网上搜索该地址,以检查其是否恶意。"
|
|||
|
|
},
|
|||
|
|
"IOC-03": {
|
|||
|
|
"title": "向域名 {} 发起的DNS请求已被标记为 {} 。",
|
|||
|
|
"description": "在截获流量中出现的域名 {} 已被明确标记为恶意。您的设备很可能已被感染,需要由IT安全人员进一步进行深度分析。"
|
|||
|
|
},
|
|||
|
|
"IOC-04": {
|
|||
|
|
"title": "向域名 {} 发起的DNS请求已被标记为 {} 。",
|
|||
|
|
"description": "在截获流量中出现的域名 {} 已被明确标记为追踪器。您的设备上某个活动的应用正在追踪您的地理位置。"
|
|||
|
|
},
|
|||
|
|
"IOC-05": {
|
|||
|
|
"title": "向 {} 发起的DNS请求是一个免费DNS服务商。",
|
|||
|
|
"description": "在截获流量中出现的域名 {} 使用了免费的DNS服务。这类服务经常被网络犯罪份子或国家资助的黑客在行动中使用。后台运行的应用使用这类服务非常可疑,请仔细调查。"
|
|||
|
|
},
|
|||
|
|
"IOC-06": {
|
|||
|
|
"title": "向域名 {} 发起的DNS请求使用了可疑的顶级域名。",
|
|||
|
|
"description": "域名 {} 使用了可疑的顶级域名 ({}). 虽然这并不能确认域名被用于恶意用途,但这个不常见的顶级域名经常被网络犯罪份子或国家资助的黑客在行动中使用。请用搜索引擎在互联网上搜索该域名。如果存在其他警报指向该主机,则非常可疑。"
|
|||
|
|
},
|
|||
|
|
"IOC-07": {
|
|||
|
|
"title": "曾被用于 {} 活动的数字证书被用于与 {} 通信.",
|
|||
|
|
"description": "该数字证书 ({}) 与地址 {} 关联,已被明确标记为恶意。您的设备已被感染,需要对其进行取证分析。"
|
|||
|
|
},
|
|||
|
|
"IOC-08": {
|
|||
|
|
"title": "向 {} 发起的HTTP请求,已被标记为 {} 。",
|
|||
|
|
"description": "在截获流量中出现的域名 {} 已被明确标记为恶意。您的设备很可能已被感染,需要由IT安全人员进一步进行深度分析。"
|
|||
|
|
},
|
|||
|
|
"IOC-09": {
|
|||
|
|
"title": "向 {} 发起的HTTP请求,域名使用了一个免费DNS服务商。",
|
|||
|
|
"description": "域名 {} 使用了免费的DNS服务。这类服务经常被网络犯罪份子或国家资助的黑客在行动中使用。后台运行的应用使用这类服务非常可疑,请仔细调查。"
|
|||
|
|
},
|
|||
|
|
"IOC-10": {
|
|||
|
|
"title": "向 {} 发起的HTTP请求使用了可疑的顶级域名。",
|
|||
|
|
"description": "域名 {} 使用了可疑的顶级域名 ({}). 虽然这并不能确认域名被用于恶意用途,但这个不常见的顶级域名经常被网络犯罪份子或国家资助的黑客在行动中使用。请用搜索引擎在互联网上搜索该域名。如果存在其他警报指向该主机,则非常可疑。"
|
|||
|
|
},
|
|||
|
|
"ACT-01": {
|
|||
|
|
"title": "域名 {} 使用了可疑的域名解析服务器 ({}).",
|
|||
|
|
"description": "域名 {} 使用了可疑的域名解析服务器,该解析器已被明确标记为与恶意活动相关联。网络犯罪份子或国家资助的黑客经常使用此类服务,因为他们允许使用加密货币或匿名支付方式。建议对设备进行取证分析,以便该域名和与其相关的正在运行的应用程序进行深入调查。"
|
|||
|
|
},
|
|||
|
|
"ACT-02": {
|
|||
|
|
"title": "域名 {} 最近刚刚被注册 ({} 天前)。",
|
|||
|
|
"description": "域名 {} 非常新。虽然这本身不说明恶意行为,但黑客攻击者经常在每次攻击中使用新的设施,因此会使用刚刚注册的域名."
|
|||
|
|
},
|
|||
|
|
"SSL-01": {
|
|||
|
|
"title": "在非标准端口 ({}) 上发起SSL连接至 {}",
|
|||
|
|
"description": "在智能手机上,前往非标准端口的SSL连接非常罕见。虽然这可能来自非常正常的应用程序,但我们推荐检查域名 {} 的声誉。请检查该域名的WHOIS记录,对应的AS(Autonomous System, 自治领),域名注册日期,以及在互联网上搜索该域名。"
|
|||
|
|
},
|
|||
|
|
"SSL-02": {
|
|||
|
|
"title": "前往 {} 的SSL连接使用了免费证书。",
|
|||
|
|
"description": "免费SSL证书提供商 (例如 Let's Encrypt) 常被用于与恶意软件和钓鱼网页有关的后端远程控制服务器。我们建议仔细分析该证书对应的主机,检查其域名,注册日期,以及在互联网上的声誉。"
|
|||
|
|
},
|
|||
|
|
"SSL-03": {
|
|||
|
|
"title": "与 {} 关联的自签名证书",
|
|||
|
|
"description": "黑客攻击设施经常使用自签名证书。我们建议仔细分析该证书对应的主机 {} ,检查其域名 (如有) WHOIS记录,注册日期,以及在互联网上的声誉。"
|
|||
|
|
},
|
|||
|
|
"SSL-04": {
|
|||
|
|
"title": "数字证书包含域名 {} ,已被归类为 {}",
|
|||
|
|
"description": "一份被交换的证书中包括了域名 {} 。该域名已被明确标记为恶意。您的设备已确定被感染,需要交给专业团队进行进一步调查。"
|
|||
|
|
},
|
|||
|
|
"ADV-01": {
|
|||
|
|
"title": "请检查 {} 的其他警报",
|
|||
|
|
"description": "请检查主机 {} 的声誉,该地址可能存在恶意活动,在本次分析中已经触发了 {} 个警报。"
|
|||
|
|
},
|
|||
|
|
"SNORT-01": {
|
|||
|
|
"title": "Suricata 入侵检测规则被触发: {}",
|
|||
|
|
"description": "网络入侵检测规则被触发。您的设备很可能已经被入侵,或存在其他可疑行为。"
|
|||
|
|
}
|
|||
|
|
},
|
|||
|
|
"report": {
|
|||
|
|
"numbers": [
|
|||
|
|
"一",
|
|||
|
|
"二",
|
|||
|
|
"三",
|
|||
|
|
"四",
|
|||
|
|
"五",
|
|||
|
|
"六",
|
|||
|
|
"七",
|
|||
|
|
"八",
|
|||
|
|
"九"
|
|||
|
|
],
|
|||
|
|
"suspect_title": "可疑通信",
|
|||
|
|
"uncat_title": "未分类通信",
|
|||
|
|
"whitelist_title": "白名单通信",
|
|||
|
|
"protocol": "协议",
|
|||
|
|
"domain": "域名",
|
|||
|
|
"dst_ip": "目的地IP地址",
|
|||
|
|
"dst_port": "目的地端口号",
|
|||
|
|
"device_name": "设备名称",
|
|||
|
|
"device_mac": "设备 MAC 地址",
|
|||
|
|
"report_generated_on": "报告生成于",
|
|||
|
|
"capture_duration": "流量捕获时长",
|
|||
|
|
"packets_number": "数据包数量",
|
|||
|
|
"capture_sha1": "捕获的 SHA1 哈希",
|
|||
|
|
"report_for_the_capture": "捕获报告",
|
|||
|
|
"report_footer": "此报告由 Tinycheck 设备自动生成。如有任何疑问,错误报告或意见反馈,请联系 tinycheck@kaspersky.com 。",
|
|||
|
|
"high_msg": "您的设备很可能已被入侵,存在 {} 条高级警报.",
|
|||
|
|
"moderate_msg": "您有 {} 条中级警报,您的设备存在被入侵的可能性。请仔细检查这些警报。",
|
|||
|
|
"low_msg": "您只有 {} 条低级警报。请检查。",
|
|||
|
|
"none_msg": "情况正常,没有警报。如果存在未分类通信,请检查。"
|
|||
|
|
}
|
|||
|
|
}
|