本文介绍增值内容函数的语法规则,包括函数及参数说明、示例等。

函数列表

类型函数说明
威胁情报e_threat_intelligence获取日志字段中IP地址或域名的威胁情报信息并输出到指定字段。
风险识别e_saf获取日志字段中IP地址的风险识别信息,并输出到指定字段。

e_threat_intelligence

调用e_threat_intelligence函数获取日志字段中IP地址或域名的威胁情报信息并输出到指定字段。
  • 若所扫描内容没有威胁情报信息,则不会输出到指定字段,不影响您的数据加工任务。
  • 由阿里云威胁情报服务提供最近30天出现的威胁情报信息,每天更新一次。若您需要详细的威胁情报信息,请开通阿里云威胁情报服务进行查询。具体操作,请参见开通免费试用
说明 该函数目前在开放公测阶段,您可以通过数据加工功能免费使用该函数,且调用次数不受限制。
支持使用该函数的地域如下表所示。
地域
华东1(杭州)西南1(成都)
华东1(杭州-金融云)中国(香港)
华东2(上海)日本(东京)
华东2(上海-金融云)韩国(首尔)
华北1(青岛)新加坡
华北2(北京)澳大利亚(悉尼)
华北2(北京-金融云)马来西亚(吉隆坡)
华北2 阿里政务云1印度尼西亚(雅加达)
华北3(张家口)菲律宾(马尼拉)
华北5(呼和浩特)阿联酋(迪拜)
华北6(乌兰察布)美国(硅谷)
华南1(深圳)德国(法兰克福)
华南1(深圳-金融云)美国(弗吉尼亚)
华南2(河源)印度(孟买)
华南3(广州)英国(伦敦)

  • 函数格式

    e_threat_intelligence(category, field, output_field=None, mode="overwrite")

  • 参数说明

    参数名称参数类型是否必填说明
    categoryString威胁情报类型。取值包括:
    • ip:通过IP地址获取IP地址的威胁情报信息。
    • domain:通过域名获取域名的威胁情报信息。
    fieldString获取威胁情报信息的日志字段名称。
    output_fieldString威胁情报信息输出字段的名称。如果没有指定,默认输出到__threat_intelligence__:field字段。
    modeString字段的覆盖模式。默认为overwrite。更多字段详情请参见字段提取检查与覆盖模式

  • 返回结果

    返回的威胁情报信息以JSON格式输出到output_field定义的字段中,其各参数说明如下表。
    • IP地址威胁情报返回结果
      参数说明
      confidence威胁情报数据置信度,取值范围为[0, 100]之间的整数值,值越大置信度越高。
      severity威胁情报对应威胁级别。
      • 0:无威胁
      • 1:低危险
      • 2:中危险
      • 3:高危险
      • 4:严重威胁
      family表示恶意家族。固定取值为空。
      ioc_typeIP地址类型。目前仅支持IPv4类型IP地址。
      ioc_raw获取威胁情报信息的IP地址。
      intel_type风险标签类型,标签之间使用半角分号(;)分隔。
      • web_attack:网络攻击的IP地址。
      • tor:TOR(Top of Rack)节点的IP地址。
      • mining:挖矿的IP地址。
      • c2:C2 IP地址。
      • malicious:恶意下载源的IP地址。
      • exploit:发起Exploit攻击的IP地址。
      • webshell:发起Webshell攻击的IP地址。
      • scan:网络服务扫描的IP地址。
      countryIP地址所属的国家。
      provinceIP地址所属的省份。
      cityIP地址所属的城市。
      ispIP地址所属网络的电信运营商。
    • 域名威胁情报返回结果
      参数说明
      confidence威胁情报数据置信度,取值范围为[0, 100]之间的整数值,值越大置信度越高。
      severity威胁情报对应威胁级别。
      • 0:无威胁
      • 1:低危险
      • 2:中危险
      • 3:高危险
      • 4:严重威胁
      family表示恶意家族。固定取值为空。
      ioc_type域名。固定取值为domain。
      ioc_raw获取威胁情报信息的域名。
      intel_type风险标签类型,标签之间使用半角分号(;)分隔。更多信息,请参见风险标签类型说明
      root_domain扫描域名所属的根域名。

  • 函数示例

    • 示例1:扫描IP地址的威胁情报信息,并输出到指定字段。
      • 原始日志
        remote_addr: 203.0.113.1
method: GET
      • 加工规则
        通过remote_addr字段获取该IP地址的威胁情报信息,并输出到指定字段threat_info中。
        e_threat_intelligence("ip", "remote_addr", output_field="threat_info")
      • 加工结果
        threat_info:{
    "confidence": 100,
    "severity": 4,
    "family": "",
    "ioc_raw": "203.0.113.1",
    "ioc_type": "ipv4",
    "intel_type": "web",
    "country": "中国",
    "province": "浙江省",
    "city": "杭州市",
    "isp": "电信"
    }
method:GET
remote_addr:203.0.113.1
    • 示例2:扫描IP地址的威胁情报信息,并输出到默认字段。
      • 原始日志
        remote_addr: 203.0.113.1
method: GET
      • 加工规则
        通过remote_addr字段获取该IP地址的威胁情报信息,并输出到默认字段。
        e_threat_intelligence("ip", "remote_addr")
      • 加工结果
        __threat_intelligence__:remote_addr:{
    "confidence": 100,
    "severity": 4,
    "family": "",
    "ioc_raw": "203.0.113.1",
    "ioc_type": "ipv4",
    "intel_type": "web",
    "country": "中国",
    "province": "浙江省",
    "city": "杭州市",
    "isp": "电信"
    }
method:GET
remote_addr:203.0.113.1
    • 示例3:扫描域名的威胁情报信息,并输出到指定字段。
      • 原始日志
        domain_name: www.02a470ee85e5c43f27b9c42a3c46a8bb.info
      • 加工规则
        通过domain_name字段获取该域名的威胁情报信息,并输出到指定字段_ti_中。
        e_threat_intelligence("domain", "domain_name", output_field="_ti_")
      • 加工结果
        domain_name: www.02a470ee85e5c43f27b9c42a3c46a8bb.info
_ti_: {
  "confidence": 91,
  "severity": 3,
  "family": "",
  "ioc_raw": "www.02a470ee85e5c43f27b9c42a3c46a8bb.info",
  "ioc_type": "domain",
  "root_domain": "02a470ee85e5c43f27b9c42a3c46a8bb.info",
  "intel_type": "sinkhole;rat_trojan;js_miner"
}

e_saf

调用e_saf函数获取日志字段中IP地址的风险识别信息,并输出到指定字段。

  • 若所扫描内容没有风险内容信息,则不会输出到指定字段,不影响您的数据加工任务。
  • 由阿里云风险识别服务提供风险内容信息。更多信息,请参见什么风险识别
说明 该函数目前在公测阶段,您可以通过数据加工功能免费使用该函数,且调用次数不受限制。
支持使用该函数的地域如下表所示。
地域
西南1(成都)华北2(北京)
华东2(上海)新加坡

  • 函数格式

    e_saf(category, field, output_field=None, mode="overwrite")

  • 参数说明

    参数名称参数类型是否必填说明
    categoryString扫描类型。取值为ip,表示通过IP地址获取风险识别信息。
    fieldString获取风险识别信息的日志字段名称。
    output_fieldString风险识别信息输出字段的名称。如果没有指定,默认输出到__saf__:field字段。
    modeString字段的覆盖模式。默认为overwrite。更多字段详情请参见字段提取检查与覆盖模式

  • 返回结果

    返回的风险识别信息以JSON格式输出到output_field定义的字段中,其各参数说明如下表。
    参数说明
    isIdc是否为IDC机房IP地址。
    • 0:不是。
    • 1:是。
    isProxy是否为代理IP地址。
    • 0:不是。
    • 1:是。
    isNat是否为NAT IP地址。
    • 0:不是。
    • 1:是。
    isBase是否为基站IP地址。
    • 0:不是。
    • 1:是。
    score请求服务返回的数据置信度,取值范围为[0, 1]之间,值越大代表风险越高。
    • 0:低风险
    • (0, 0.35]:中风险
    • (0.35, 0.5]:中高风险
    • (0.5, 1]:高风险

  • 函数示例

    • 示例1:扫描IP地址的风险识别信息,并输出到默认字段。
      • 原始日志
        remote_addr: 203.0.113.1
      • 加工规则
        通过remote_addr字段获取该IP地址的风险识别信息,并输出到默认字段。
        e_saf("ip", "remote_addr")
      • 加工结果
        __saf__:remote_addr: {
"score": 0.0,
"isIdc": 0,
"isNat": 0,
"isBase": 0,
"isProxy": 0
}
remote_addr:203.0.113.1
    • 示例2:扫描IP地址的风险信息识别,并输出到指定字段。
      • 原始日志
        remote_addr: 203.0.113.1
      • 加工规则
        通过remote_addr字段获取该IP地址的风险识别信息,并输出到指定字段_saf_中。
        e_saf("ip", "remote_addr",output_field="_saf_")
      • 加工结果
        _saf_:  {
"score": 0.0,
"isIdc": 0,
"isNat": 0,
"isBase": 0,
"isProxy": 0
}
remote_addr:203.0.113.1

附录

表 1. 域名风险标签
风险标签说明风险标签说明
malware恶意软件botnet僵尸网络
spy_trojan间谍木马trojan木马
worm蠕虫bank_trojan银行木马
ransomware勒索adware广告软件
backdoor_trojan后门木马exploit漏洞利用
hacktool黑客工具malicious_doc恶意文档
infected_virus感染型病毒bootkit_trojanBootKit木马
trojan_dropper木马释放器script_trojan脚本木马
riskware风险软件virus病毒
aptAPTtrojan_downloader木马下载器
rat_trojan远控木马rat远控
hijack劫持ddos_trojanDDos木马
macro_virus宏病毒spam_email垃圾邮件
porn色情网站js_miner网页挖矿
rootkit_trojanRootkit木马compromised_host失陷主机
private_server外挂私服gamble博彩网站
c2中控dnslog_attackDNSLOG攻击
miner挖矿infostealer信息盗取
malicious_group恶意团伙malicious恶意站点
sinkholeSinkholeminer_pool矿池
dgaDGA