本文介绍增值内容函数的语法规则,包括函数及参数说明、示例等。
函数列表
类型 | 函数 | 说明 |
威胁情报 | 获取日志字段中IP地址或域名的威胁情报信息并输出到指定字段。 | |
风险识别 | 获取日志字段中IP地址的风险识别信息,并输出到指定字段。 |
e_threat_intelligence
调用e_threat_intelligence函数获取日志字段中IP地址或域名的威胁情报信息并输出到指定字段。
若所扫描内容没有威胁情报信息,则不会输出到指定字段,不影响您的数据加工任务。
由阿里云威胁情报服务提供最近30天出现的威胁情报信息,每天更新一次。若您需要详细的威胁情报信息,请开通阿里云威胁情报服务进行查询。具体操作,请参见开通免费试用。
该函数目前在开放公测阶段,您可以通过数据加工功能免费使用该函数,且调用次数不受限制。
支持使用该函数的地域如下表所示。
地域 | |
华东1(杭州) | 西南1(成都) |
华东1 金融云 | 中国(香港) |
华东2(上海) | 日本(东京) |
华东2 金融云 | 韩国(首尔) |
华北1(青岛) | 新加坡 |
华北2(北京) | 马来西亚(吉隆坡) |
华北2 金融云(邀测) | 印度尼西亚(雅加达) |
华北2 阿里政务云1 | 菲律宾(马尼拉) |
华北3(张家口) | 阿联酋(迪拜) |
华北5(呼和浩特) | 美国(硅谷) |
华北6(乌兰察布) | 德国(法兰克福) |
华南1(深圳) | 美国(弗吉尼亚) |
华南1 金融云 | 英国(伦敦) |
华南2(河源) | 澳大利亚(悉尼) |
华南3(广州) | 印度(孟买) |
函数格式
e_threat_intelligence(category, field, output_field=None, mode="overwrite")
参数说明
参数名称
参数类型
是否必填
说明
category
String
是
威胁情报类型。取值包括:
ip:通过IP地址获取IP地址的威胁情报信息。
domain:通过域名获取域名的威胁情报信息。
field
String
是
获取威胁情报信息的日志字段名称。
output_field
String
否
威胁情报信息输出字段的名称。如果没有指定,默认输出到
__threat_intelligence__:field
字段。mode
String
否
字段的覆盖模式。默认为overwrite。更多字段详情请参见字段提取检查与覆盖模式。
返回结果
返回的威胁情报信息以JSON格式输出到output_field定义的字段中,其各参数说明如下表。
IP地址威胁情报返回结果
参数
说明
confidence
威胁情报数据置信度,取值范围为
[0, 100]
之间的整数值,值越大置信度越高。severity
威胁情报对应威胁级别。
0:无威胁
1:低危险
2:中危险
3:高危险
4:严重威胁
family
表示恶意家族。固定取值为空。
ioc_type
IP地址类型。目前仅支持IPv4类型IP地址。
ioc_raw
获取威胁情报信息的IP地址。
intel_type
风险标签类型,标签之间使用半角分号(;)分隔。
web_attack:网络攻击的IP地址。
tor:TOR(Top of Rack)节点的IP地址。
mining:挖矿的IP地址。
c2:C2 IP地址。
malicious:恶意下载源的IP地址。
exploit:发起Exploit攻击的IP地址。
webshell:发起Webshell攻击的IP地址。
scan:网络服务扫描的IP地址。
country
IP地址所属的国家。
province
IP地址所属的省份。
city
IP地址所属的城市。
isp
IP地址所属网络的电信运营商。
域名威胁情报返回结果
参数
说明
confidence
威胁情报数据置信度,取值范围为[0, 100]之间的整数值,值越大置信度越高。
severity
威胁情报对应威胁级别。
0:无威胁
1:低危险
2:中危险
3:高危险
4:严重威胁
family
表示恶意家族。固定取值为空。
ioc_type
域名。固定取值为domain。
ioc_raw
获取威胁情报信息的域名。
intel_type
风险标签类型,标签之间使用半角分号(;)分隔。更多信息,请参见风险标签类型说明。
root_domain
扫描域名所属的根域名。
函数示例
示例1:扫描IP地址的威胁情报信息,并输出到指定字段。
原始日志
remote_addr: 203.0.113.1 method: GET
加工规则
通过remote_addr字段获取该IP地址的威胁情报信息,并输出到指定字段threat_info中。
e_threat_intelligence("ip", "remote_addr", output_field="threat_info")
加工结果
threat_info:{ "confidence": 100, "severity": 4, "family": "", "ioc_raw": "203.0.113.1", "ioc_type": "ipv4", "intel_type": "web", "country": "中国", "province": "浙江省", "city": "杭州市", "isp": "电信" } method:GET remote_addr:203.0.113.1
示例2:扫描IP地址的威胁情报信息,并输出到默认字段。
原始日志
remote_addr: 203.0.113.1 method: GET
加工规则
通过remote_addr字段获取该IP地址的威胁情报信息,并输出到默认字段。
e_threat_intelligence("ip", "remote_addr")
加工结果
__threat_intelligence__:remote_addr:{ "confidence": 100, "severity": 4, "family": "", "ioc_raw": "203.0.113.1", "ioc_type": "ipv4", "intel_type": "web", "country": "中国", "province": "浙江省", "city": "杭州市", "isp": "电信" } method:GET remote_addr:203.0.113.1
示例3:扫描域名的威胁情报信息,并输出到指定字段。
原始日志
domain_name: www.02a470ee85e5c43f27b9c42a3c46a8bb.info
加工规则
通过domain_name字段获取该域名的威胁情报信息,并输出到指定字段_ti_中。
e_threat_intelligence("domain", "domain_name", output_field="_ti_")
加工结果
domain_name: www.02a470ee85e5c43f27b9c42a3c46a8bb.info _ti_: { "confidence": 91, "severity": 3, "family": "", "ioc_raw": "www.02a470ee85e5c43f27b9c42a3c46a8bb.info", "ioc_type": "domain", "root_domain": "02a470ee85e5c43f27b9c42a3c46a8bb.info", "intel_type": "sinkhole;rat_trojan;js_miner" }
e_saf
调用e_saf函数获取日志字段中IP地址的风险识别信息,并输出到指定字段。
若所扫描内容没有风险内容信息,则不会输出到指定字段,不影响您的数据加工任务。
由阿里云风险识别服务提供风险内容信息。更多信息,请参见什么风险识别。
该函数目前在公测阶段,您可以通过数据加工功能免费使用该函数,且调用次数不受限制。
支持使用该函数的地域如下表所示。
地域 | |
西南1(成都) | 华北2(北京) |
华东2(上海) | 新加坡 |
函数格式
e_saf(category, field, output_field=None, mode="overwrite")
参数说明
参数名称
参数类型
是否必填
说明
category
String
是
扫描类型。取值为ip,表示通过IP地址获取风险识别信息。
field
String
是
获取风险识别信息的日志字段名称。
output_field
String
否
风险识别信息输出字段的名称。如果没有指定,默认输出到
__saf__:field
字段。mode
String
否
字段的覆盖模式。默认为overwrite。更多字段详情请参见字段提取检查与覆盖模式。
返回结果
返回的风险识别信息以JSON格式输出到output_field定义的字段中,其各参数说明如下表。
参数
说明
isIdc
是否为IDC机房IP地址。
0:不是。
1:是。
isProxy
是否为代理IP地址。
0:不是。
1:是。
isNat
是否为NAT IP地址。
0:不是。
1:是。
isBase
是否为基站IP地址。
0:不是。
1:是。
score
请求服务返回的数据置信度,取值范围为
[0, 1]
之间,值越大代表风险越高。0:低风险
(0, 0.35]:中风险
(0.35, 0.5]:中高风险
(0.5, 1]:高风险
函数示例
示例1:扫描IP地址的风险识别信息,并输出到默认字段。
原始日志
remote_addr: 203.0.113.1
加工规则
通过remote_addr字段获取该IP地址的风险识别信息,并输出到默认字段。
e_saf("ip", "remote_addr")
加工结果
__saf__:remote_addr: { "score": 0.0, "isIdc": 0, "isNat": 0, "isBase": 0, "isProxy": 0 } remote_addr:203.0.113.1
示例2:扫描IP地址的风险信息识别,并输出到指定字段。
原始日志
remote_addr: 203.0.113.1
加工规则
通过remote_addr字段获取该IP地址的风险识别信息,并输出到指定字段_saf_中。
e_saf("ip", "remote_addr",output_field="_saf_")
加工结果
_saf_: { "score": 0.0, "isIdc": 0, "isNat": 0, "isBase": 0, "isProxy": 0 } remote_addr:203.0.113.1
附录
风险标签 | 说明 | 风险标签 | 说明 |
malware | 恶意软件 | botnet | 僵尸网络 |
spy_trojan | 间谍木马 | trojan | 木马 |
worm | 蠕虫 | bank_trojan | 银行木马 |
ransomware | 勒索 | adware | 广告软件 |
backdoor_trojan | 后门木马 | exploit | 漏洞利用 |
hacktool | 黑客工具 | malicious_doc | 恶意文档 |
infected_virus | 感染型病毒 | bootkit_trojan | BootKit木马 |
trojan_dropper | 木马释放器 | script_trojan | 脚本木马 |
riskware | 风险软件 | virus | 病毒 |
apt | APT | trojan_downloader | 木马下载器 |
rat_trojan | 远控木马 | rat | 远控 |
hijack | 劫持 | ddos_trojan | DDos木马 |
macro_virus | 宏病毒 | spam_email | 垃圾邮件 |
porn | 色情网站 | js_miner | 网页挖矿 |
rootkit_trojan | Rootkit木马 | compromised_host | 失陷主机 |
private_server | 外挂私服 | gamble | 博彩网站 |
c2 | 中控 | dnslog_attack | DNSLOG攻击 |
miner | 挖矿 | infostealer | 信息盗取 |
malicious_group | 恶意团伙 | malicious | 恶意站点 |
sinkhole | Sinkhole | miner_pool | 矿池 |
dga | DGA | 无 | 无 |
- 本页导读 (1)