本文介绍增值内容函数的语法规则,包括函数及参数说明、示例等。增值内容函数可以丰富某些日志字段信息,例如通过IP地址可以获取该IP地址的威胁情报信息,并将此信息保存至日志字段中,有助于您分析日志。
e_threat_intelligence
您可以使用e_threat_intelligence函数获取日志字段中IP地址的威胁情报信息并输出到指定字段。- 若所扫描内容没有威胁情报信息,则不会输出到指定字段,不影响您的数据加工任务。
- 由阿里云威胁情报服务提供最近30天出现的威胁情报信息,每天更新一次。若您需要详细的威胁情报信息,请开通阿里云威胁情报服务进行查询。具体操作,请参见开通免费试用。
说明 目前在开放公测阶段,您可以通过数据加工功能免费使用该函数,且调用次数不受限制。
- 函数格式
e_threat_intelligence(category, field, output_field=None, mode="overwrite")
- 参数说明
参数 参数类型 是否必填 说明 category String 是 威胁情报类型。固定取值为ip,表示获取IP地址的威胁情报信息。 field String 是 获取威胁情报信息的日志字段名称。 output_field String 否 威胁情报信息输出字段的名称。如果没有指定,默认输出到 __threat_intelligence__:field
字段。mode String 否 字段的覆盖模式。默认为overwrite。更多字段详情请参见字段提取检查与覆盖模式。 - 返回结果
返回的威信情报信息以JSON格式输出到output_field定义的字段中,其各参数说明如下表。
参数 说明 confidence 威胁情报数据置信度,取值范围为[0, 100]之间的整数值,值越大置信度越高。 severity 威胁情报对应威胁级别。 - 0:无威胁
- 1:低危险
- 2:中危险
- 3:高危险
- 4:严重威胁
family 表示恶意家族。固定取值为空。 ioc_type IP地址类型。目前仅支持IPv4类型IP地址。 ioc_raw 获取威胁情报信息的IP地址。 intel_type 风险标签类型,标签之间使用逗号(,)分隔。 - web_attack:网络攻击的IP地址。
- tor:TOR(Top of Rack)节点的IP地址。
- mining:挖矿的IP地址。
- c2:C2 IP地址。
- malicious:恶意下载源的IP地址。
- exploit:发起Exploit攻击的IP地址。
- webshell:发起Webshell攻击的IP地址。
- scan:网络服务扫描的IP地址。
country IP地址所属的国家。 province IP地址所属的省份。 city IP地址所属的城市。 isp IP地址所属网络的电信运营商。 - 示例
- 输出到指定字段
- 原始日志
remote_addr: 203.0.113.1 method: GET
- 加工规则
通过remote_addr字段获取该IP地址的威胁情报信息,并输出到指定字段_ti_中。
e_threat_intelligence("ip", "remote_addr", output_field="_ti_")
- 加工结果
_ti_:{ "confidence": 100, "severity": 4, "family": "", "ioc_raw": "203.0.113.1", "ioc_type": "ipv4", "intel_type": "web", "country": "中国", "province": "浙江省", "city": "杭州市", "isp": "电信" } method:GET remote_addr:203.0.113.1
- 原始日志
- 输出到默认字段
- 原始日志
remote_addr: 203.0.113.1 method: GET
- 加工规则
通过remote_addr字段获取该IP地址的威胁情报信息,并输出到默认字段。
e_threat_intelligence("ip", "remote_addr")
- 加工结果
__threat_intelligence__:remote_addr:{ "confidence": 100, "severity": 4, "family": "", "ioc_raw": "203.0.113.1", "ioc_type": "ipv4", "intel_type": "web", "country": "中国", "province": "浙江省", "city": "杭州市", "isp": "电信" } method:GET remote_addr:203.0.113.1
- 原始日志
- 输出到指定字段
在文档使用中是否遇到以下问题
更多建议
匿名提交