日志审计服务支持对接入日志服务的云产品日志进行威胁情报检测,有效识别云产品使用过程中存在的潜在威胁。日志审计服务还支持以告警方式将检测到的异常及时通知给相关人员,提高威胁检查效率和响应速度。

限制与说明

  • 对于SLB、OSS、PolarDB-X 1.0等支持区域化存储的云产品,必须开启中心化存储功能后,才支持威胁情报功能。如何开启中心化存储功能,请参见首次配置
  • 对于RDS、操作审计等仅支持中心化存储的云产品,开启威胁情报功能后,系统将在日志审计中心Project下自动创建transit_log Logstore及威胁情报富化的加工任务。关于威胁情报富化的加工任务的更多信息,请参见增值内容函数
  • 日志审计服务中的威胁情报功能是基于阿里云威胁情报服务提供最近30天的威胁情报信息,每天更新一次。如果您需要详细的威胁情报信息,请开通阿里云威胁情报服务进行查询。具体操作,请参见开通免费试用
  • 威胁情报功能所支持的云产品以控制台实际显示为准。

操作步骤

  1. 登录日志服务控制台
  2. 日志应用区域,单击日志审计服务
  3. 云产品接入 > 全局配置页面,单击修改
  4. 云产品列表中,找到目标云产品,打开威胁情报开关。
  5. 单击确定

威胁情报字段

开启威胁情报功能后,当云产品存在潜在威胁时,对应的云产品日志中将生成威胁情报相关的字段。

  • IP地址威胁情报
    表 1. IP地址威胁情报
    字段 说明
    confidence 威胁情报数据置信度。取值范围为[0, 100]之间的整数值,值越大置信度越高。
    severity 威胁级别。包括:
    • 0:无威胁
    • 1:低危险
    • 2:中危险
    • 3:高危险
    • 4:严重威胁
    family 恶意家族,固定取值为空。
    ioc_type IP地址类型,目前仅支持IPv4类型。
    ioc_raw 获取威胁情报信息的IP地址
    intel_type 风险标签类型。包括:
    • web_attack:网络攻击的IP地址
    • tor:TOR(Top of Rack)节点的IP地址
    • mining:挖矿的IP地址
    • c2:C2 IP地址
    • malicious:恶意下载源的IP地址
    • exploit:发起Exploit攻击的IP地址
    • webshell:发起Webshell攻击的IP地址
    • scan:网络服务扫描的IP地址

    标签之间使用半角分号(;)分隔。

    country IP地址所属的国家
    province IP地址所属的省份
    city IP地址所属的城市
    isp IP地址所属网络的电信运营商
  • 域名威胁情报
    表 2. 域名威胁情报
    字段 说明
    confidence 威胁情报数据置信度,取值范围为[0, 100]之间的整数值,值越大置信度越高。
    severity 威胁级别。包括:
    • 0:无威胁
    • 1:低危险
    • 2:中危险
    • 3:高危险
    • 4:严重威胁
    family 恶意家族,固定取值为空。
    ioc_type 域名,固定取值为domain。
    ioc_raw 获取威胁情报信息的域名
    intel_type 风险标签类型,标签之间使用半角分号(;)分隔。更多信息,请参见表 3
    root_domain 扫描域名所属的根域名
    表 3. 域名风险标签
    风险标签 说明
    malware 恶意软件
    spy_trojan 间谍木马
    worm 蠕虫
    ransomware 勒索
    backdoor_trojan 后门木马
    hacktool 黑客工具
    infected_virus 感染型病毒
    trojan_dropper 木马释放器
    riskware 风险软件
    apt APT
    rat_trojan 远控木马
    hijack 劫持
    macro_virus 宏病毒
    porn 色情网站
    js_miner 网页挖矿
    compromised_host 失陷主机
    gamble 博彩网站
    dnslog_attack DNSLOG攻击
    infostealer 信息盗取
    malicious 恶意站点
    dga DGA
    botnet 僵尸网络
    trojan 木马
    bank_trojan 银行木马
    adware 广告软件
    exploit 漏洞利用
    malicious_doc 恶意文档
    bootkit_trojan BootKit木马
    script_trojan 脚本木马
    virus 病毒
    trojan_downloader 木马下载器
    rat 远控
    ddos_trojan DDos木马
    spam_email 垃圾邮件
    miner_pool 矿池
    rootkit_trojan Rootkit木马
    private_server 外挂私服
    c2 中控
    miner 挖矿
    malicious_group 恶意团伙
    sinkhole Sinkhole