日志审计服务支持对接入日志服务的云产品日志进行威胁情报检测,有效识别云产品使用过程中存在的潜在威胁。日志审计服务还支持以告警方式将检测到的异常及时通知给相关人员,提高威胁检查效率和响应速度。
自2023年03月30日起,日志审计服务不再支持开启威胁情报功能。如果您已经开启威胁情报,可继续使用或关闭威胁情报。
限制与说明
关闭威胁情报
登录日志服务控制台。
在日志应用区域,单击日志审计服务。
在页面,单击修改。
在云产品列表中,找到目标云产品,关闭威胁情报开关。
单击确定。
威胁情报字段
开启威胁情报功能后,当云产品存在潜在威胁时,对应的云产品日志中将生成威胁情报相关的字段。
IP地址威胁情报
表 1. IP地址威胁情报
字段
说明
confidence
威胁情报数据置信度。取值范围为[0, 100]之间的整数值,值越大置信度越高。
severity
威胁级别。包括:
0:无威胁
1:低危险
2:中危险
3:高危险
4:严重威胁
family
恶意家族,固定取值为空。
ioc_type
IP地址类型,目前仅支持IPv4类型。
ioc_raw
威胁情报信息的IP地址
intel_type
风险标签类型。包括:
web_attack:网络攻击的IP地址
tor:TOR(Top of Rack)节点的IP地址
mining:挖矿的IP地址
c2:C2 IP地址
malicious:恶意下载源的IP地址
exploit:发起Exploit攻击的IP地址
webshell:发起Webshell攻击的IP地址
scan:网络服务扫描的IP地址
标签之间使用半角分号(;)分隔。
country
IP地址所属的国家
province
IP地址所属的省份
city
IP地址所属的城市
isp
IP地址所属网络的电信运营商
域名威胁情报
表 2. 域名威胁情报
字段
说明
confidence
威胁情报数据置信度,取值范围为[0, 100]之间的整数值,值越大置信度越高。
severity
威胁级别。包括:
0:无威胁
1:低危险
2:中危险
3:高危险
4:严重威胁
family
恶意家族,固定取值为空。
ioc_type
域名,固定取值为domain。
ioc_raw
获取威胁情报信息的域名
intel_type
风险标签类型,标签之间使用半角分号(;)分隔。更多信息,请参见域名风险标签。
root_domain
扫描域名所属的根域名
表 3. 域名风险标签
风险标签
说明
malware
恶意软件
spy_trojan
间谍木马
worm
蠕虫
ransomware
勒索
backdoor_trojan
后门木马
hacktool
黑客工具
infected_virus
感染型病毒
trojan_dropper
木马释放器
riskware
风险软件
apt
APT
rat_trojan
远控木马
hijack
劫持
macro_virus
宏病毒
porn
色情网站
js_miner
网页挖矿
compromised_host
失陷主机
gamble
博彩网站
dnslog_attack
DNSLOG攻击
infostealer
信息盗取
malicious
恶意站点
dga
DGA
botnet
僵尸网络
trojan
木马
bank_trojan
银行木马
adware
广告软件
exploit
漏洞利用
malicious_doc
恶意文档
bootkit_trojan
BootKit木马
script_trojan
脚本木马
virus
病毒
trojan_downloader
木马下载器
rat
远控
ddos_trojan
DDos木马
spam_email
垃圾邮件
miner_pool
矿池
rootkit_trojan
Rootkit木马
private_server
外挂私服
c2
中控
miner
挖矿
malicious_group
恶意团伙
sinkhole
Sinkhole