本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
威胁分析与响应CTDR(Cloud Threat Detection and Response)内置了预定义检测规则,可以深入检测分析已接入的告警和日志,还原威胁攻击链路和时间线,并生成融合告警及详细的安全事件。除此之外还支持自定义检测规则,构建贴合自身业务的威胁检测体系。
功能说明
功能概述
CTDR的规则管理功能通过对标准化日志进行分析,或调用内置剧本生成聚合分析告警和自定义分析告警,基于图计算、告警透传、同类聚合等方式生成安全事件,以便您对威胁事件进行处置。规则管理支持调用以下规则体生成告警和事件:
SQL语法:基于SQL语法对生效范围内的日志进行过滤、特征匹配、窗口统计等关联分析,进行告警检测和事件生成。
剧本:基于剧本调用云产品API,通过剧本流程判断,进行告警检测和事件生成。一般用于业务状态预警。
规则类型
规则类型 | 说明 |
预定义 | 预定义规则提供开箱即用的威胁检测规则,通过分析其生效日志范围已接入CTDR的日志,命中规则后会生成的安全告警在页面聚合分析告警页签展示;预定义规则使用图关联技术,将存在相同资产、IOC的告警聚合生成事件,会对除自定义分析告警外其他全部告警进行关联聚合。 |
自定义 | 自定义规则支持灵活的扩展规则,并基于复杂的威胁检测场景提供了规则模板,便于您快速在规则模板的基础上自定义威胁检测规则。自定义规则可以基于SQL语法、剧本实现威胁检测。 命中自定义规则后生产的安全告警在页面自定义分析告警页签展示。自定义规则通过告警透传或同类聚合生成安全事件。 |
事件生成方式说明
图计算:利用图关联技术,对拥有相同的资产、IOC的告警关联聚合生成事件。除自定义分析告警外,对全部告警进行关联聚合。
告警透传:基于分析规则生成的告警,每个告警生成一个安全事件。
同类聚合:所有基于同一分析规则生成的告警聚合为一个安全事件。
使用流程
前提条件
已购买并开通威胁分析与响应。随着购买日志接入流量和日志存储容量的项不同,支持使用的规则管理功能不同。更多信息,请参见购买并开通威胁分析与响应。
开启或关闭预定义规则
预定义分析规则默认启用。支持查看预定义规则的详情、开启或关闭预定义规则,不允许编辑和删除预定义规则。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在预定义页签,查看预定义规则列表。在目标预定义规则操作列单击详情,查看规则的基本信息、告警生成设置和事件生成设置。
单击目标预定义规则的规则启用状态开关,开启或关闭规则。
您也可以在预定义规则列表中,选择目标规则启用状态列下的启用或未启用,开启或关闭规则。
命中预定义规则产生的告警,可在页面聚合分析告警,
创建并启用自定义规则
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在规则模板页签,单击目标模板规则操作列的创建规则。您也可以在自定义页签,单击新增自定义规则。
重要推荐您通过规则模板创建规则,配置更简单高效。
在创建自定义规则面板,基础信息页签输入规则名称和描述后单击下一步。
在告警生成设置页签完成告警生成规则相关配置。
可在页面自定义分析告警,查看生成的告警信息。根据配置的规则体不同,支持的配置项有所不同,配置项的值也略有不同,说明如下:
SQL语法
基于SQL语法对生效范围内的日志进行过滤、特征匹配、窗口统计等关联分析,进行告警检测和事件生成。
规则体
配置项
说明
规则体
默认为SQL。
日志范围
选择该规则检测的日志范围,您需要选择日志的标准化分类和标准化结构。支持选择多个日志标准化结构。
单击标准字段列表链接,可查看当前日志标准化结构对应的日志字段的说明。
SQL查询语句
SQL语句用于查询指定的事件发生的记录,旨在识别潜在的恶意行为。配置SQL查询语句的更多参考如下:
关于SQL语法的更多信息,请参见SQL分析语法与功能。
您也可以使用日志服务Copilot工具,辅助您生成并优化SQL查询语句。更多信息,请参见通过AI智能生成查询与分析语句(Copilot)。
调度设置
规则体是“SQL”的自定义规则,在启用后CTDR会根据调度设置,在日志服务SLS创建的对应的定时SQL任务,SLS会根据调度间隔生成多个执行实例,定时SQL实例相关参数说明如下。更多信息请参见管理定时SQL任务、查询定时SQL结果数据。
任务调度时间:由调度设置的起始时间和调度间隔决定,不受到上一个实例执行超时、延迟、补运行等情况的影响。
例如:规则的起始时间为2025年05月16日10:58:45,调度间隔为5分钟。调度时间依次2025年05月16日10:58:45、2025-05-16 11:03:45、2025-05-16 11:08:45依次类推。
任务执行时间:定时SQL实际开始执行的时间。如果重试任务,则表示最后一次开始执行的时间。
说明定时SQL任务实际执行可能会出现超时、延迟、补运行等情况,导致任务执行时间将和任务调度时间不一致。
SQL查询区范围:SQL分析的时间范围,由任务调度时间和SQL时间窗口决定,与实际的任务执行时间无关。计算规则:[调度时间按分钟取整-SQL时间窗口,调度时间按分钟取整)。
例如:规则的起始时间为2025年05月16日10:58:45,调度间隔为5分钟,SQL时间窗口为5分钟。
第一次定时任务的SQL查询区间如下:
调度时间:2025-05-16 10:58:45
查询的数据时间:[2025-05-16 10:53:00,2025-05-16 10:58:00)
第二次定时任务的SQL查询区间如下:
调度时间:2025-05-16 11:03:45
查询的数据时间:[2025-05-16 10:58:00,2025-05-16 11:03:00)
配置项
说明
调度间隔
设置执行SQL查询的频率,支持以下方式:
固定间隔:允许设置的范围5分钟到24小时。
Cron表达式:最小精度为分钟,格式为24小时制。配置示例如下:
0/5 * * * *:从0分钟开始,每隔5分钟执行一次。0 0/1 * * *:从0点0分开始,每隔1小时执行一次。0 18 * * *:每天18点0分执行一次。0 0 1 * *:每月1日0点0分执行一次。
SQL时间窗口
指定定时SQL实例查询的日志时间范围。允许设置的范围:5分钟~24小时。
重要窗口期要大于或等于“调度间隔”。
起始时间
规则启用后,定时SQL实例开始执行的时间。支持以下方式:
规则启用时:即规则启用的时刻。
指定时间:即设置的具体时刻,精确到分钟。
告警日志生成
CTDR会根据告警日志生成配置项,生成不同的告警日志,可在查看生成的告警日志。
配置项
说明
生成结构
选择该规则产生的告警日志的类型。支持选择:
端点检测与响应告警日志
防火墙告警日志
Web应用防火墙告警日志
其他告警日志
您可以在页面标准化规则页签,单击查看标准字段,查看目标日志类型的基础信息和字段详情。
告警类型
选择当前规则检测出的告警类型。
告警等级
选择当前规则检测出的告警的危险等级。支持选择:
信息
低危
中危
高危
严重
ATT&CK阶段
选择当前规则检测的攻击阶段和攻击技术。如果当前规则检测到的威胁涉及多个攻击阶段,您可以单击新增攻击阶段,新增一条攻击阶段。在同一个攻击阶段中,支持选择多条攻击技术。所有攻击阶段对应的攻击技术加起来需小于等于5个。
告警抑制
系统可根据告警抑制配置的规则,控制生成安全告警的数量,但告警日志的生成与投递不受其影响。
CTDR 按抑制条件各字段值的笛卡尔积进行分组,每个分组在抑制窗口期内生成的安全告警上限为 100 条。当告警记录超过上限时,后续命中相同条件的记录将不再生成安全告警。
配置项
说明
抑制窗口
抑制窗口决定告警记录数量的统计周期。
抑制窗口起始时间为规则产生第一条告警日志数据的时间。
允许设置的范围5分钟到24小时。
说明假设规则产生的第一条告警日志数据时间为2025年05月16日10:58:45,抑制窗口设置为10分钟。则第一个抑制窗口的时间区间为10:58:45~11:08:45,第二个抑制窗口的时间区间为11:08:45~11:18:45,依次类推。
抑制条件
下拉框数据来源于告警日志生成设置生成结构中选择的告警日志对应的标准化日志字段。
您可以在页面标准化规则页签,单击查看标准字段,查看目标日志的基础信息和字段详情。
CTDR 按抑制条件各字段值的笛卡尔积进行分组。
例如:有a和b两个字段抑制条件,其中a的取值集合是{1,2},b的取值集合是{3,4} ,那么一共会出现 {1,3}、{1,4}、 {2,3}、 {2,4}共4个组合,每一个组合就是一个分组。
每个分组在窗口期生成的安全告警上限为100条。
重要抑制条件为非必填项。若不配置抑制条件,则表示在整个窗口期间根据规则生成的安全告警总上限为100条。
剧本
调用云产品API,通过剧本流程判断,进行告警检测和事件生成。一般用于业务状态预警。
说明若规则通过规则模板(剧本类)创建的,在规则创建完成后会自动创建一个对应的自定义剧本,你可在的自定义剧本页签查看。
规则体
配置项
说明
规则体
选择剧本。
剧本名称
若是通过规则模板(剧本类)创建规则,可修改剧本名称但需要保证剧本名称唯一。
若是通过自定义页签单击新增自定义规则创建规则,您可在下拉列表中选择合适使用的剧本。
重要仅同时满足下面条件的剧本会展示在此处的下拉列表:
剧本类型为自定义。
剧本状态为已发布。
剧本开始节点输入参数类型必须自定义。
剧本未关联过其他分析检测规则。
剧本描述
若是通过规则模板(剧本类)创建规则,可修改。
若是通过自定义页签单击新增自定义规则创建规则,会自动拉取响应编排中目标剧本的描述信息,不可修改。
参数设置
只有通过规则模板(剧本类)创建规则时,需要进行参数设置。不同的剧本需要配置不同的参数,您可以单击参数右侧的
图标,查看参数的含义和配置说明。授权配置
只有通过规则模板(剧本类)创建规则时,需要进行授权配置。
执行角色:若您还未创建角色,单击去往RAM控制台创建角色,访问控制快速授权页单击确认授权。授权完毕后自动创建一个AliyunSiemSoarExecutionDefaultRole的角色。
警告若您无创建角色操作权限,可联系RAM管理员(有资源管理权限的RAM用户或者主账号),在RAM控制台完成角色创建和信任策略绑定,具体操作请参考创建可信实体为阿里云服务的RAM角色。配置说明如下:
信任主体:云服务。
信任主体名称:cloudsiem.sas.aliyuncs.com。
角色名称:AliyunSiemSoarExecutionDefaultRole
权限策略:系统将根据选择的模板剧本,列出执行剧本所需的权限策略。若您还未绑定权限策略,单击调整权限策略,勾选未授权的策略后,点击前往RAM授权。在访问控制快速授权页完成授权。
警告如果您无授权操作权限,可联系RAM管理员(有资源管理权限的RAM用户或者主账号)为角色AliyunSiemSoarExecutionDefaultRole绑定执行剧本所需要的权限策略,操作步骤请参见为RAM角色授权。
调度设置
规则体是“剧本”的自定义规则,在启用后CTDR会根据调度设置,在CTDR侧创建一个剧本调用定时任务。
说明当定时任务在单个周期内执行剧本失败时,系统将在 30 秒后自动触发一次重试机制。若重试后仍未成功执行,则本次任务流程终止,进入等待状态,直至下一个预设执行周期到来时重新启动任务。
可在响应编排模块,自定义剧本的详情页查看剧本执行记录。
配置项
说明
调度间隔
设置执行剧本的时间间隔,支持以下方式:
固定间隔:允许设置的范围5分钟到24小时。
Cron表达式:最小精度为分钟,格式为24小时制。配置示例如下:
0/5 * * * *:从0分钟开始,每隔5分钟执行一次。0 0/1 * * *:从0点0分开始,每隔1小时执行一次。0 18 * * *:每天18点0分执行一次。0 0 1 * *:每月1日0点0分执行一次。
起始时间
规则启用后,开始执行剧本的时间。支持以下方式:
规则启用时:即规则启用的时刻。
指定时间:即设置的具体时刻,精确到分钟。
告警日志生成
CTDR会根据告警日志生成配置项,生成不同的告警日志,可在查看生成的告警日志。
配置项
说明
生成结构
仅支持选择其他告警日志。
您可以在页面标准化规则页签,单击查看标准字段,查看目标日志类型的基础信息和字段详情。
告警类型
选择当前规则检测出的告警类型。
告警等级
选择当前规则检测出的告警的危险等级。支持选择:
信息
低危
中危
高危
严重
ATT&CK阶段
选择当前规则检测的攻击阶段和攻击技术。如果当前规则检测到的威胁涉及多个攻击阶段,您可以单击新增攻击阶段,新增一条攻击阶段。在同一个攻击阶段中,支持选择多条攻击技术。所有攻击阶段对应的攻击技术加起来需小于等于5个。
告警抑制
系统可根据告警抑制配置的规则,控制生成安全告警的数量,但告警日志的生成与投递不受其影响。
CTDR 按抑制条件各字段值的笛卡尔积进行分组,每个分组在抑制窗口期内生成的安全告警上限为 100 条。当告警记录超过上限时,后续命中相同条件的记录将不再生成安全告警。
配置项
说明
抑制窗口
抑制窗口决定告警记录数量的统计周期。
抑制窗口起始时间为规则产生第一条告警日志数据的时间。
允许设置的范围5分钟到24小时。
说明假设规则产生的第一条告警日志数据时间为2025年05月16日10:58:45,抑制窗口设置为10分钟。则第一个抑制窗口的时间区间为10:58:45~11:08:45,第二个抑制窗口的时间区间为11:08:45~11:18:45,依次类推。
抑制条件
下拉框数据来源于告警日志生成设置生成结构中选择的告警日志对应的标准化日志字段。
您可以在页面标准化规则页签,单击查看标准字段,查看目标日志的基础信息和字段详情。
CTDR 按抑制条件各字段值的笛卡尔积进行分组。
例如:有a和b两个字段抑制条件,其中a的取值集合是{1,2},b的取值集合是{3,4} ,那么一共会出现 {1,3}、{1,4}、 {2,3}、 {2,4}共4个组合,每一个组合就是一个分组。
每个分组在窗口期生成的安全告警上限为100条。
重要抑制条件为非必填项。若不配置抑制条件,则表示在整个窗口期间根据规则生成的安全告警总上限为100条。
在事件生成设置页签完成安全事件生成规则相关配置。
可在页面,查看并处理生成的事件。
配置项
说明
生成事件
选择命中规则的告警是否生成事件。
事件生成方式
告警透传:基于当前规则生成的告警,每个告警生成一个安全事件。
同类聚合:所有基于当前规则生成的告警聚合为一个安全事件。
聚合窗口
同类聚合场景下,才需要配置窗口大小。允许设置的范围5分钟到24小时。
例如:若聚合窗口设置为5分钟,表示将这5分钟内生成的所有安全告警聚合为一个安全事件。
启用自定义规则:新创建的规则为未启用状态,可在自定义规则启用状态列操作列修改状态。
说明建议您在测试完自定义规则后,再启用规则。
测试自定义规则(可选)
启用自定义规则前,您可以修改规则的启用状态为测试中,并查看告警测试结果,来确认规则产生的结果是否符合预期。系统会根据内置的校准逻辑,对告警字段、告警字段值、标准化字段等进行校准。您可以参考控制台提供的校准结果,在必要时调整规则体SQL语法或剧本,以便规则正式启用时,产生的告警日志满足校准要求。
测试环节非必须流程,校准结果不影响规则的启用。
测试产生的告警结果不在安全告警页面展示。
测试自定义规则的具体操作如下:
在自定义页签,将目标规则的启用状态修改为测试中。
在目标规则操作列,单击查看告警测试结果。
在测试结果详情页,查看测试产生的告警趋势图、告警列表。
您可以单击目标告警操作列的详情,查看告警的校准结果。
后续操作
威胁检测规则生效后,若接入的日志信息命中检测规则则会生成对应的安全告警信息和安全事件,你可参考如下说明,对其进行处理:
相关文档
关于云产品日志接入威胁分析与响应的更多信息,请参见接入中心。