本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
威胁分析与响应CTDR(Cloud Threat Detection and Response)产品日志接入策略需要绑定标准化接入规则,标准化规则利用SLS日志服务的SPL语法及数据集实现了对日志的解析。
标准化规则来源说明
标准化接入规则采用SPL语法将接入日志映射至数据集,提炼日志关键字段信息,为后续日志解析规则生成告警信息提供数据支撑。
规则来源 | 说明 | 支持的操作 |
预定义 |
| 查看 |
自定义 |
|
|
标准化规则操作说明
前提条件
已购买并开通威胁分析与响应服务,具体操作请参见购买并开通威胁分析与响应。
创建自定义标准化规则
登录云安全中心控制台。
在左侧导航栏,选择标准化规则页签内,单击左上角创建自定义规则。 。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
您可参考以下信息,完成基本配置。
配置项名称
配置项说明
规则名称
用户自定义
厂商
预定义厂商:阿里云、飞塔、长亭、微软、深信服、腾讯云、华为云、山石网科、斗象科技,微软云等。
用户自定义厂商:如何创建厂商请参见步骤一:新增产品。
产品
自动拉取厂商下所有的产品,例如阿里云云安全中心、飞塔防火墙等,CTDR支持的产品请参见支持接入的产品和日志。
标准化分类/结构
标准化分类:网络日志、主机日志、安全日志、审计日志、快照日志、登录日志、其他日志。
标准化结构:
一个标准化分类包含多个标准化结构。
一个标准化结构对应一组标准化字段和一个数据集(StoreView)。而一个数据集又映射为多个标准化结构。
说明如何查看标准化分类/结构的对应的数据集和标准化字段,请参见数据集说明。
备注
可为当前标准化规则增加特征描述,方便快速查找及增加可读性。
设置SPL语法并进行日志标准化测试。
选择数据源:请选择自定义规则需要分析的数据源。
填写SPL语法。
您可以将预定义规则以及已有的自动定义规则作为模板来使用。这些规则所对应的 SPL语法,您可在详情页查看。
也可参考SPL语法文档自定义编写。
进行标准化测试。
警告若当前数据源无数据,SPL语法将无法解析日志并返回结果,从而导致无法选择测试数据,标准化测试无法完成。
点击
按钮,并选择一个测试数据,单击解析并测试。
测试通过后,单击左下角完成。
修改标准化规则
仅自定义规则支持修改。
登录云安全中心控制台。
在左侧导航栏,选择 。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
找到需要修改的规则,单击操作列的编辑按钮。
在编辑页修改相关内容。支持修改的配置项如下:
基本设置:规则名称、备注。
SPL语法:修改完SPL语法,仍需要进行日志标准化测试规则,具体操作可参考设置SPL语法并进行日志标准化测试。
删除标准化规则
预定义规则不允许删除。
已绑定接入策略的标准化规则不可删除。
登录云安全中心控制台。
在左侧导航栏,选择 。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
找到需要删除的规则,单击操作列的删除按钮。
数据集说明
数据集Storeview基于Logstore创建的虚拟资源,它们用于管理和保存多个Logstore之间的关联关系。通过数据集(Storeview),您可以对不同Logstore中的日志进行统一查询,但是数据集(Storeview)不支持对日志的修改操作。
标准化规则和数据集对应关系说明
标准化规则需要配置标准化分类/结构,每一个标准化分类包含多种标准化结构,每一种结构对应一个存储数据集(StoreView)和一组标准化字段。而一个数据集(StoreView)又映射到多个标准化结构。对应关系可参考下图:
对产品接入的影响
产品接入时CTDR根据SPL语法按照数据集中对应数据标准字段对产品日志进行解析,再匹配威胁检测规则,最终识别出安全风险。此外数据集还会对接入策略有如下配置限制:
若数据集(StoreView)已经绑定了5个扫描查询模式的接入策略,则新增策略的标准化方式只允许“实时消费”不支持“扫描查询“,标准化方式说明请参见标准化接入方式说明。
查看数据集
常用的数据集如下表:
标准化分类 | 标准化结构 | 数据集名称 |
网络日志 | 五元组日志 | network_activity |
DNS类日志 | ||
HTTP日志 | ||
主机日志 | 进程网络外联日志 | process_activity |
进程写文件日志 | ||
进程启动日志 | ||
进程请求DNS日志 | ||
安全日志 | API安全风险日志 | risk_activity |
云产品基线日志 | ||
主机基线日志 | ||
云平台操作告警日志 | alert_activity | |
API安全告警日志 | ||
端点检测与响应告警日志 | ||
防火墙告警日志 | ||
主机网络告警日志 | ||
Web应用防火墙告警日志 | ||
其他告警日志 | ||
爬虫告警日志 | ||
漏洞日志 | vulnerability_activity | |
审计日志 | 堡垒机审计日志 | audit_activity |
非关系型数据库审计日志 | ||
云平台操作审计日志 | ||
K8s审计日志 | ||
Windows安全事件日志 | ||
API网关审计日志 | ||
关系型数据库审计日志 | ||
对象存储审计日志 | ||
Azure活动目录审计日志 | ||
Azure活动目录登录日志 | ||
快照日志 | 账户快照 | account_activity |
进程启动快照 | process_activity | |
网络链接快照 | ||
登录日志 | 云平台登录日志 | login_activity |
主机登录失败日志 | ||
主机登录日志 |
若您想查看更多数据集信息,可参考以下步骤。
登录云安全中心控制台。
在左侧导航栏,选择标准化规则页签内,单击左上角查看标准字段。 。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
标准化字段列表,左侧日志活动分类列表项即为CTDR支持的标准化分类,列表根节点即为标准化结构。在右侧可查看数据集(StoreView)名称及标准化字段列表。
相关文档
若您想要了解如何绑定标准化规则,请参见产品接入。
若您想了解默认标准化规则支持的产品,请参见支持接入的产品和日志。
若您想了解更多关于CTDR2.0架构信息,请参见威胁分析与响应2.0。
若您在操作时遇到问题,可参见常见问题寻求解决方案。