标准化规则及数据集说明

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

威胁分析与响应CTDR(Cloud Threat Detection and Response)产品日志接入策略需要绑定标准化接入规则,标准化规则利用SLS日志服务的SPL语法数据集实现了对日志的解析。

标准化规则来源说明

标准化接入规则采用SPL语法将接入日志映射至数据集,提炼日志关键字段信息,为后续日志解析规则生成告警信息提供数据支撑。

规则来源

说明

支持的操作

预定义

  • CTDR预先初始化了一批接入解析规则,为其设置好了SPL语法,并绑定了接入策略。内置50+规则模板,将阿里云安全专家经验赋能用户。

查看

自定义

  • 由用户自行创建,可参考预定义规则和已有的自动定义规则为模板。

  • 需要先将日志数据接入到需要用自定义标准化规则解析的数据源中,否则无法完成新增。

  • 新增

  • 查看

  • 修改

  • 删除

标准化规则操作说明

前提条件

已购买并开通威胁分析与响应服务,具体操作请参见购买并开通威胁分析与响应

创建自定义标准化规则

  1. 登录云安全中心控制台

  2. 在左侧导航栏,选择威胁分析与响应 > 接入中心。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)标准化规则页签内,单击左上角创建自定义规则

  3. 您可参考以下信息,完成基本配置

    配置项名称

    配置项说明

    规则名称

    用户自定义

    厂商

    • 预定义厂商:阿里云、飞塔、长亭、微软、深信服腾讯云、华为云、山石网科、斗象科技,微软云等。

    • 用户自定义厂商:如何创建厂商请参见步骤一:新增产品

    产品

    自动拉取厂商下所有的产品,例如阿里云云安全中心、飞塔防火墙等,CTDR支持的产品请参见支持接入的产品和日志

    标准化分类/结构

    标准化分类:网络日志、主机日志、安全日志、审计日志、快照日志、登录日志、其他日志。

    标准化结构:

    • 一个标准化分类包含多个标准化结构

    • 一个标准化结构对应一组标准化字段和一个数据集(StoreView)。而一个数据集又映射为多个标准化结构。

      说明

      如何查看标准化分类/结构的对应的数据集和标准化字段,请参见数据集说明

    备注

    可为当前标准化规则增加特征描述,方便快速查找及增加可读性。

  4. 设置SPL语法并进行日志标准化测试。

    1. 选择数据源:请选择自定义规则需要分析的数据源。

    2. 填写SPL语法。

      您可以将预定义规则以及已有的自动定义规则作为模板来使用。这些规则所对应的 SPL语法,您可在详情页查看。

      image

      也可参考SPL语法文档自定义编写。image

    3. 进行标准化测试。

      警告

      若当前数据源无数据,SPL语法将无法解析日志并返回结果,从而导致无法选择测试数据,标准化测试无法完成。

      点击image按钮,并选择一个测试数据,单击解析并测试

      image

  5. 测试通过后,单击左下角完成

修改标准化规则

重要

仅自定义规则支持修改。

  1. 登录云安全中心控制台

  2. 在左侧导航栏,选择威胁分析与响应 > 接入中心。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  3. 找到需要修改的规则,单击操作列的编辑按钮。

  4. 在编辑页修改相关内容。支持修改的配置项如下:

删除标准化规则

重要
  • 预定义规则不允许删除。

  • 已绑定接入策略的标准化规则不可删除。

  1. 登录云安全中心控制台

  2. 在左侧导航栏,选择威胁分析与响应 > 接入中心。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  3. 找到需要删除的规则,单击操作列的删除按钮。

数据集说明

数据集Storeview基于Logstore创建的虚拟资源,它们用于管理和保存多个Logstore之间的关联关系。通过数据集(Storeview),您可以对不同Logstore中的日志进行统一查询,但是数据集(Storeview)不支持对日志的修改操作。

标准化规则和数据集对应关系说明

标准化规则需要配置标准化分类/结构,每一个标准化分类包含多种标准化结构,每一种结构对应一个存储数据集(StoreView)一组标准化字段。而一个数据集(StoreView)又映射到多个标准化结构。对应关系可参考下图

image

对产品接入的影响

产品接入时CTDR根据SPL语法按照数据集中对应数据标准字段对产品日志进行解析,再匹配威胁检测规则,最终识别出安全风险。此外数据集还会对接入策略有如下配置限制:

若数据集(StoreView)已经绑定了5个扫描查询模式的接入策略,则新增策略的标准化方式只允许“实时消费”不支持“扫描查询“,标准化方式说明请参见标准化接入方式说明

查看数据集

常用的数据集如下表:

标准化分类

标准化结构

数据集名称

网络日志

五元组日志

network_activity

DNS类日志

HTTP日志

主机日志

进程网络外联日志

process_activity

进程写文件日志

进程启动日志

进程请求DNS日志

安全日志

API安全风险日志

risk_activity

云产品基线日志

主机基线日志

云平台操作告警日志

alert_activity

API安全告警日志

端点检测与响应告警日志

防火墙告警日志

主机网络告警日志

Web应用防火墙告警日志

其他告警日志

爬虫告警日志

漏洞日志

vulnerability_activity

审计日志

堡垒机审计日志

audit_activity

非关系型数据库审计日志

云平台操作审计日志

K8s审计日志

Windows安全事件日志

API网关审计日志

关系型数据库审计日志

对象存储审计日志

Azure活动目录审计日志

Azure活动目录登录日志

快照日志

账户快照

account_activity

进程启动快照

process_activity

网络链接快照

登录日志

云平台登录日志

login_activity

主机登录失败日志

主机登录日志

若您想查看更多数据集信息,可参考以下步骤。

  1. 登录云安全中心控制台

  2. 在左侧导航栏,选择威胁分析与响应 > 接入中心。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)标准化规则页签内,单击左上角查看标准字段

    image

  3. 标准化字段列表,左侧日志活动分类列表项即为CTDR支持的标准化分类,列表根节点即为标准化结构。在右侧可查看数据集(StoreView)名称及标准化字段列表。

    image

相关文档