AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页

标准化规则和标准化字段

更新时间:
复制为 MD 格式
产品详情
我的收藏

Agentic SOC产品日志接入策略需要绑定标准化规则,标准化规则基于SLS日志服务的SPL语法实现了对日志的解析与标准化。

标准化规则

标准化规则来源

标准化规则采用SPL语法将接入原始日志映射至标准化日志结构,并设置日志关键字段的对应关系,为后续标准化日志生成告警提供数据支撑。

规则来源

说明

支持的操作

预定义

Agentic SOC预先初始化了一批接入解析规则,为其设置好了SPL语法,并绑定了接入策略。内置50+规则模板,将阿里云安全专家经验赋能用户。

  • 查看

  • 复制并创建

自定义

  • 由用户自行创建,可参考预定义规则和已有的自动定义规则为模板。

  • 需要先将日志数据接入到需要用自定义标准化规则解析的数据源中,否则无法完成新增。

  • 新增

  • 查看

  • 修改

  • 删除

  • 复制并创建

创建自定义标准化规则

  1. 访问云安全中心控制台-Agentic SOC-管理-接入设置,在页面左侧顶部,选择需防护资产所在的区域:中国内地非中国内地

  2. 标准化规则页签内,单击左上角创建自定义规则。参考以下信息,完成基础设置

    配置项名称

    配置项说明

    规则名称

    用户自定义

    厂商

    • 预定义厂商:阿里云、飞塔、长亭、微软、深信服腾讯云、华为云、山石网科、斗象科技,微软云等。

    • 用户自定义厂商:如何创建厂商请参见产品接入

    产品

    自动拉取厂商下所有的产品,例如阿里云云安全中心、飞塔防火墙等,Agentic SOC支持的产品请参见接入设置

    备注

    可为当前标准化规则增加特征描述,方便快速查找及增加可读性。

  3. 日志标准化测试页签,完成标准化规则接入字段配置。

    1. 选择日志样本来源:

      • 基于数据源

        1. 数据源:自动同步已有数据源实例。

        2. 日志样本:系统默认自动查询最近7天日志样本,同时支持手动选择时间。

      • 基于手动输入:在日志样本(JSON)编辑器中粘贴原始日志,支持格式化验证操作。

    2. 创建解析方案:

      AI推荐配置方案

      控制台手动唤起安全AI助手,Agentic SOC自动指派日志标准化 Agent 自主分析日志样本,推荐标准化分类标准化结构字段映射关系,并生成 SPL语法

      1. 解析测试区域,单击安全AI助手按钮,右侧弹出AI助手对话面板。

      2. 获取推荐配置:AI 分析日志样本后,在安全AI助手对话框内,将返回推荐配置

        1. 标准化分类标准化结构:AI 根据日志内容自动识别日志类型并推荐分类。

          • 标准化分类:网络日志、主机日志、安全日志、审计日志、快照日志、登录日志、其他日志。

          • 标准化结构:

            • 一个标准化分类包含多个标准化结构

            • 一个标准化结构对应一组标准化字段和一个数据集(StoreView)。而一个数据集又映射为多个标准化结构。

              说明

              如何查看标准化分类/结构的对应的数据集和标准化字段,请参见查看标准化字段和数据集

        2. 映射结果表格:展示每个日志字段与标准化字段的映射关系,标注必填或选填。

          说明

          对于AI未自动匹配的字段,可通过下拉菜单手动选择标准化字段。

      3. 生成SPL语法:在安全AI助手返回的推荐配置对话内容下方,单击生成SPL,AI 根据映射结果自动生成 SPL 语法,并附带映射决策表和合规性自检结果。

      4. 自动填充配置表单:在安全AI助手返回的SPL语法对话内容下方,单击一键应用,AI 推荐的标准化分类、标准化结构和 SPL 语法自动填充到规则编辑表单中。

      手动配置

      • 标准化分类标准化结构:Agentic SOC默认支持的标准化分类标准化结构以及对应的字段说明,请参见查看标准化字段和数据集

      • SPL语法

        • 可以将预定义规则以及已有的自动定义规则作为模板来使用。

          说明

          规则所对应的 SPL语法,可在规则详情页查看。

        • 也可参考SPL语法文档自定义编写。

    3. 配置扩展字段和语法类型

      • 扩展字段接入

        • 原样保留:将未被映射至日志标准化字段的原始日志字段,以原始 Key-Value 形式直接打平存储到数 集中,不做标准化映射,不会丢失任何数据。适用于需要保留完整原始日志信息的场景。

          重要

          选择原样保留后,接入的日志数据量会增加,日志接入流量相应增大,因此费用也会增加。建议为这些字段创建索引,以便在接入后快速查找字段值。更多说明,请参见管理扩展字段

        • 不接入(默认):不接入未被标准化规则映射的原始日志字段。

      • 设置语法类型

        • 通用语法:配置日志接入策略时,标准化方式可选择实时消费扫描查询,更多信息请参见标准化方式对比

        • 实时消费:配置日志接入策略时,标准化方式仅支持选择实时消费

    4. 解析测试

      1. 设置完标准化分类和解析语法单击解析

      2. 解析结果区域可查看根据日志样本,生成的解析结果。

      3. 管理扩展字段(可选):若SPL语法解析结果中,存在未被映射至日志标准化字段的字段,且扩展字段接入选择原样保留,建议将这些字段添加至标准化结构对应的日志扩展字段中。添加后系统将为这些字段构建专用索引,更多说明,请参见管理扩展字段

  4. 测试通过后,单击左下角完成

管理标准化规则

  • 修改标准化规则:单击目标操作列的编辑按钮。支持修改规则名称、备注、SPL语法,操作配置说明,请参考创建自定义标准化规则

    说明

    仅自定义规则支持修改。

  • 删除标准化规则:单击目标操作列的删除按钮。

    说明

    • 预定义规则不允许删除。

    • 已绑定接入策略的标准化规则不可删除。

标准化字段和数据集

查看标准化字段和数据集

  1. 访问云安全中心控制台-Agentic SOC-管理-接入设置,在页面左侧顶部,选择需防护资产所在的区域:中国内地非中国内地

  2. 在左侧标准字段列表区域,日志活动分类目录下的列表项即为Agentic SOC支持的标准化分类,根节点即为标准化结构

  3. 单击目标标准化分类(如网络日志)左侧的展开箭头,展开该分类下的标准化结构列表(如五元组日志、DNS类日志、HTTP日志)。

  4. 单击具体的标准化结构节点(如API风险日志),可在右侧区域查看以下信息:

    • 标准化字段:展示该标准化结构对应的标准化字段列表,包括字段名称、类型、字段描述、是否必填、样例。

    • 扩展字段:用于展示用户自定义字段。系统将为这些字段创建专用索引,支持针对特定字段的快速检索数据分析,优于传统的全文搜索模式。

    • 数据集:展示该标准化结构对应数据集

管理扩展字段

当日志中存在未映射至标准字段的属性且需进行分析时,请执行以下配置:

  1. 原样保留:将扩展字段接入模式设置为原样保留,将字段完整接入系统。

  2. 构建索引:建议将这些字段添加至标准化结构对应的日志扩展字段中。添加后系统将为这些字段构建专用索引,支持高效的字段级精确检索与分析。相比传统全文模糊搜索,该方式能显著提升查询速度与准确度。

新建标准化结构(可选)

  1. 标准化字段页签,在标准字段列表区域,单击目标标准化分类右侧image

  2. 在新增标准化结构弹窗中,配置如下信息。

    • 标准化结构:填写标准化结构名称,便于配置标准化规则时查找。

    • 结构标识符:必须以custom-开头,支持数字、字母。

    • 日志存储位置:选择日志存储的Logstore。

      • 新建LogStore

        • 名称:必须以custom-开头。

        • 存储位置:在日志Project(aliyun-cloudsiem-data-{aliUid}-{regionId}),创建新的日志库下,可前往日志服务控制台查看。

      • 已有LogStore:仅支持选择自定义创建(以custom-开头)的日志库。

添加扩展字段

批量添加

  1. 标准化规则页签内,创建或修改自定义规则时进行解析测试区域,单击管理扩展字段

  2. 扩展字段管理页,单击自动生成索引属性

  3. 自动生成索引属性页面,将自动同步根据日志样本和SPL语法解析出的未被映射至标准化字段的日志字段,即为扩展字段。

  4. 选择添加方式

    • 追加:保留已存在的索引属性,将新增的扩展字段索引追加其后。

    • 覆盖:替换当前已经创建索引属性,删除旧的索引数据。

  5. 修改字段信息(可选):

    • 字段名称:原始日志中未被映射至标准化字段的日志字段名称。

    • 类型:仅支持text、long、double、json。

    • 是否分词

      • 针对text,支持分词设置,开关控制。

      • 支持的分词符:, (空格)、'";=()[]{}?@&<>/:\n(换行符)、\t(制表符)、\r(回车符)。

单个添加

  1. 标准化字段页签,在标准字段列表区域,展开目标标准化分类并单击目标标准化结构

  2. 在右侧区域的扩展字段页签,单击字段管理

  3. 扩展字段管理页签,单击添加字段,并配置对应的字段数据。

    • 字段名称:原始日志中未被映射至标准化字段的日志字段名称。

    • 类型:仅支持text、long、double、json。

    • 是否分词

      • 针对text,支持分词设置,开关控制。

      • 支持的分词符:, (空格)、'";=()[]{}?@&<>/:\n(换行符)、\t(制表符)、\r(回车符)。

数据集

什么是数据集

数据集Storeview是基于Logstore创建的虚拟资源,它们用于管理和保存多个Logstore之间的关联关系。通过数据集(Storeview),可以对不同Logstore中的日志进行统一查询,但是数据集(Storeview)不支持对日志的修改操作。

数据集和标准化字段对应关系

标准化规则需要配置标准化分类/结构,每一个标准化分类包含多种标准化结构,每一种结构对应一个存储数据集(StoreView)一组标准化字段。而一个数据集(StoreView)又映射到多个标准化结构。对应关系可参考下图

image

数据集使用说明

  • 产品接入时Agentic SOC根据SPL语法按照数据集中对应数据标准字段对产品日志进行解析,再匹配威胁检测规则,最终识别出安全风险。

  • 若数据集(StoreView)已经绑定了5个扫描查询模式的接入策略,则新增策略的标准化方式只允许“实时消费”不支持“扫描查询“,标准化方式说明请参见产品接入

常见的数据集

标准化分类

标准化结构

数据集名称

标准化日志库

网络日志

五元组日志

network_activity

network-activity

DNS类日志

HTTP日志

主机日志

进程网络外联日志

process_activity

process-activity

进程写文件日志

进程启动日志

进程请求DNS日志

安全日志

API安全风险日志

risk_activity

risk-activity

云产品基线日志

主机基线日志

云平台操作告警日志

alert_activity

alert-activity

API安全告警日志

端点检测与响应告警日志

防火墙告警日志

主机网络告警日志

Web应用防火墙告警日志

其他告警日志

爬虫告警日志

漏洞日志

vulnerability_activity

vulnerability-activity

审计日志

堡垒机审计日志

audit_activity

audit-activity

非关系型数据库审计日志

云平台操作审计日志

K8s审计日志

Windows安全事件日志

API网关审计日志

关系型数据库审计日志

对象存储审计日志

Azure活动目录审计日志

Azure活动目录登录日志

快照日志

账户快照

account_activity

account-activity

进程启动快照

process_activity

process-activity

网络链接快照

登录日志

云平台登录日志

login_activity

login-activity

主机登录失败日志

主机登录日志

上一篇:数据源下一篇:观察列表