配置日志标准化接入规则_云安全中心(Security Center)-阿里云帮助中心

威胁分析与响应CTDR（Cloud Threat Detection and Response）产品日志接入策略需要绑定标准化接入规则，标准化规则利用SLS日志服务的SPL语法及数据集实现了对日志的解析。

标准化规则来源说明

标准化接入规则采用SPL语法将接入日志映射至数据集，提炼日志关键字段信息，为后续日志解析规则生成告警信息提供数据支撑。

规则来源	说明	支持的操作
预定义	CTDR预先初始化了一批接入解析规则，为其设置好了SPL语法，并绑定了接入策略。内置50+规则模板，将阿里云安全专家经验赋能用户。	查看
自定义	由用户自行创建，可参考预定义规则和已有的自动定义规则为模板。需要先将日志数据接入到需要用自定义标准化规则解析的数据源中，否则无法完成新增。	新增查看修改删除

已购买并开通威胁分析与响应服务，具体操作请参见购买并开通威胁分析与响应。

登录云安全中心控制台。
在左侧导航栏，选择威胁分析与响应 > 接入中心。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。标准化规则页签内，单击左上角创建自定义规则。

您可参考以下信息，完成基本配置。

配置项名称	配置项说明
规则名称	用户自定义
厂商	预定义厂商：阿里云、飞塔、长亭、微软、深信服、腾讯云、华为云、山石网科、斗象科技，微软云等。用户自定义厂商：如何创建厂商请参见步骤一：新增产品。
产品	自动拉取厂商下所有的产品，例如阿里云云安全中心、飞塔防火墙等，CTDR支持的产品请参见支持接入的产品和日志。
标准化分类/结构	标准化分类：网络日志、主机日志、安全日志、审计日志、快照日志、登录日志、其他日志。标准化结构：一个标准化分类包含多个标准化结构。一个标准化结构对应一组标准化字段和一个数据集（StoreView）。而一个数据集又映射为多个标准化结构。说明如何查看标准化分类/结构的对应的数据集和标准化字段，请参见数据集说明。
备注	可为当前标准化规则增加特征描述，方便快速查找及增加可读性。

重要

仅自定义规则支持修改。

登录云安全中心控制台。
在左侧导航栏，选择威胁分析与响应 > 接入中心。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
找到需要修改的规则，单击操作列的编辑按钮。
在编辑页修改相关内容。支持修改的配置项如下：
- 基本设置：规则名称、备注。
- SPL语法：修改完SPL语法，仍需要进行日志标准化测试规则，具体操作可参考设置SPL语法并进行日志标准化测试。

重要

数据集Storeview基于Logstore创建的虚拟资源，它们用于管理和保存多个Logstore之间的关联关系。通过数据集（Storeview），您可以对不同Logstore中的日志进行统一查询，但是数据集（Storeview）不支持对日志的修改操作。

标准化规则需要配置标准化分类/结构，每一个标准化分类包含多种标准化结构，每一种结构对应一个存储数据集（StoreView）和一组标准化字段。而一个数据集（StoreView）又映射到多个标准化结构。对应关系可参考下图：

产品接入时CTDR根据SPL语法按照数据集中对应数据标准字段对产品日志进行解析，再匹配威胁检测规则，最终识别出安全风险。此外数据集还会对接入策略有如下配置限制：

若数据集（StoreView）已经绑定了5个扫描查询模式的接入策略，则新增策略的标准化方式只允许“实时消费”不支持“扫描查询“，标准化方式说明请参见标准化接入方式说明。

常用的数据集如下表：

若您想查看更多数据集信息，可参考以下步骤。

登录云安全中心控制台。
在左侧导航栏，选择威胁分析与响应 > 接入中心。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。标准化规则页签内，单击左上角查看标准字段。
标准化字段列表，左侧日志活动分类列表项即为CTDR支持的标准化分类，列表根节点即为标准化结构。在右侧可查看数据集（StoreView）名称及标准化字段列表。