本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
观察列表(Dataset)作为一种数据引用集合,用于在安全检测和响应规则中高效地匹配和过滤 IP 地址、用户 ID 等实体,以实现白名单排除、黑名单检测和业务实体标记等场景。
什么是观察列表?
观察列表是一种安全运营中的用户个性化数据管理工具,通过结构化、标准化的方式,将特定领域的对象信息(如IP、域名、资产等)进行集中存储和动态管理,并在安全检测和响应的各个环节实现高效匹配和精准控制。核心价值在于:
将动态变化的数据(如 IP 列表、用户名单)与静态的检测逻辑(规则)分离。
让数据管理更集中、高效,让安全规则更简洁、灵活。
配置观察列表
管理预定义观察列表
系统内置了全局 IP 白名单 global_ip_whitelist,用于集中管理来自各个阿里云产品的可信 IP 地址。支持的阿里云产品及服务可信IP地址源如下:
管理多账号即是否同步由当前账号纳管的成员账号下的数据。关于如何管理多账号,请参见多账号安全管理。
阿里云产品或服务IP地址源 | 更新方式 | 是否支持管理多账号 |
云安全中心漏洞Web扫描器IP地址 | 静态内置到全局IP地址白名单 | |
Web应用防火墙回源IP地址 | 从云产品侧动态获取 | |
DDoS防护回源IP地址 | 从云产品侧动态获取 | |
边缘安全加速ESA回源节点IP地址 | 从云产品侧动态获取 | |
云服务器ECS公网IP地址 | 从云产品侧动态获取 | |
传统型负载均衡CLB公网IP地址 | 从云产品侧动态获取 | |
弹性公网IP(EIP)地址 | 从云产品侧动态获取 | |
内容分发网络CDN回源IP地址 | 从云产品侧动态获取 | |
全球加速GA回源IP地址 | 从云产品侧动态获取 |
配置自动更新
为确保白名单数据的时效性,需要启用自动同步功能。
登录云安全中心控制台。。在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
进入观察列表页签,单击global_ip_whitelist操作列的编辑按钮。
在定时更新列表区域,根据实际需求打开特定云产品自动更新开关。
同步时间:启用后立即同步数据,之后系统会在每天凌晨2:00-6:00(UTC+8)自动同步最新数据。
多账号管理:若要同步当前账号所纳管的成员账号下的资产 IP,需打开管理多账号开关。
管理数据
在自动更新的基础上,也支持手动管理数据。
管理单条数据
若不需要某些IP配置白名单或数据有误,可对其进行修改和删除,同时支持新增单条数据。
单击global_ip_whitelist操作列的编辑按钮,进入详情页。
在详情页的数据列表区域,单击操作列的编辑或删除、或左上角的新增按钮。
删除:删除后的数据,可通过新增重新添加。
新增或编辑:配置说明如下。
配置项
说明
示例
ip
IP范围。
47.XXX.XXX.32/27(即 47.XXX.XXX.32 -47.XXX.XXX.63)。
type
IP类型,可自定义。
waf_back_source_ip
description
描述。
WAF back source IP of aliUid: 135******357
批量管理数据
若需要增加或修改global_ip_whitelist数据,可使用批量更新功能。
单击global_ip_whitelist操作列的批量更新按钮。
下载并修改文件模板,并根据规范准备数据。
文件首行必须包含global_ip_whitelist对应的字段:ip、type、description。
列表主键默认为ip,不可修改。
重要若ip已在观察列表中存在,系统将会更新对应type、description字段的值。
上传的数据文件总大小不超过 3 MB,记录不超过5000条,任意字段的长度不超过200 Byte。
上传文件,单击下一步。
确认无误后,在验证和创建页面单击确认。
创建和管理自定义观察列表
威胁分析与响应支持用户根据业务需要,自定义上传观察列表。
创建数据
进入观察列表页签后,单击新增。
在初始化页签填写列表名称和描述。
下载并修改文件模板,并根据规范准备数据。
文件首行必须是字段名,例如
userid,department,risk_level。上传文件时,需要从文件首行的字段中指定一个列表主键,该主键是后续在规则中用于匹配的核心字段。
主键列的值不允许为空或重复。
重要若上传的数据存在主键重复,系统默认保留最后一条记录并覆盖前面的记录。此行为可能导致数据丢失,请务必在上传前校验数据唯一性。
上传的数据文件总大小不超过 3 MB,记录不超过5000条,任一字段的长度不超过200 Byte。
选择列表主键后,单击下一步。
确认无误后,在验证和创建页面单击确认。
管理数据
删除观察列表
单击目标观察列表操作列的删除按钮,即可删除该观察列表。
警告删除操作不可逆,请谨慎操作。
管理单条数据
单击目标观察列表操作列的编辑按钮,进入详情页。
在详情页数据列表区域,单击操作列的编辑或删除、或左上角的新增按钮。
删除:删除后的数据,可通过新增重新添加。
新增或编辑:系统会同步观察列表的字段名称,根据需要填写即可。
批量管理数据
若需要增加或修改自定义观察列表数据,可使用批量更新功能。
单击目标观察列表操作列的批量更新按钮。
下载并修改文件模板,并根据规范准备数据。
文件首行必须包含观察列表的初始字段。
列表主键不可修改。
重要若上传的数据存在主键重复,系统默认保留最后一条记录并覆盖前面的记录。此行为可能导致数据丢失,请务必在上传前校验数据唯一性。
上传的数据文件总大小不超过 3 MB,记录不超过5000条,任意字段的长度不超过200 Byte。
上传文件,单击下一步。在验证和创建页面,点击确认。
使用观察列表
规则管理中使用观察列表
在规则管理模块创建或修改自定义威胁检测规则时,若规则体为SQL时,可在SQL编辑器中使用以下语法引用观察列表的主键数据:
SELECT key FROM common_data_set WHERE data_set_name = '<观察列表名称>'key是固定关键字,SQL 执行时会自动映射为在创建列表时指定的主键字段。当前版本仅支持在 SQL 中获取主键字段。
SQL示例:IP 白名单过滤,此规则用于发现所有来自非全局 IP 白名单的日志数据。
-- 检查源IP是否不在办公网IP白名单中
* |SELECT * FROM log
WHERE src_ip NOT IN (
SELECT key FROM common_data_set
WHERE data_set_name='global_ip_whitelist'
)响应编排中使用观察列表
自动响应规则:创建自动响应规则时,在规则策略设置中,可添加基于观察列表的判断条件。具体操作请参见新增自动响应规则(自定义),支持的条件项如下:
条件
说明
not in ip Dataset
不在IP观察列表中。
in ip dataset
在IP观察列表中。
not in dataset
不在观察列表中。
in dataset
在观察列表中。
自定义剧本:在剧本编辑器的
filter组件中,可添加基于观察列表的判断规则,对数据流进行过滤和分流。具体操作参见filter组件。判断规则如下:规则名称
规则说明
NOT IN IP Dataset
不在IP观察列表中。
IN IP Dataset
在IP观察列表中。
NOT IN Dataset
不在观察列表中。
IN Dataset
在观察列表中。