观察列表

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

观察列表(Dataset)作为一种数据引用集合,用于在安全检测和响应规则中高效地匹配和过滤 IP 地址、用户 ID 等实体,以实现白名单排除、黑名单检测和业务实体标记等场景。

什么是观察列表?

观察列表是一种安全运营中的用户个性化数据管理工具,通过结构化、标准化的方式,将特定领域的对象信息(如IP、域名、资产等)进行集中存储和动态管理,并在安全检测和响应的各个环节实现高效匹配和精准控制。核心价值在于:

  • 将动态变化的数据(如 IP 列表、用户名单)与静态的检测逻辑(规则)分离。

  • 让数据管理更集中、高效,让安全规则更简洁、灵活。

配置观察列表

管理预定义观察列表

系统内置了全局 IP 白名单 global_ip_whitelist,用于集中管理来自各个阿里云产品的可信 IP 地址。支持的阿里云产品及服务可信IP地址源如下:

说明

管理多账号即是否同步由当前账号纳管的成员账号下的数据。关于如何管理多账号,请参见多账号安全管理

阿里云产品或服务IP地址源

更新方式

是否支持管理多账号

云安全中心漏洞Web扫描器IP地址

静态内置到全局IP地址白名单

不支持

Web应用防火墙回源IP地址

从云产品侧动态获取

不支持

DDoS防护回源IP地址

从云产品侧动态获取

不支持

边缘安全加速ESA回源节点IP地址

从云产品侧动态获取

不支持

云服务器ECS公网IP地址

从云产品侧动态获取

支持

传统型负载均衡CLB公网IP地址

从云产品侧动态获取

支持

弹性公网IP(EIP)地址

从云产品侧动态获取

支持

内容分发网络CDN回源IP地址

从云产品侧动态获取

不支持

全球加速GA回源IP地址

从云产品侧动态获取

支持

配置自动更新

为确保白名单数据的时效性,需要启用自动同步功能。

  1. 登录云安全中心控制台在左侧导航栏,选择威胁分析与响应 > 接入中心。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 进入观察列表页签,单击global_ip_whitelist操作列的编辑按钮。

  3. 定时更新列表区域,根据实际需求打开特定云产品自动更新开关。

    • 同步时间:启用后立即同步数据,之后系统会在每天凌晨2:00-6:00(UTC+8)自动同步最新数据。

    • 多账号管理:若要同步当前账号所纳管的成员账号下的资产 IP,需打开管理多账号开关。

管理数据

在自动更新的基础上,也支持手动管理数据。

  • 管理单条数据

    若不需要某些IP配置白名单或数据有误,可对其进行修改和删除,同时支持新增单条数据。

    1. 单击global_ip_whitelist操作列的编辑按钮,进入详情页。

    2. 在详情页的数据列表区域,单击操作列的编辑删除、或左上角的新增按钮。

      • 删除:删除后的数据,可通过新增重新添加。

      • 新增编辑:配置说明如下。

        配置项

        说明

        示例

        ip

        IP范围。

        47.XXX.XXX.32/27(即 47.XXX.XXX.32 -47.XXX.XXX.63)。

        type

        IP类型,可自定义。

        waf_back_source_ip

        description

        描述。

        WAF back source IP of aliUid: 135******357

  • 批量管理数据

    若需要增加或修改global_ip_whitelist数据,可使用批量更新功能。

    1. 单击global_ip_whitelist操作列的批量更新按钮。

    2. 下载并修改文件模板,并根据规范准备数据。

      • 文件首行必须包含global_ip_whitelist对应的字段:ip、type、description。

      • 列表主键默认为ip,不可修改。

        重要

        ip已在观察列表中存在,系统将会更新对应type、description字段的值。

      • 上传的数据文件总大小不超过 3 MB,记录不超过5000条,任意字段的长度不超过200 Byte。

    3. 上传文件,单击下一步

    4. 确认无误后,在验证和创建页面单击确认

创建和管理自定义观察列表

威胁分析与响应支持用户根据业务需要,自定义上传观察列表。

创建数据

  1. 进入观察列表页签后,单击新增

  2. 初始化页签填写列表名称和描述。

  3. 下载并修改文件模板,并根据规范准备数据。

    • 文件首行必须是字段名,例如 userid,department,risk_level

    • 上传文件时,需要从文件首行的字段中指定一个列表主键,该主键是后续在规则中用于匹配的核心字段。

    • 主键列的值不允许为空或重复。

      重要

      若上传的数据存在主键重复,系统默认保留最后一条记录并覆盖前面的记录。此行为可能导致数据丢失,请务必在上传前校验数据唯一性。

    • 上传的数据文件总大小不超过 3 MB,记录不超过5000条,任一字段的长度不超过200 Byte。

  4. 选择列表主键后,单击下一步

  5. 确认无误后,在验证和创建页面单击确认

管理数据

  • 删除观察列表

    单击目标观察列表操作列的删除按钮,即可删除该观察列表。

    警告

    删除操作不可逆,请谨慎操作。

  • 管理单条数据

    1. 单击目标观察列表操作列的编辑按钮,进入详情页。

    2. 在详情页数据列表区域,单击操作列的编辑删除、或左上角的新增按钮。

      • 删除:删除后的数据,可通过新增重新添加。

      • 新增编辑:系统会同步观察列表的字段名称,根据需要填写即可。

  • 批量管理数据

    若需要增加或修改自定义观察列表数据,可使用批量更新功能。

    1. 单击目标观察列表操作列的批量更新按钮。

    2. 下载并修改文件模板,并根据规范准备数据。

      • 文件首行必须包含观察列表的初始字段。

      • 列表主键不可修改。

        重要

        若上传的数据存在主键重复,系统默认保留最后一条记录并覆盖前面的记录。此行为可能导致数据丢失,请务必在上传前校验数据唯一性。

      • 上传的数据文件总大小不超过 3 MB,记录不超过5000条,任意字段的长度不超过200 Byte。

    3. 上传文件,单击下一步。在验证和创建页面,点击确认

使用观察列表

规则管理中使用观察列表

规则管理模块创建或修改自定义威胁检测规则时,若规则体SQL时,可在SQL编辑器中使用以下语法引用观察列表的主键数据:

SELECT key FROM common_data_set WHERE data_set_name = '<观察列表名称>'
重要
  • key 是固定关键字,SQL 执行时会自动映射为在创建列表时指定的主键字段。

  • 当前版本仅支持在 SQL 中获取主键字段。

SQL示例:IP 白名单过滤此规则用于发现所有来自非全局 IP 白名单的日志数据。

-- 检查源IP是否不在办公网IP白名单中
* |SELECT * FROM log 
WHERE src_ip NOT IN (
    SELECT key FROM common_data_set 
    WHERE data_set_name='global_ip_whitelist'
)

响应编排中使用观察列表

  • 自动响应规则:创建自动响应规则时,在规则策略设置中,可添加基于观察列表的判断条件。具体操作请参见新增自动响应规则(自定义),支持的条件项如下:

    条件

    说明

    not in ip Dataset

    不在IP观察列表中。

    in ip dataset

    IP观察列表中。

    not in dataset

    不在观察列表中。

    in dataset

    在观察列表中。

  • 自定义剧本:在剧本编辑器的filter 组件中,可添加基于观察列表的判断规则,对数据流进行过滤和分流。具体操作参见filter组件。判断规则如下:

    规则名称

    规则说明

    NOT IN IP Dataset

    不在IP观察列表中。

    IN IP Dataset

    IP观察列表中。

    NOT IN Dataset

    不在观察列表中。

    IN Dataset

    在观察列表中。