文档

生成威胁情报

更新时间:

日志审计服务支持对接入日志服务的云产品日志进行威胁情报检测,有效识别云产品使用过程中存在的潜在威胁。日志审计服务还支持以告警方式将检测到的异常及时通知给相关人员,提高威胁检查效率和响应速度。

重要

自2023年03月30日起,日志审计服务不再支持开启威胁情报功能。如果您已经开启威胁情报,可继续使用或关闭威胁情报。

限制与说明

  • 对于SLB、OSS、PolarDB-X 1.0等支持区域化存储的云产品,必须开启中心化存储功能后,才支持威胁情报功能。如何开启中心化存储功能,请参见首次配置

  • 对于RDS、操作审计等仅支持中心化存储的云产品,开启威胁情报功能后,系统将在日志审计中心Project下自动创建transit_log Logstore及威胁情报富化的加工任务。关于威胁情报富化的加工任务的更多信息,请参见增值内容函数

  • 威胁情报功能所支持的云产品以控制台实际显示为准。

关闭威胁情报

  1. 登录日志服务控制台

  2. 日志应用区域,单击日志审计服务

  3. 云产品接入 > 全局配置页面,单击修改

  4. 云产品列表中,找到目标云产品,关闭威胁情报开关。

  5. 单击确定

威胁情报字段

开启威胁情报功能后,当云产品存在潜在威胁时,对应的云产品日志中将生成威胁情报相关的字段。

  • IP地址威胁情报

    表 1. IP地址威胁情报

    字段

    说明

    confidence

    威胁情报数据置信度。取值范围为[0, 100]之间的整数值,值越大置信度越高。

    severity

    威胁级别。包括:

    • 0:无威胁

    • 1:低危险

    • 2:中危险

    • 3:高危险

    • 4:严重威胁

    family

    恶意家族,固定取值为空。

    ioc_type

    IP地址类型,目前仅支持IPv4类型。

    ioc_raw

    威胁情报信息的IP地址

    intel_type

    风险标签类型。包括:

    • web_attack:网络攻击的IP地址

    • tor:TOR(Top of Rack)节点的IP地址

    • mining:挖矿的IP地址

    • c2:C2 IP地址

    • malicious:恶意下载源的IP地址

    • exploit:发起Exploit攻击的IP地址

    • webshell:发起Webshell攻击的IP地址

    • scan:网络服务扫描的IP地址

    标签之间使用半角分号(;)分隔。

    country

    IP地址所属的国家

    province

    IP地址所属的省份

    city

    IP地址所属的城市

    isp

    IP地址所属网络的电信运营商

  • 域名威胁情报

    表 2. 域名威胁情报

    字段

    说明

    confidence

    威胁情报数据置信度,取值范围为[0, 100]之间的整数值,值越大置信度越高。

    severity

    威胁级别。包括:

    • 0:无威胁

    • 1:低危险

    • 2:中危险

    • 3:高危险

    • 4:严重威胁

    family

    恶意家族,固定取值为空。

    ioc_type

    域名,固定取值为domain。

    ioc_raw

    获取威胁情报信息的域名

    intel_type

    风险标签类型,标签之间使用半角分号(;)分隔。更多信息,请参见域名风险标签

    root_domain

    扫描域名所属的根域名

    表 3. 域名风险标签

    风险标签

    说明

    malware

    恶意软件

    spy_trojan

    间谍木马

    worm

    蠕虫

    ransomware

    勒索

    backdoor_trojan

    后门木马

    hacktool

    黑客工具

    infected_virus

    感染型病毒

    trojan_dropper

    木马释放器

    riskware

    风险软件

    apt

    APT

    rat_trojan

    远控木马

    hijack

    劫持

    macro_virus

    宏病毒

    porn

    色情网站

    js_miner

    网页挖矿

    compromised_host

    失陷主机

    gamble

    博彩网站

    dnslog_attack

    DNSLOG攻击

    infostealer

    信息盗取

    malicious

    恶意站点

    dga

    DGA

    botnet

    僵尸网络

    trojan

    木马

    bank_trojan

    银行木马

    adware

    广告软件

    exploit

    漏洞利用

    malicious_doc

    恶意文档

    bootkit_trojan

    BootKit木马

    script_trojan

    脚本木马

    virus

    病毒

    trojan_downloader

    木马下载器

    rat

    远控

    ddos_trojan

    DDos木马

    spam_email

    垃圾邮件

    miner_pool

    矿池

    rootkit_trojan

    Rootkit木马

    private_server

    外挂私服

    c2

    中控

    miner

    挖矿

    malicious_group

    恶意团伙

    sinkhole

    Sinkhole