首页 日志接入

日志接入

更新时间: 2022-12-12 17:14:10

本文介绍了如何将日志上报到安全中心做安全风险检测。

日志接入

展示每个日志源的可用状态、识别到的资产数量、识别到的威胁信息。

参数

说明

日志源

自定义的名称,用于表示日志的来源信息。

识别资产数量

通过分析该日志源的日志,识别到的资产数量总和。

累计分析

累计对该日志源的识别到的资产进行安全检测的数量之和。

未处理威胁预警

基于当前日志源的日志发现的威胁预警。

状态

当前日志源最近一次获取日志是否成功。

开通日志接入&检测

如果您还没有开通,那么请点击立即购买

添加日志源

通过日志源设置获取原始日志的方式、原始日志的格式、威胁检测必须的字段映射关系。

1,单击添加日志源创建新的日志源。

2,在弹出的弹窗中设置日志源名称、获取日志的方式,单击下一步

说明

获取日志的方式支持:从SLS、Kafka中导入。

3,设置获取原始日志所需的必要信息,单击下一步

4,解析获取到的日志,并且设置日志key和关键字段的映射关系。单击确定则添加了新的日志源。

5,安全中心会定时获取日志并进行分析,分析结果展示在日志接入页面进行统计。

支持的日志类型

重要

必填字段包括:时间,设备ID,日志类型。

日志源类型

日志类型

日志字段

示例

网络访问日志

设备网络访问日志

时间

发生时间,例如2021-10-14 11:05:30,接入时指定时间格式。

设备ID

设备的唯一标识,例如设备的MAC地址4a:83:e7:3f:9****。

源IP地址

源IP地址,例如192.168.0.2。

源端口

源端口,例如22432。

目标IP地址

目标IP地址,例如8.8.xx.xx。

目标端口

目标端口,例如80。

目标URL

目标URL,例如www.aliyun.com。

三方物联网平台日志

设备连接

时间

发生时间,例如2021-10-14 11:05:30,接入时指定时间格式。

设备ID

设备标识,例如设备的MAC地址4a:83:e7:3f:9****。

设备IP地址

设备IP地址,例如120.xx.xx.18。

传输协议

传输协议,例如tcp,tls。

结果

连接是否成功,需指定成功失败的字段映射关系。

原因

连接失败的原因,需指定认证失败对应的原因描述。

认证失败:auth_failure

设备离线

时间

发生时间,例如2021-10-14 11:05:30,接入时指定时间格式。

设备ID

设备标识,例如设备的MAC地址4a:83:e7:3f:9****。

设备IP地址

设备IP地址,例如120.xx.xx.18。

原因

连线原因描述,需指定被相同设备身份连接踢下线对应的原因描述。

设备发送消息

时间

发生时间,例如2021-10-14 11:05:30,接入时指定时间格式。

设备ID

设备标识,例如设备的MAC地址4a:83:e7:3f:9****。

设备IP地址

设备IP地址,例如120.xx.xx.18。

数据大小

发送数据大小,接入时选择数据单位,例如1000。

向设备发送消息

时间

发生时间,例如2021-10-14 11:05:30,接入时指定时间格式。

设备ID

设备标识,例如设备的MAC地址4a:83:e7:3f:9****。

设备IP地址

设备IP地址,例如120.xx.xx.18。

数据大小

发送数据大小,接入时选择数据单位,例如1000。

支持的风险检测

如果您需要开启某个风险检测项目,那么您需要在日志源中提供全部必须字段并且完成字段映射。不同检测项所需的必须字段如下表所示:

日志类型

日志字段

风险检测类别

风险检测项

必须字段

说明

网络访问日志

自定义格式,支持字段见上表

网络访问

恶意IP连接检测

时间,设备ID,日志类型(网络访问),目标IP地址。

识别网络访问中存在的恶意IP地址。

访问恶意域名/URL检测

时间,设备ID,日志类型(网络访问),目标URL。

识别网络访问中存在的恶意域名/URL。

三方物联网平台日志

自定义格式,支持字段见上表

平台侧风险

不安全连接检测

时间,设备ID,日志类型(设备上线),传输协议。

识别设备与物联网平台的连接是否安全。

异常设备上线行为检测

时间,设备ID,日志类型(设备上线)。

单位时间段内设备上线次数异常。

异常设备下线行为检测

时间,设备ID,日志类型(设备离线)。

单位时间段内设备下线次数异常。

设备频繁认证失败检测

时间,设备ID,日志类型(设备上线),结果。

单位时间段内设备认证错误次数异常。

设备身份暴力破解检测

时间,设备ID,日志类型(设备上线),结果,原因(认证失败)。

识别针对设备的暴力破解攻击。

恶意IP连接平台检测

时间,设备ID,日志类型(设备上线),源IP。

识别连接到平台的IP地址是否存在恶意IP。

异常设备上报消息频率检测

时间,设备ID,日志类型(设备发送消息)。

单位时间段内设备上报消息次数异常

异常设备上报消息数据量检测

时间,设备ID,日志类型(设备发送消息),数据大小。

单位时间段内设备上报消息平均数据量大小异常。

异常平台推送消息频率检测

时间,设备ID,日志类型(向设备发送消息)。

单位时间段内向设备推送消息次数异常。

异常平台推送消息数据量检测

时间,设备ID,日志类型(向设备发送消息),数据大小。

单位时间段内向设备推送消息平均数据量大小异常。

详情

展示该日志源下所有的资产信息、威胁信息。

说明

基于日志源识别的威胁信息,您需要手动处置。如关闭不安全的接口/服务、卸载不必要的组件/应用、设置终端的网络访问策略。