本文介绍了如何将日志上报到安全中心做安全风险检测。
日志接入
展示每个日志源的可用状态、识别到的资产数量、识别到的威胁信息。
参数 | 说明 |
日志源 | 自定义的名称,用于表示日志的来源信息。 |
识别资产数量 | 通过分析该日志源的日志,识别到的资产数量总和。 |
累计分析 | 累计对该日志源的识别到的资产进行安全检测的数量之和。 |
未处理威胁预警 | 基于当前日志源的日志发现的威胁预警。 |
状态 | 当前日志源最近一次获取日志是否成功。 |
开通日志接入&检测
如果您还没有开通,那么请点击立即购买。
添加日志源
通过日志源设置获取原始日志的方式、原始日志的格式、威胁检测必须的字段映射关系。
1,单击添加日志源创建新的日志源。
2,在弹出的弹窗中设置日志源名称、获取日志的方式,单击下一步
获取日志的方式支持:从SLS、Kafka中导入。
3,设置获取原始日志所需的必要信息,单击下一步
4,解析获取到的日志,并且设置日志key和关键字段的映射关系。单击确定则添加了新的日志源。
5,安全中心会定时获取日志并进行分析,分析结果展示在日志接入页面进行统计。
支持的日志类型
必填字段包括:时间,设备ID,日志类型。
日志源类型 | 日志类型 | 日志字段 | 示例 |
网络访问日志 | 设备网络访问日志 | 时间 | 发生时间,例如2021-10-14 11:05:30,接入时指定时间格式。 |
设备ID | 设备的唯一标识,例如设备的MAC地址4a:83:e7:3f:9****。 | ||
源IP地址 | 源IP地址,例如192.168.0.2。 | ||
源端口 | 源端口,例如22432。 | ||
目标IP地址 | 目标IP地址,例如8.8.xx.xx。 | ||
目标端口 | 目标端口,例如80。 | ||
目标URL | 目标URL,例如www.aliyun.com。 | ||
三方物联网平台日志 | 设备连接 | 时间 | 发生时间,例如2021-10-14 11:05:30,接入时指定时间格式。 |
设备ID | 设备标识,例如设备的MAC地址4a:83:e7:3f:9****。 | ||
设备IP地址 | 设备IP地址,例如120.xx.xx.18。 | ||
传输协议 | 传输协议,例如tcp,tls。 | ||
结果 | 连接是否成功,需指定成功失败的字段映射关系。 | ||
原因 | 连接失败的原因,需指定认证失败对应的原因描述。 认证失败:auth_failure | ||
设备离线 | 时间 | 发生时间,例如2021-10-14 11:05:30,接入时指定时间格式。 | |
设备ID | 设备标识,例如设备的MAC地址4a:83:e7:3f:9****。 | ||
设备IP地址 | 设备IP地址,例如120.xx.xx.18。 | ||
原因 | 连线原因描述,需指定被相同设备身份连接踢下线对应的原因描述。 | ||
设备发送消息 | 时间 | 发生时间,例如2021-10-14 11:05:30,接入时指定时间格式。 | |
设备ID | 设备标识,例如设备的MAC地址4a:83:e7:3f:9****。 | ||
设备IP地址 | 设备IP地址,例如120.xx.xx.18。 | ||
数据大小 | 发送数据大小,接入时选择数据单位,例如1000。 | ||
向设备发送消息 | 时间 | 发生时间,例如2021-10-14 11:05:30,接入时指定时间格式。 | |
设备ID | 设备标识,例如设备的MAC地址4a:83:e7:3f:9****。 | ||
设备IP地址 | 设备IP地址,例如120.xx.xx.18。 | ||
数据大小 | 发送数据大小,接入时选择数据单位,例如1000。 |
支持的风险检测
如果您需要开启某个风险检测项目,那么您需要在日志源中提供全部必须字段并且完成字段映射。不同检测项所需的必须字段如下表所示:
日志类型 | 日志字段 | 风险检测类别 | 风险检测项 | 必须字段 | 说明 |
网络访问日志 | 自定义格式,支持字段见上表 | 网络访问 | 恶意IP连接检测 | 时间,设备ID,日志类型(网络访问),目标IP地址。 | 识别网络访问中存在的恶意IP地址。 |
访问恶意域名/URL检测 | 时间,设备ID,日志类型(网络访问),目标URL。 | 识别网络访问中存在的恶意域名/URL。 | |||
三方物联网平台日志 | 自定义格式,支持字段见上表 | 平台侧风险 | 不安全连接检测 | 时间,设备ID,日志类型(设备上线),传输协议。 | 识别设备与物联网平台的连接是否安全。 |
异常设备上线行为检测 | 时间,设备ID,日志类型(设备上线)。 | 单位时间段内设备上线次数异常。 | |||
异常设备下线行为检测 | 时间,设备ID,日志类型(设备离线)。 | 单位时间段内设备下线次数异常。 | |||
设备频繁认证失败检测 | 时间,设备ID,日志类型(设备上线),结果。 | 单位时间段内设备认证错误次数异常。 | |||
设备身份暴力破解检测 | 时间,设备ID,日志类型(设备上线),结果,原因(认证失败)。 | 识别针对设备的暴力破解攻击。 | |||
恶意IP连接平台检测 | 时间,设备ID,日志类型(设备上线),源IP。 | 识别连接到平台的IP地址是否存在恶意IP。 | |||
异常设备上报消息频率检测 | 时间,设备ID,日志类型(设备发送消息)。 | 单位时间段内设备上报消息次数异常 | |||
异常设备上报消息数据量检测 | 时间,设备ID,日志类型(设备发送消息),数据大小。 | 单位时间段内设备上报消息平均数据量大小异常。 | |||
异常平台推送消息频率检测 | 时间,设备ID,日志类型(向设备发送消息)。 | 单位时间段内向设备推送消息次数异常。 | |||
异常平台推送消息数据量检测 | 时间,设备ID,日志类型(向设备发送消息),数据大小。 | 单位时间段内向设备推送消息平均数据量大小异常。 |
详情
展示该日志源下所有的资产信息、威胁信息。
基于日志源识别的威胁信息,您需要手动处置。如关闭不安全的接口/服务、卸载不必要的组件/应用、设置终端的网络访问策略。