Konfigurasikan aturan untuk mengagregasi alert menjadi event keamanan -

Threat Analysis and Response menyediakan aturan deteksi yang telah ditentukan sebelumnya untuk menganalisis log alert guna mengidentifikasi rantai serangan dan menghasilkan security event. Anda dapat mengaktifkan atau menonaktifkan aturan yang telah ditentukan sebelumnya atau membuat aturan kustom sesuai kebutuhan.

Ikhtisar manajemen multi-akun

Jika Anda masuk ke Konsol Security Center sebagai administrator akun global dalam skenario multi-akun, alihkan tampilan pada halaman Detection Rules sebelum mengonfigurasi aturan atau set data:

Current Account View: Aturan dan set data hanya berlaku untuk data log dari akun saat ini.
Global Account View: Aturan dan set data berlaku untuk data log dari semua Akun Alibaba Cloud yang dikelola oleh Threat Analysis and Response.

Untuk informasi selengkapnya, lihat Manajemen multi-akun.

Konfigurasikan aturan deteksi

Aturan deteksi mendefinisikan kebijakan untuk menganalisis data log dari produk cloud. Anda menentukan cakupan log, bidang pencocokan, bidang agregasi, dan parameter lainnya untuk mengontrol cara log dianalisis guna mengidentifikasi risiko keamanan. Threat Analysis and Response mendukung aturan yang telah ditentukan sebelumnya maupun aturan kustom.

Aktifkan atau nonaktifkan aturan yang telah ditentukan sebelumnya

Security Center menyediakan aturan yang telah ditentukan sebelumnya untuk mendeteksi alert dan event, seperti perilaku proses abnormal, serangan web yang berhasil, permintaan domain berbahaya, login mencurigakan, lalu lintas jaringan abnormal, permintaan jaringan berbahaya, dan perilaku web abnormal. Anda dapat melihat, mengaktifkan, atau menonaktifkan aturan yang telah ditentukan sebelumnya, tetapi tidak dapat mengedit atau menghapusnya.

Masuk ke Konsol Security Center.
Di panel navigasi sebelah kiri, pilih Agentic SOC > Manage > Detection Rules. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Pada tab Predefined, lihat daftar aturan yang telah ditentukan sebelumnya.
(Opsional) Di kolom Actions suatu aturan yang telah ditentukan sebelumnya, klik Details untuk melihat informasi dasar, logika, dan pengaturan pembuatan event-nya.
Klik sakelar di kolom Rule Status suatu aturan yang telah ditentukan sebelumnya untuk mengaktifkan atau menonaktifkannya.

Buat aturan kustom

Jika aturan yang telah ditentukan sebelumnya tidak memenuhi kebutuhan Anda, Anda dapat membuat aturan kustom.

Masuk ke Konsol Security Center.
Di panel navigasi sebelah kiri, pilih Agentic SOC > Manage > Detection Rules. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Pada tab Custom, klik Create Rule.

Pada halaman Create Rule, konfigurasikan informasi aturan.

Parameter	Deskripsi
Basic Information	Tentukan informasi dasar untuk aturan kustom. Rule Name: Masukkan nama untuk aturan kustom. Rule Description: Masukkan deskripsi untuk menjelaskan tujuan aturan. Threat Level: Pilih tingkat risiko untuk alert atau event yang dideteksi oleh aturan ini dari daftar drop-down. Untuk informasi lebih lanjut tentang tingkat risiko, lihat Security event. Threat Type: Pilih jenis ancaman yang didefinisikan oleh aturan ini dari daftar drop-down. Untuk informasi lebih lanjut tentang jenis alert, lihat Ikhtisar alert keamanan CWPP (Cloud Workload Protection Platform).
Rule Logic Settings	Tentukan aturan agregasi untuk alert keamanan. Log Scope: Pilih kategori log dan tipe log untuk aturan kustom. Security Center menampilkan tipe log yang tersedia berdasarkan produk cloud yang terhubung. Match Field: Pilih bidang dan nilai bidang untuk mencocokkan alert atau event. Security Center menyediakan bidang yang tersedia berdasarkan cakupan log yang Anda pilih. Deskripsi operator bidang >: Lebih besar dari. Mendukung bidang numerik. >=: Lebih besar dari atau sama dengan. Mendukung bidang numerik. <: Lebih kecil dari. Mendukung bidang numerik. <=: Lebih kecil dari atau sama dengan. Mendukung bidang numerik. =: Sama dengan. Mendukung bidang numerik dan string. <>: Tidak sama dengan. Mendukung bidang numerik dan string. LIKE: Berfungsi seperti operator LIKE dalam sintaks SQL. Mendukung bidang string. NOT LIKE: Negasi dari semantik LIKE. Mendukung bidang string. IN: Mencocokkan nilai apa pun dalam suatu himpunan. Pisahkan beberapa nilai dengan koma (,). Mendukung bidang string. NOT IN: Negasi dari IN. Pisahkan beberapa nilai dengan koma (,). Mendukung bidang string. REGEXP: Pencocokan ekspresi reguler. Mendukung bidang string. NOT REDEXP: Negasi dari pola ekspresi reguler. Mendukung bidang string. THREAT DETECT: Aturan deteksi ancaman. Hanya memvalidasi bidang src_ip, dst_ip, domain, url, dan md5. Mengembalikan true jika bidang yang ditentukan cocok dengan entri dalam database deteksi ancaman. NOT_IN_IP_DATASET: Mencocokkan terhadap kunci primer suatu set data. Memerlukan kunci primer set data berupa bidang bertipe IP. Mendukung alamat IP dan notasi CIDR. IN_IP_DATASET: Mencocokkan terhadap kunci primer suatu set data. Memerlukan kunci primer set data berupa bidang bertipe IP. Mendukung alamat IP dan notasi CIDR. NOT_IN_IDATASET: Mencocokkan terhadap kunci primer suatu set data. Memerlukan kunci primer set data berupa bidang string umum. IN_DATASET: Mencocokkan terhadap kunci primer suatu set data. Memerlukan kunci primer set data berupa bidang string umum. Klik Add Field untuk menambahkan bidang ke dalam grup. Bidang dalam satu grup menggunakan hubungan AND. Klik Add Field Group untuk menambahkan grup bidang. Grup bidang menggunakan hubungan OR. Aggregation Field: Pilih bidang untuk agregasi event. Maximum Logs: Tetapkan kondisi ambang batas untuk memicu alert berdasarkan bidang log. Statistical Period: Tetapkan jendela waktu untuk agregasi alert. Security Center mengagregasi log dari tipe yang dipilih dalam periode ini berdasarkan bidang agregasi.
Incident Generation Settings	Tentukan apakah alert yang dideteksi oleh aturan ini dikonversi menjadi event. Pilih Yes untuk mengonversi alert yang cocok menjadi event. Pilih salah satu metode pembuatan event berikut: Use Built-in Incident Aggregation Rule: Alert yang cocok dengan aturan ini diagregasi menjadi event yang telah ditentukan sebelumnya (event yang dihasilkan oleh aturan yang telah ditentukan sebelumnya). Aggregate Each Alert to Incident: Setiap alert menghasilkan event terpisah. Aggregate All Rule-triggered Alerts into Incident: Semua alert yang cocok dengan aturan ini diagregasi menjadi satu event. Jika Anda memilih opsi ini, tetapkan Execution Cycle untuk agregasi alert. Periode maksimum adalah 24 jam.

(Opsional) Klik Test dan pilih metode pengujian untuk memverifikasi aturan.
Metode pengujian berikut tersedia:
- Simulation Data: Tulis pernyataan SQL untuk menguji data yang cocok. Rujuk contoh nilai data simulasi saat menulis pernyataan tersebut. Setelah memasukkan nilai, klik Test.
- Business Data: Gunakan data produksi nyata untuk menguji aturan. Klik Test untuk melihat grafik garis jumlah alert dan event, serta daftar alert dan event.
Pengujian berlangsung selama 7 hari secara default. Anda dapat mengklik Publish atau End Test untuk menghentikan pengujian lebih awal. Mengklik Publish akan mengaktifkan aturan segera. Mengklik End Test akan membawa Anda kembali ke halaman manajemen aturan menggunakan ikon . Security Center membuat aturan dalam keadaan dinonaktifkan.
Jika Anda melewati pengujian, pastikan aturan telah dikonfigurasi dengan benar pada halaman Create Rule, lalu klik Publish.
Untuk menyimpan aturan tanpa menerbitkannya, klik Save as Draft.

Setelah membuat aturan kustom, Anda dapat melihat, menguji, mengaktifkan, menonaktifkan, mengedit, atau menghapusnya pada halaman Detection Rules.

Manajemen set data

Set data memungkinkan Anda mengelola objek data secara terpusat, seperti daftar hitam dan daftar putih IP, daftar aset inti, atau Indikator Kompromi (IOCs) intelijen ancaman kustom. Set data merupakan tabel dua dimensi yang menyimpan data kustom untuk digunakan kembali dalam aturan deteksi dan playbook respons.

Buat set data

Di panel navigasi sebelah kiri, pilih Agentic SOC > Manage > Detection Rules. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Klik tab Dataset, lalu klik Add Dataset untuk membuka panel Add Dataset.
Pada bagian Dataset, klik Download File Template untuk mengunduh templat ke komputer Anda. Isi dan simpan templat tersebut.
Perhatikan hal berikut:
- Tentukan kunci primer saat mengunggah templat. Kunci primer digunakan untuk mencari dan mencocokkan data log. Bidang kunci primer tidak boleh kosong atau berisi nilai duplikat.
  Jika kolom kunci primer set data yang diunggah berisi nilai duplikat, sistem secara otomatis menghapus duplikat tersebut.
- Ukuran file templat yang diunggah tidak boleh melebihi 3 MB.
- Templat file harus berisi tidak lebih dari 5.000 catatan set data.
- Nilai bidang set data dalam templat file tidak boleh melebihi 200 byte.
Kembali ke panel Add Dataset. Masukkan nama dan deskripsi, unggah file set data, tentukan kunci primer, lalu klik Next.
Sistem memvalidasi bidang set data. Jika ditemukan kesalahan, modifikasi bidang sesuai petunjuk.
Pada tab Verify and Create, pastikan set data yang diunggah sudah benar, lalu klik OK.

Langkah selanjutnya

Anda dapat mereferensikan set data dalam aturan deteksi atau playbook respons. Untuk informasi selengkapnya, lihat Security event dan Aturan respons.

Kolom Referenced dalam daftar set data menunjukkan berapa banyak aturan dan playbook yang mereferensikan set data tersebut.

Operasi tambahan

Untuk mengubah set data, klik Edit di kolom Actions daftar set data.
Untuk memperbarui set data secara batch, edit templat file set data di komputer Anda, klik Batch Update di kolom Actions, lalu unggah ulang templat tersebut.
Untuk menghapus set data, klik Delete di kolom Actions.
Catatan
Anda tidak dapat menghapus set data yang direferensikan oleh aturan deteksi atau playbook.

Contoh aturan kustom

Contoh berikut menunjukkan cara mengonfigurasi aturan kustom untuk skenario ancaman umum.

Serangan injeksi SQL (injeksi berbasis union)

Parameter	Contoh
Basic Information
Rule Name	sql_injection
Rule Description	Serangan injeksi SQL (injeksi berbasis union)
Threat Level	Important
Threat Type	Abnormal network traffic
Rule Logic Settings
Log Scope	Pilih `HTTP Activity` untuk kategori log. Pilih berikut ini untuk tipe log: `ALB Flow Logs`, `CLB Layer 7 Logs`, `Internet HTTP Logs`, `DDoS New BGP Anti-DDoS Flow Logs`, `WAF Flow Logs`, `CDN Flow Logs`, `DDoS Anti-DDoS Flow Logs (Legacy)`.
Matching Fields	Pada Matching Field Group 1, untuk bidang pertama, pilih atau masukkan: `request_parameters`, `REGEXP`, `union\b[\s\S]+select\b`.
Aggregation Fields	Tidak perlu konfigurasi.
Log Count Threshold	Tidak perlu konfigurasi.
Statistical Period	Tidak perlu konfigurasi.
Event Generation Settings
Convert Alerts from This Rule into Events	Yes
Event Generation Method	Aggregate all alerts from this rule into one event
Execution Period	24 hours

IP pemindai yang menyerang WAF

Parameter	Contoh
Basic Information
Rule Name	web_scanner_ip
Rule Description	IP pemindai yang menyerang WAF
Threat Level	Important
Threat Type	Malicious network behavior
Rule Logic Settings
Log Scope	Pilih `HTTP Activity` untuk kategori log. Pilih `WAF Flow Logs` untuk tipe log.
Matching Fields	Konfigurasikan dua bidang berikut dalam Matching Field Group 1: Bidang 1: `status`, `=`, `405`. Bidang 2: `final_plugin`, `=`, `waf`.
Aggregation Fields	domain
Log Count Threshold	Pilih atau masukkan secara berurutan: `Count`, `final_rule_type`, `>=`, `2`.
Statistical Period	2 minutes
Event Generation Settings
Convert Alerts from This Rule into Events	No

Proses Java mengeksekusi perintah sensitif mencurigakan

Parameter	Contoh
Basic Information
Rule Name	java_exec_suspicious_command
Rule Description	Proses Java mengeksekusi perintah sensitif mencurigakan
Threat Level	Important
Threat Type	Abnormal process behavior
Rule Logic Settings
Log Scope	Pilih `Process Activity` untuk kategori log. Pilih `Process Startup Logs` untuk tipe log.
Matching Fields	Matching Field Group 1 Bidang 1: `parent_proc_path`, `like`, `%/java%`. Bidang 2: `proc_path`, `like`, `%/id%`. Matching Field Group 2 Bidang 1: `parent_proc_path`, `like`, `%/java%`. Bidang 2: `proc_path`, `like`, `%/ifconfig%`. Matching Field Group 3 Bidang 1: `parent_proc_path`, `like`, `%/java%`. Bidang 2: `proc_path`, `like`, `%/whoami%`. Matching Field Group 4 Bidang 1: `parent_proc_path`, `like`, `%/java%`. Bidang 2: `proc_path`, `like`, `%/curl%`. Matching Field Group 5 Bidang 1: `parent_proc_path`, `like`, `%/java%`. Bidang 2: `proc_path`, `like`, `%/wget%`.
Aggregation Fields	Tidak perlu konfigurasi.
Log Count Threshold	Tidak perlu konfigurasi.
Statistical Period	Tidak perlu konfigurasi.
Event Generation Settings
Convert Alerts from This Rule into Events	No

Serangan brute-force pada host

Parameter	Contoh
Basic Information
Rule Name	host_crack
Rule Description	Serangan brute-force pada host
Threat Level	Important
Threat Type	Abnormal logon
Rule Logic Settings
Log Scope	Pilih `Logon Activity` untuk kategori log. Pilih `Host Logon Failure Logs` untuk tipe log.
Matching Fields	Konfigurasikan lima bidang berikut dalam Matching Field Group 1: Bidang 1: `src_ip`, `NOT LIKE`, `10.%`. Bidang 2: `src_ip`, `NOT LIKE`, `192.168.%`. Bidang 3: `src_ip`, `NOT REGEXP`, `172\.1[6-9]\.`. Bidang 4: `src_ip`, `NOT REGEXP`, `172\.2[0-9]\.`. Bidang 5: `src_ip`, `NOT REGEXP`, `172\.3[0-1]\.`.
Aggregation Fields	Pilih `host_uuid` dan `src_ip`.
Log Count Threshold	Pilih atau masukkan secara berurutan: `Sum`, `connect_count`, `>=`, `5`.
Statistical Period	3 minutes
Event Generation Settings
Convert Alerts from This Rule into Events	No

Host terhubung ke domain penambangan

Parameter	Contoh
Basic Information
Rule Name	minner_domain
Rule Description	Host terhubung ke domain penambangan
Threat Level	Important
Threat Type	Abnormal network connection
Rule Logic Settings
Log Scope	Pilih `DNS Activity` untuk kategori log. Pilih berikut ini untuk tipe log: `Internet DNS Logs`, `DNS Resolution Logs`.
Matching Fields	Konfigurasikan tiga bidang berikut dalam Matching Field Group 1: Bidang 1: `dns_query_name`, `LIKE`, `%cryptonight.net%`. Bidang 2: `dns_query_name`, `LIKE`, `%minexmr.org%`. Bidang 3: `dns_query_name`, `LIKE`, `%xmrpool.com%`.
Aggregation Fields	Tidak perlu konfigurasi.
Log Count Threshold	Tidak perlu konfigurasi.
Statistical Period	Tidak perlu konfigurasi.
Event Generation Settings
Convert Generated Alerts into Events	No

Lonjakan tiba-tiba permintaan akses HTTP

Parameter	Contoh
Basic Information
Rule Name	web_access_overload
Rule Description	Lonjakan tiba-tiba permintaan akses HTTP
Threat Level	Important
Threat Type	Abnormal network traffic
Rule Logic Settings
Log Scope	Pilih `HTTP Activity` untuk kategori log. Pilih berikut ini untuk tipe log: `ALB Flow Logs`, `CLB Layer 7 Logs`, `Internet HTTP Logs`, `DDoS New BGP Anti-DDoS Flow Logs`, `WAF Flow Logs`, `CDN Flow Logs`, `DDoS Anti-DDoS Flow Logs (Legacy)`.
Matching Fields	Pada Matching Field Group 1, untuk bidang pertama, pilih atau masukkan: `status`, `LIKE`, `2%`.
Aggregation Fields	domain
Log Count Threshold	Pilih atau masukkan secara berurutan: `count`, `request_url`, `>=`, `60000`.
Statistical Period	1 minute
Event Generation Settings
Convert Generated Alerts into Events	No

Referensi

Tinjau dan tangani security event yang dihasilkan oleh Threat Analysis and Response. Untuk informasi selengkapnya, lihat Security event.
Gunakan fitur Log Management untuk menelusuri dan mengkueri data log di lingkungan multi-resource. Untuk informasi selengkapnya, lihat Pencarian log.
Panggil operasi API untuk mengkueri daftar aturan, memperbarui status aturan kustom, atau menghapus aturan kustom. Untuk informasi selengkapnya, lihat Manajemen aturan.