Agentic SOC memungkinkan Anda membuat aturan deteksi SQL kustom untuk menganalisis log non-standar. Topik ini menggunakan log audit SQL ApsaraDB RDS sebagai contoh untuk menjelaskan cara menambahkan bidang ekstensi, mengonfigurasi aturan standarisasi, mengintegrasikan sumber data, dan membuat aturan deteksi SQL kustom. Metode yang sama dapat diterapkan untuk mengintegrasikan jenis log non-standar lainnya.
Ikhtisar
Secara default, Agentic SOC mengumpulkan dan menganalisis log keamanan Alibaba Cloud standar. Untuk menganalisis log non-standar, seperti log audit SQL ApsaraDB RDS, Anda harus mengonfigurasi bidang ekstensi dan integrasi data sebelum aturan deteksi kustom dapat menggunakannya. Proses konfigurasi secara keseluruhan adalah sebagai berikut:
Tambahkan bidang ekstensi: Tambahkan bidang ekstensi ke skema RDS Database Audit Activity agar bidang non-standar dapat dirujuk dalam aturan deteksi.
Ubah aturan standarisasi: Atur metode pemetaan bidang ekstensi ke Keep Original dalam aturan standarisasi RDS Database Audit Activity.
Aktifkan sumber data: Tambahkan dan aktifkan sumber data log audit SQL RDS agar Agentic SOC dapat menerima data log.
Aktifkan integrasi layanan: Aktifkan kebijakan ingestion untuk ApsaraDB RDS agar log dapat diproses oleh Agentic SOC.
Buat aturan deteksi SQL kustom: Buat aturan deteksi SQL kustom berdasarkan templat aturan.
Lihat dan tangani alert: Lihat serta tangani alert atau event yang dihasilkan oleh aturan deteksi.
Sebelum memulai
Agentic SOC telah diaktifkan. Untuk informasi selengkapnya, lihat Beli dan aktifkan Agentic SOC.
Instans ApsaraDB RDS for MySQL tersedia dan fitur audit SQL telah diaktifkan. Untuk informasi selengkapnya, lihat Kumpulkan log audit SQL ApsaraDB for RDS.
Langkah 1: Tambahkan bidang ekstensi
Tambahkan bidang ekstensi ke skema RDS Database Audit Activity agar bidang non-standar tersebut dapat dirujuk dan dikueri dalam aturan deteksi SQL kustom. Untuk informasi selengkapnya, lihat Aturan dan set data terstandarisasi.
Akses Konsol Security Center - Agentic SOC - Management - Access Settings. Di pojok kiri atas halaman, pilih wilayah tempat aset yang akan dilindungi berada: Chinese Mainland atau Outside Chinese Mainland.
Klik halaman Standard Fields, lalu klik tab Standardized Field.
Di panel kiri Standard Fields, buka Log Activity Category> Audit Category, lalu pilih RDS Database Audit Activity.
Di panel kanan, klik tab Extension Fields, lalu klik Field Management. Tambahkan bidang ekstensi berikut. Bidang-bidang ini hanya sebagai referensi. Sesuaikan berdasarkan kebutuhan Anda.
Nama bidang ekstensi
Tipe bidang
Deskripsi
APP_NAME
text
Nama aplikasi.
application_name
text
Nama aplikasi.
backend_type
text
Jenis backend.
command_tag
text
Tag perintah.
connection_from
text
Sumber koneksi.
context
text
Informasi konteks.
database_name
text
Nama database.
detail
text
Informasi detail.
env
text
Informasi lingkungan.
error_severity
text
Tingkat keparahan error.
Langkah 2: Ubah aturan standarisasi
Ubah aturan standarisasi RDS Database Audit Activity agar bidang ekstensi yang ditambahkan pada Langkah 1 dapat diingest.
Di halaman Integration Settings, klik tab Standardized Rule.
Di kotak pencarian Service, cari ApsaraDB RDS.
Di kolom Add Extended Fields, klik daftar drop-down dan pilih Keep Original.
Langkah 3: Aktifkan sumber data
Tambahkan dan aktifkan sumber data log audit SQL RDS agar Agentic SOC dapat menerima data log.
Di halaman Integration Settings , klik tab Data Source.
Di kotak pencarian Data Source Name, cari RDS SQL audit log, lalu klik Edit di kolom Actions.
Di halaman Edit Data Source, klik Create Instance, lalu pilih wilayah dan log store tempat log audit SQL RDS berada.
Klik OK. Setelah pesan The data source is updated. muncul, tutup halaman pengeditan. Segarkan status koneksi dan pastikan statusnya Normal.
(Opsional) Aktifkan Auto Discovery untuk menyinkronkan instans baru secara otomatis.
Langkah 4: Aktifkan integrasi layanan
Aktifkan kebijakan ingestion untuk ApsaraDB RDS agar log audit SQL RDS dapat diterima dan diproses oleh Agentic SOC.
Di halaman Integration Settings, klik tab Service Integration.
Temukan ApsaraDB RDS dan klik Ingestion Settings di kolom Actions.
Di halaman Access Policy, aktifkan kebijakan ingestion untuk RDS SQL audit logs dan the Standardization Rule for Relational Database Audit Logs.
Langkah 5: Buat aturan deteksi SQL kustom
Buat aturan deteksi SQL kustom berdasarkan templat aturan.
Akses Konsol Security Center - Agentic SOC - Management - Detection Rules. Di pojok kiri atas halaman, pilih wilayah tempat aset yang akan dilindungi berada: Chinese Mainland atau Outside Chinese Mainland.
Klik tab Rule Template dan cari templat Execution of Query Statements on Database Causes Errors .
Klik Create Rule di kolom Actions.
Di halaman konfigurasi aturan, atur parameter berikut. Gunakan nilai default untuk parameter lainnya. Untuk informasi selengkapnya, lihat Aturan deteksi.
CatatanDalam contoh ini,
APP_NAMEdandatabase_nameadalah bidang ekstensi yang dikonfigurasi pada Langkah 1.Rule Body: Pilih SQL Syntax.
Log Range: Pilih Audit Logs > Relational Database Audit Logs.
SQL Query Statement: Ubah pernyataan SQL sesuai kebutuhan bisnis Anda. Pernyataan SQL default dari templat adalah sebagai berikut:
* |set session mode=scan;select distinct user_id, start_time, src_ip, db, user, table_name, sql, affect_rows from log where schema='RDS_DATABASE_AUDIT_ACTIVITY' and regexp_like(sql, '''\s*and\s+updatexml\s*\(') and APP_NAME='Test' and database_name='TestDatabase'
Langkah 6: Lihat dan tangani alert
Setelah aturan deteksi berlaku, sistem secara otomatis menghasilkan alert atau event ketika pola log yang cocok terdeteksi. Anda dapat melihat dan menanganinya di halaman Agentic SOC.
Di halaman Agentic SOC, klik tab Security Incidents atau Alert.
Lihat alert atau event yang dipicu oleh aturan deteksi SQL kustom dan tangani sesuai kebutuhan.
FAQ
Mengapa aturan deteksi tidak memicu alert?
Lakukan pemecahan masalah dengan urutan berikut:
Integrasi layanan: Pastikan kebijakan ingestion pada Langkah 4 telah diaktifkan.
Status sumber data: Di tab Data Source, pastikan status koneksi log audit SQL RDS adalah Normal.
Aturan standarisasi: Pastikan nilai Add Extended Fields untuk aturan standarisasi RDS Database Audit Activity diatur ke Keep Original.
Aturan deteksi: Pastikan aturan deteksi telah diaktifkan dan rentang log diatur ke Relational Database Audit Logs.
Apa perbedaan antara bidang ekstensi dan bidang standar?
Bidang standar adalah bidang universal yang telah ditentukan dalam skema terstandarisasi Agentic SOC, seperti
src_ipdanuser_id, yang berlaku untuk semua tipe log. Bidang ekstensi adalah bidang kustom yang ditentukan pengguna untuk menyimpan informasi non-standar yang spesifik pada tipe log tertentu, sepertidatabase_namedancommand_tag. Kedua jenis bidang ini dapat dirujuk langsung dalam kueri SQL aturan deteksi.