All Products
Search
Document Center

Security Center:Gunakan aturan deteksi SQL kustom untuk menganalisis log non-standar

Last Updated:May 08, 2026

Agentic SOC memungkinkan Anda membuat aturan deteksi SQL kustom untuk menganalisis log non-standar. Topik ini menggunakan log audit SQL ApsaraDB RDS sebagai contoh untuk menjelaskan cara menambahkan bidang ekstensi, mengonfigurasi aturan standarisasi, mengintegrasikan sumber data, dan membuat aturan deteksi SQL kustom. Metode yang sama dapat diterapkan untuk mengintegrasikan jenis log non-standar lainnya.

Ikhtisar

Secara default, Agentic SOC mengumpulkan dan menganalisis log keamanan Alibaba Cloud standar. Untuk menganalisis log non-standar, seperti log audit SQL ApsaraDB RDS, Anda harus mengonfigurasi bidang ekstensi dan integrasi data sebelum aturan deteksi kustom dapat menggunakannya. Proses konfigurasi secara keseluruhan adalah sebagai berikut:

  1. Tambahkan bidang ekstensi: Tambahkan bidang ekstensi ke skema RDS Database Audit Activity agar bidang non-standar dapat dirujuk dalam aturan deteksi.

  2. Ubah aturan standarisasi: Atur metode pemetaan bidang ekstensi ke Keep Original dalam aturan standarisasi RDS Database Audit Activity.

  3. Aktifkan sumber data: Tambahkan dan aktifkan sumber data log audit SQL RDS agar Agentic SOC dapat menerima data log.

  4. Aktifkan integrasi layanan: Aktifkan kebijakan ingestion untuk ApsaraDB RDS agar log dapat diproses oleh Agentic SOC.

  5. Buat aturan deteksi SQL kustom: Buat aturan deteksi SQL kustom berdasarkan templat aturan.

  6. Lihat dan tangani alert: Lihat serta tangani alert atau event yang dihasilkan oleh aturan deteksi.

Sebelum memulai

Langkah 1: Tambahkan bidang ekstensi

Tambahkan bidang ekstensi ke skema RDS Database Audit Activity agar bidang non-standar tersebut dapat dirujuk dan dikueri dalam aturan deteksi SQL kustom. Untuk informasi selengkapnya, lihat Aturan dan set data terstandarisasi.

  1. Akses Konsol Security Center - Agentic SOC - Management - Access Settings. Di pojok kiri atas halaman, pilih wilayah tempat aset yang akan dilindungi berada: Chinese Mainland atau Outside Chinese Mainland.

  2. Klik halaman Standard Fields, lalu klik tab Standardized Field.

  3. Di panel kiri Standard Fields, buka Log Activity Category> Audit Category, lalu pilih RDS Database Audit Activity.

  4. Di panel kanan, klik tab Extension Fields, lalu klik Field Management. Tambahkan bidang ekstensi berikut. Bidang-bidang ini hanya sebagai referensi. Sesuaikan berdasarkan kebutuhan Anda.

    Nama bidang ekstensi

    Tipe bidang

    Deskripsi

    APP_NAME

    text

    Nama aplikasi.

    application_name

    text

    Nama aplikasi.

    backend_type

    text

    Jenis backend.

    command_tag

    text

    Tag perintah.

    connection_from

    text

    Sumber koneksi.

    context

    text

    Informasi konteks.

    database_name

    text

    Nama database.

    detail

    text

    Informasi detail.

    env

    text

    Informasi lingkungan.

    error_severity

    text

    Tingkat keparahan error.

Langkah 2: Ubah aturan standarisasi

Ubah aturan standarisasi RDS Database Audit Activity agar bidang ekstensi yang ditambahkan pada Langkah 1 dapat diingest.

  1. Di halaman Integration Settings, klik tab Standardized Rule.

  2. Di kotak pencarian Service, cari ApsaraDB RDS.

  3. Di kolom Add Extended Fields, klik daftar drop-down dan pilih Keep Original.

Langkah 3: Aktifkan sumber data

Tambahkan dan aktifkan sumber data log audit SQL RDS agar Agentic SOC dapat menerima data log.

  1. Di halaman Integration Settings , klik tab Data Source.

  2. Di kotak pencarian Data Source Name, cari RDS SQL audit log, lalu klik Edit di kolom Actions.

  3. Di halaman Edit Data Source, klik Create Instance, lalu pilih wilayah dan log store tempat log audit SQL RDS berada.

  4. Klik OK. Setelah pesan The data source is updated. muncul, tutup halaman pengeditan. Segarkan status koneksi dan pastikan statusnya Normal.

  5. (Opsional) Aktifkan Auto Discovery untuk menyinkronkan instans baru secara otomatis.

Langkah 4: Aktifkan integrasi layanan

Aktifkan kebijakan ingestion untuk ApsaraDB RDS agar log audit SQL RDS dapat diterima dan diproses oleh Agentic SOC.

  1. Di halaman Integration Settings, klik tab Service Integration.

  2. Temukan ApsaraDB RDS dan klik Ingestion Settings di kolom Actions.

  3. Di halaman Access Policy, aktifkan kebijakan ingestion untuk RDS SQL audit logs dan the Standardization Rule for Relational Database Audit Logs.

Langkah 5: Buat aturan deteksi SQL kustom

Buat aturan deteksi SQL kustom berdasarkan templat aturan.

  1. Akses Konsol Security Center - Agentic SOC - Management - Detection Rules. Di pojok kiri atas halaman, pilih wilayah tempat aset yang akan dilindungi berada: Chinese Mainland atau Outside Chinese Mainland.

  2. Klik tab Rule Template dan cari templat Execution of Query Statements on Database Causes Errors .

  3. Klik Create Rule di kolom Actions.

  4. Di halaman konfigurasi aturan, atur parameter berikut. Gunakan nilai default untuk parameter lainnya. Untuk informasi selengkapnya, lihat Aturan deteksi.

    Catatan

    Dalam contoh ini, APP_NAME dan database_name adalah bidang ekstensi yang dikonfigurasi pada Langkah 1.

    • Rule Body: Pilih SQL Syntax.

    • Log Range: Pilih Audit Logs > Relational Database Audit Logs.

    • SQL Query Statement: Ubah pernyataan SQL sesuai kebutuhan bisnis Anda. Pernyataan SQL default dari templat adalah sebagai berikut:

      * |set session mode=scan;select distinct
      user_id,
      start_time,
      src_ip,
      db,
      user,
      table_name,
      sql,
      affect_rows
      from log
      where schema='RDS_DATABASE_AUDIT_ACTIVITY'
      and regexp_like(sql, '''\s*and\s+updatexml\s*\(') and APP_NAME='Test' and database_name='TestDatabase'

Langkah 6: Lihat dan tangani alert

Setelah aturan deteksi berlaku, sistem secara otomatis menghasilkan alert atau event ketika pola log yang cocok terdeteksi. Anda dapat melihat dan menanganinya di halaman Agentic SOC.

  1. Di halaman Agentic SOC, klik tab Security Incidents atau Alert.

  2. Lihat alert atau event yang dipicu oleh aturan deteksi SQL kustom dan tangani sesuai kebutuhan.

FAQ

  • Mengapa aturan deteksi tidak memicu alert?

    Lakukan pemecahan masalah dengan urutan berikut:

    1. Integrasi layanan: Pastikan kebijakan ingestion pada Langkah 4 telah diaktifkan.

    2. Status sumber data: Di tab Data Source, pastikan status koneksi log audit SQL RDS adalah Normal.

    3. Aturan standarisasi: Pastikan nilai Add Extended Fields untuk aturan standarisasi RDS Database Audit Activity diatur ke Keep Original.

    4. Aturan deteksi: Pastikan aturan deteksi telah diaktifkan dan rentang log diatur ke Relational Database Audit Logs.

  • Apa perbedaan antara bidang ekstensi dan bidang standar?

    Bidang standar adalah bidang universal yang telah ditentukan dalam skema terstandarisasi Agentic SOC, seperti src_ip dan user_id, yang berlaku untuk semua tipe log. Bidang ekstensi adalah bidang kustom yang ditentukan pengguna untuk menyimpan informasi non-standar yang spesifik pada tipe log tertentu, seperti database_name dan command_tag. Kedua jenis bidang ini dapat dirujuk langsung dalam kueri SQL aturan deteksi.