全部产品
Search

搜索本产品

    :Gunakan aturan deteksi

    文档中心

    :Gunakan aturan deteksi

    更新时间:Jul 06, 2025

    Fitur analisis dan respons ancaman menyediakan aturan deteksi yang telah ditentukan sebelumnya. Aturan ini dapat digunakan untuk mendeteksi peringatan keamanan, menganalisis log yang dikumpulkan, mengidentifikasi rantai serangan, dan menghasilkan peristiwa keamanan. Anda dapat mengaktifkan atau menonaktifkan aturan deteksi yang telah ditentukan sebelumnya, serta membuat aturan deteksi kustom sesuai dengan kebutuhan bisnis Anda.

    Pengelolaan multi-akun

    Jika Anda mengonfigurasi fitur pengelolaan multi-akun dan menggunakan akun administrator global untuk masuk ke Konsol Security Center, Anda harus memilih tampilan yang sesuai sebelum membuat aturan deteksi kustom atau mengelola dataset pada halaman Rule Management. Berikut adalah tampilan yang didukung:

    • Current Account View: Aturan deteksi dan dataset yang dibuat hanya berlaku untuk data log dalam akun saat ini.

    • Global Account View: Aturan deteksi dan dataset yang dibuat berlaku untuk data log dalam semua akun Alibaba Cloud yang dikelola oleh fitur analisis dan respons ancaman.

    image

    Untuk informasi lebih lanjut, lihat Kelola Beberapa Akun secara Terpusat.

    Kelola aturan deteksi

    Aturan deteksi dapat digunakan untuk mendeteksi peringatan dan menganalisis log layanan cloud. Anda dapat menentukan rentang log, bidang pencocokan, dan bidang agregasi dalam aturan untuk menentukan logika deteksi otomatis dan analisis log. Hal ini membantu mengidentifikasi risiko keamanan dalam sistem bisnis Anda secara efisien. Fitur analisis dan respons ancaman mendukung aturan deteksi yang telah ditentukan sebelumnya dan aturan deteksi kustom. Anda dapat mengaktifkan atau menonaktifkan aturan deteksi yang telah ditentukan sebelumnya sesuai dengan kebutuhan bisnis Anda, serta membuat aturan deteksi peringatan dan peristiwa kustom.

    Aktifkan atau nonaktifkan aturan deteksi yang telah ditentukan sebelumnya

    Security Center menyediakan berbagai aturan deteksi yang telah ditentukan sebelumnya untuk menghasilkan peringatan dan peristiwa. Jenis-jenis aturan tersebut meliputi Perilaku Abnormal Proses, Serangan Web Berhasil, Permintaan Domain Jahat, Masuk Tidak Normal, Aliran Jaringan Tidak Normal, Akses Jaringan Jahat, dan Akses Web Tidak Normal. Anda dapat melihat detail, mengaktifkan, atau menonaktifkan aturan deteksi yang telah ditentukan sebelumnya. Namun, Anda tidak dapat memodifikasi atau menghapus aturan tersebut.

    1. Masuk ke Konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.

    2. Di panel navigasi sisi kiri, pilih CTDR > Rule Management.

    3. Di tab Predefined, tinjau aturan deteksi yang telah ditentukan sebelumnya.image

    4. Opsional. Temukan aturan deteksi pra-tentukan yang diperlukan dan klik Details di kolom Actions untuk melihat informasi dasar, logika, dan pengaturan pembuatan peristiwa dari aturan tersebut.

    5. Temukan aturan deteksi pra-tentukan yang ingin Anda kelola dan nyalakan atau matikan sakelar di kolom Rule Status.

      image

    Buat aturan deteksi kustom

    Jika aturan deteksi pra-tentukan tidak dapat memenuhi kebutuhan bisnis Anda, Anda dapat membuat aturan deteksi kustom dengan langkah-langkah berikut:

    1. Masuk ke Konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.

    2. Di panel navigasi sisi kiri, pilih CTDR > Rule Management.

    3. Di tab Custom, klik Create Rule.

    4. Di halaman Create Rule, konfigurasikan parameter yang diperlukan.

      Parameter

      Deskripsi

      Basic information

      Tentukan informasi dasar tentang aturan.

      • Rule Name: Masukkan nama untuk aturan tersebut.

      • Rule Description: Masukkan deskripsi untuk aturan agar mudah diidentifikasi.

      • Threat Level: Pilih tingkat risiko dari peringatan atau peristiwa yang ingin Anda hasilkan menggunakan aturan dari daftar drop-down. Untuk informasi lebih lanjut tentang tingkat risiko, lihat Tingkat Risiko.

      • Threat Type: Pilih jenis ancaman yang ingin Anda identifikasi menggunakan aturan dari daftar drop-down. Untuk informasi lebih lanjut tentang jenis peringatan, lihat Jenis Peringatan.

      Rule Logic Settings

      Konfigurasikan pengaturan agregasi untuk peringatan keamanan.

      • Log Scope: Pilih kategori dan jenis log tempat Anda ingin aturan berlaku.

        Security Center menampilkan jenis log yang tersedia berdasarkan layanan cloud yang ditambahkan ke fitur analisis ancaman.

      • Match Field: Tentukan bidang dan nilai bidang berdasarkan mana peringatan dan peristiwa dicocokkan. Security Center menampilkan bidang yang tersedia berdasarkan pengaturan yang Anda tentukan di bagian Ruang Lingkup Log.

        Deskripsi operator bidang

        • >: lebih besar dari. Bidang bertipe numerik didukung.

        • >=: lebih besar dari atau sama dengan. Bidang bertipe numerik didukung.

        • <: kurang dari. Bidang bertipe numerik didukung.

        • <=: kurang dari atau sama dengan. Bidang bertipe numerik didukung.

        • =: sama dengan. Bidang bertipe numerik dan string didukung.

        • <>: tidak sama dengan. Bidang bertipe numerik dan string didukung.

        • LIKE: Operator ini mematuhi sintaks LIKE dalam SQL standar. Bidang bertipe string didukung.

        • NOT LIKE: Operator ini mematuhi sintaks NOT LIKE dalam SQL standar. Bidang bertipe string didukung.

        • IN: Operator ini digunakan untuk memeriksa apakah nilai tertentu cocok dengan nilai apa pun dalam satu set. Pisahkan beberapa nilai bidang dengan koma (,). Nilai bidang bertipe string didukung.

        • NOT IN: Operator ini digunakan untuk memeriksa apakah nilai tertentu tidak cocok dengan nilai apa pun dalam satu set. Pisahkan beberapa nilai bidang dengan koma (,). Nilai bidang bertipe string didukung.

        • REGEXP: Ekspresi reguler digunakan sebagai operator bidang. Bidang bertipe string didukung.

        • NOT REGEXP: Ekspresi reguler digunakan sebagai operator bidang untuk mengidentifikasi bidang yang tidak cocok. Bidang bertipe string didukung.

        • THREAT DETECT: Aturan deteksi ancaman digunakan. Aturan ini hanya berlaku pada bidang src_ip, dst_ip, domain, url, dan md5. Jika suatu bidang cocok dengan bidang tertentu dalam database deteksi ancaman, true akan dikembalikan.

        • NOT_IN_IP_DATASET: Operator ini digunakan untuk mengidentifikasi bidang yang tidak cocok dengan nilai kunci utama dalam dataset tertentu. Pastikan kolom kunci utama dalam dataset hanya berisi alamat IP dan blok CIDR.

        • IN_IP_DATASET: Operator ini digunakan untuk mengidentifikasi bidang yang cocok dengan nilai kunci utama dalam dataset tertentu. Pastikan kolom kunci utama dalam dataset hanya berisi alamat IP dan blok CIDR.

        • NOT_IN_IDATASET: Operator ini digunakan untuk mengidentifikasi bidang yang tidak cocok dengan nilai kunci utama dalam dataset tertentu. Pastikan kolom kunci utama dalam dataset hanya berisi nilai string.

        • IN_DATASET: Operator ini digunakan untuk mengidentifikasi bidang yang cocok dengan nilai kunci utama dalam dataset tertentu. Pastikan kolom kunci utama dalam dataset hanya berisi nilai string.

        • Anda dapat menambahkan beberapa bidang ke grup bidang untuk pencocokan. Untuk menambahkan bidang lain, Anda dapat mengklik Add Field. Beberapa bidang dievaluasi menggunakan logika AND.

        • Anda dapat membuat beberapa grup bidang. Untuk membuat grup bidang lain, Anda dapat mengklik Add Field Group. Beberapa grup bidang dievaluasi menggunakan logika OR.

      • Aggregation Field: Pilih bidang yang ingin Anda gunakan untuk agregasi peristiwa.

      • Maximum Logs: Tentukan kondisi berdasarkan mana peringatan dihasilkan.

      • Statistical Period: Tentukan periode waktu peringatan yang ingin Anda agregasikan.

        Security Center mengagregasikan peringatan dari log jenis yang ditentukan dalam periode statistik yang ditentukan berdasarkan bidang agregasi.

      Incident Generation Settings

      Tentukan apakah peringatan yang dihasilkan berdasarkan aturan akan diagregasikan menjadi peristiwa.

      Jika Anda memilih Yes, hanya peringatan yang dihasilkan berdasarkan aturan yang diagregasikan menjadi peristiwa. Metode agregasi peristiwa berikut tersedia:

      • Use Built-in Incident Aggregation Rule: Peringatan yang dihasilkan berdasarkan aturan diagregasikan menjadi peristiwa yang telah ditentukan sebelumnya. Peristiwa yang telah ditentukan sebelumnya merujuk pada peristiwa yang dihasilkan berdasarkan aturan deteksi pra-tentukan.

      • Aggregate Each Alert to Incident: Setiap peringatan diagregasikan menjadi peristiwa.

      • Aggregate All Rule-triggered Alerts into Incident:

        Jika Anda memilih metode ini, Anda perlu mengonfigurasi parameter Execution Cycle. Selama periode waktu yang ditentukan oleh parameter Siklus Eksekusi, peringatan yang dihasilkan berdasarkan aturan diagregasikan menjadi satu peristiwa. Periode waktu maksimum yang dapat Anda tentukan adalah 24 jam.

    5. Opsional. Klik Test dan pilih metode tes. Sistem akan menguji apakah aturan berlaku.

      Metode tes yang tersedia:

      • Simulation Data: Jika Anda memilih metode tes ini, tulis pernyataan SQL untuk menguji apakah aturan berlaku. Saat menulis pernyataan SQL, Anda dapat merujuk pada contoh yang disediakan di bagian Nilai Data Simulasi di halaman Tes. Setelah memasukkan nilai data simulasi, klik Test.

      • Business Data: Jika Anda memilih metode tes ini, data bisnis aktual Anda digunakan untuk menguji apakah aturan berlaku. Klik Test untuk melihat grafik garis jumlah peringatan dan peristiwa yang dihasilkan berdasarkan aturan, daftar peringatan, dan daftar peristiwa.

      Secara default, tes berjalan selama tujuh hari. Anda juga dapat mengklik Publish atau End Test untuk mengakhiri tes lebih awal. Setelah mengklik Publish, aturan langsung berlaku. Setelah mengklik End Test, Anda perlu mengklik ikon 返回图标 untuk kembali ke halaman Pengelolaan Aturan. Aturan secara otomatis dibuat dan dinonaktifkan.

    6. Jika Anda tidak menguji aturan, konfirmasikan pengaturan aturan di halaman Create Rule dan klik Publish.

      Jika Anda tidak ingin aturan langsung berlaku, Anda dapat mengklik Save as Draft untuk menyimpan aturan.

    Setelah aturan deteksi kustom dibuat, Anda dapat melihat detail, menguji, mengaktifkan, menonaktifkan, mengedit, dan menghapus aturan di halaman Rule Management.

    Kelola dataset

    Jika Anda ingin mengelola beberapa objek data yang berlaku untuk skenario tertentu secara terpusat, Anda dapat membuat dataset dan mendefinisikan objek data dalam dataset. Objek data termasuk daftar hitam dan daftar putih alamat IP, daftar aset inti, dan intelijen ancaman kustom terkait indikator kompromi (IOC). Dataset adalah tabel dua dimensi yang digunakan untuk memelihara daftar data kustom. Anda dapat mereferensikan dataset dalam aturan deteksi atau playbook Orkestrasi Otomasi Keamanan (SOAR) berkali-kali.

    Buat dataset

    1. Di panel navigasi sisi kiri, pilih CTDR > Rule Management.

    2. Pada tab Dataset, klik Add Dataset. Panel Add Dataset akan ditampilkan.

    3. Di bagian Dataset, klik Download File Template untuk mengunduh file template dataset ke komputer Anda. Masukkan informasi yang diperlukan dalam file template dataset dan simpan.

      Perhatikan hal-hal berikut:

      • Sebelum mengunggah file template dataset, tentukan kunci utama, yang digunakan untuk mencari dan mencocokkan log. Kolom kunci utama tidak boleh berisi nilai NULL atau nilai duplikat.

        Jika kolom kunci utama berisi nilai duplikat, sistem secara otomatis menghapus duplikat tersebut.

      • Ukuran file template dataset tidak boleh melebihi 3 MB.

      • File template dataset tidak boleh berisi lebih dari 5.000 baris.

      • Setiap nilai dalam file template dataset tidak boleh melebihi 200 byte panjangnya.

    4. Kembali ke panel Add Dataset, konfigurasikan parameter Nama Dataset dan Deskripsi Dataset, unggah file template dataset, konfigurasikan parameter Kunci Utama Dataset, lalu klik Next.

      Sistem secara otomatis memeriksa validitas nilai dalam file yang diunggah. Jika suatu nilai tidak valid, modifikasi nilai sesuai dengan petunjuk.

    5. Di tab Verify and Create, konfirmasikan informasi dalam file yang diunggah dan klik OK.

    Apa yang Harus Dilakukan Selanjutnya

    Anda dapat langsung mereferensikan dataset saat membuat aturan deteksi kustom dan playbook SOAR. Untuk informasi lebih lanjut, lihat Tangani Insiden Keamanan dan Langkah 1: Buat Playbook.

    Anda dapat melihat informasi referensi tentang dataset di kolom Referenced dataset di tab Dataset.

    image.png

    Operasi Lainnya

    • Untuk menambahkan data ke dataset atau menghapus data dari dataset, temukan dataset dan klik Edit di kolom Actions.

    • Untuk memperbarui beberapa baris dalam dataset sekaligus, buka dan edit file template dataset yang disimpan di komputer Anda, temukan dataset di tab Dataset, lalu klik Batch Update di kolom Actions untuk mengunggah file.

    • Untuk menghapus dataset yang tidak lagi Anda gunakan, temukan dataset dan klik Delete di kolom Actions.

      Catatan

      Anda tidak dapat menghapus dataset yang direferensikan dalam aturan deteksi atau playbook.

    Contoh Konfigurasi pada Aturan Deteksi Kustom

    Berikut ini adalah contoh yang dapat Anda rujuk saat membuat aturan deteksi kustom dalam skenario tipikal.

    Injeksi SQL Union

    Parameter

    Konfigurasi Contoh

    Informasi Dasar

    Nama Aturan

    sql_injection

    Deskripsi Aturan

    Injeksi SQL Union

    Tingkat Ancaman

    Risiko Tinggi

    Jenis Ancaman

    Lalu lintas jaringan abnormal

    Pengaturan Logika Aturan

    Ruang Lingkup Log

    • Pilih Aktivitas HTTP dari daftar drop-down kategori log.

    • Pilih Log Lapisan 7 ALB, Log Lapisan 7 CLB, Log Internet HTTP, Log Anti-DDoS Pro, Log Aliran WAF, Log Aliran CDN, dan Log Anti-DDoS dari daftar drop-down jenis log.

    Bidang Pencocokan

    Di bagian Grup Bidang Pencocokan 1, pilih request_parameters, pilih REGEXP, lalu masukkan union\b[\s\S]+select\b.

    Bidang Agregasi

    Lewati parameter ini.

    Log Maksimum

    Lewati parameter ini.

    Periode Statistik

    Lewati parameter ini.

    Pengaturan Pembuatan Peristiwa

    Agregasikan Peringatan yang Dipicu Aturan Menjadi Peristiwa

    Ya

    Metode Pembuatan Peristiwa

    Agregasikan Semua Peringatan yang Dipicu Aturan Menjadi Peristiwa

    Siklus Eksekusi

    24 Jam

    Alamat IP pemindai yang menyerang WAF

    Parameter

    Konfigurasi Contoh

    Informasi Dasar

    Nama Aturan

    web_scanner_ip

    Deskripsi Aturan

    Alamat IP pemindai yang menyerang WAF

    Tingkat Ancaman

    Risiko Tinggi

    Jenis Ancaman

    Aktivitas Jaringan Jahat

    Pengaturan Logika Aturan

    Ruang Lingkup Log

    • Pilih Aktivitas HTTP dari daftar drop-down kategori log.

    • Pilih Log Aliran WAF dari daftar drop-down jenis log.

    Bidang Pencocokan

    Tentukan bidang berikut di bagian Grup Bidang Pencocokan 1:

    • Bidang 1: status, =, dan 405

    • Bidang 2: final_plugin, =, dan waf

    Bidang Agregasi

    domain

    Log Maksimum

    Lakukan operasi berikut secara berurutan: Pilih Count, pilih final_rule_type, pilih >=, lalu masukkan 2.

    Periode Statistik

    2 Menit

    Pengaturan Pembuatan Peristiwa

    Agregasikan Peringatan yang Dipicu Aturan Menjadi Peristiwa

    Tidak

    Perintah sensitif mencurigakan dieksekusi oleh proses Java

    Parameter

    Konfigurasi Contoh

    Informasi Dasar

    Nama Aturan

    java_exec_suspicious_command

    Deskripsi Aturan

    Perintah sensitif mencurigakan dieksekusi oleh proses Java

    Tingkat Ancaman

    Risiko Tinggi

    Jenis Ancaman

    Proses Mencurigakan

    Pengaturan Logika Aturan

    Ruang Lingkup Log

    • Pilih Aktivitas Proses dari daftar drop-down kategori log.

    • Pilih Log Startup Proses dari daftar drop-down jenis log.

    Bidang Pencocokan

    • Grup Bidang Pencocokan 1

      • Bidang 1: parent_proc_path, LIKE, dan %/java%

      • Bidang 2: proc_path, LIKE, dan %/id%

    • Grup Bidang Pencocokan 2

      • Bidang 1: parent_proc_path, LIKE, dan %/java%

      • Bidang 2: proc_path, LIKE, dan %/ifconfig%

    • Grup Bidang Pencocokan 3

      • Bidang 1: parent_proc_path, LIKE, dan %/java%

      • Bidang 2: proc_path, LIKE, dan %/whoami%

    • Grup Bidang Pencocokan 4

      • Bidang 1: parent_proc_path, LIKE, dan %/java%

      • Bidang 2: proc_path, LIKE, dan %/curl%

    • Grup Bidang Pencocokan 5

      • Bidang 1: parent_proc_path, LIKE, dan %/java%

      • Bidang 2: proc_path, LIKE, dan %/wget%

    Bidang Agregasi

    Lewati parameter ini.

    Log Maksimum

    Lewati parameter ini.

    Periode Statistik

    Lewati parameter ini.

    Pengaturan Pembuatan Peristiwa

    Agregasikan Peringatan yang Dipicu Aturan Menjadi Peristiwa

    Tidak

    Serangan brute-force host

    Parameter

    Konfigurasi Contoh

    Informasi Dasar

    Nama Aturan

    host_crack

    Deskripsi Aturan

    Serangan brute-force host

    Tingkat Ancaman

    Risiko Tinggi

    Jenis Ancaman

    Masuk Tidak Biasa

    Pengaturan Logika Aturan

    Ruang Lingkup Log

    • Pilih Aktivitas Masuk dari daftar drop-down kategori log.

    • Pilih Log Masuk Gagal Host dari daftar drop-down jenis log.

    Bidang Pencocokan

    Tentukan bidang berikut di bagian Grup Bidang Pencocokan 1:

    • Bidang 1: src_ip, NOT LIKE, dan 10.%

    • Bidang 2: src_ip, NOT LIKE, dan 192.168.%

    • Bidang 3: src_ip, NOT REGEXP, dan 172\.1[6-9]\.

    • Bidang 4: src_ip, NOT REGEXP, dan 172\.2[0-9]\.

    • Bidang 5: src_ip, NOT REGEXP, dan 172\.3[0-1]\.

    Bidang Agregasi

    Pilih host_uuid dan src_ip.

    Log Maksimum

    Lakukan operasi berikut secara berurutan: Pilih Sum, pilih connect_count, pilih >=, lalu masukkan 5.

    Periode Statistik

    3 Menit

    Pengaturan Pembuatan Peristiwa

    Agregasikan Peringatan yang Dipicu Aturan Menjadi Peristiwa

    Tidak

    Host terhubung ke nama domain penambangan

    Parameter

    Konfigurasi Contoh

    Informasi Dasar

    Nama Aturan

    minner_domain

    Deskripsi Aturan

    Host terhubung ke nama domain penambangan

    Tingkat Ancaman

    Risiko Tinggi

    Jenis Ancaman

    Koneksi Jaringan Tidak Biasa

    Pengaturan Logika Aturan

    Ruang Lingkup Log

    • Pilih Aktivitas DNS dari daftar drop-down kategori log.

    • Pilih Log Internet DNS dan Log DNS dari daftar drop-down jenis log.

    Bidang Pencocokan

    Tentukan bidang berikut di bagian Grup Bidang Pencocokan 1:

    • Bidang 1: dns_query_name, LIKE, dan %cryptonight.net%

    • Bidang 2: dns_query_name, LIKE, dan %minexmr.org%

    • Bidang 3: dns_query_name, LIKE, dan %xmrpool.com%

    Bidang Agregasi

    Lewati parameter ini.

    Log Maksimum

    Lewati parameter ini.

    Periode Statistik

    Lewati parameter ini.

    Pengaturan Pembuatan Peristiwa

    Agregasikan Peringatan yang Dipicu Aturan Menjadi Peristiwa

    Tidak

    Lonjakan permintaan HTTP

    Parameter

    Konfigurasi Contoh

    Informasi Dasar

    Nama Aturan

    web_access_overload

    Deskripsi Aturan

    Lonjakan permintaan HTTP

    Tingkat Ancaman

    Risiko Tinggi

    Jenis Ancaman

    Lalu lintas jaringan abnormal

    Pengaturan Logika Aturan

    Ruang Lingkup Log

    • Pilih Aktivitas HTTP dari daftar drop-down kategori log.

    • Pilih Log Lapisan 7 ALB, Log Lapisan 7 CLB, Log Internet HTTP, Log Anti-DDoS Pro, Log Aliran WAF, Log Aliran CDN, dan Log Anti-DDoS dari daftar drop-down jenis log.

    Bidang Pencocokan

    Di bagian Grup Bidang Pencocokan 1, pilih status, pilih LIKE, dan masukkan 2%.

    Bidang Agregasi

    domain

    Log Maksimum

    Lakukan operasi berikut secara berurutan: Pilih count, pilih request_url, pilih >=, lalu masukkan 60000.

    Periode Statistik

    1 Menit

    Pengaturan Pembuatan Peristiwa

    Agregasikan Peringatan yang Dipicu Aturan Menjadi Peristiwa

    Tidak

    Referensi

    • Untuk memastikan keamanan sistem, kami sarankan Anda meninjau dan menangani peristiwa keamanan yang dihasilkan oleh fitur analisis dan respons ancaman sesegera mungkin. Untuk informasi lebih lanjut, lihat Tangani Insiden Keamanan.

    • Anda dapat menggunakan fitur manajemen log dari analisis dan respons ancaman untuk dengan cepat menanyakan log dan melihat informasi terkait log. Hal ini membantu mengurangi kesulitan manajemen log dalam lingkungan multi-sumber daya. Untuk informasi lebih lanjut, lihat Kelola Log.

    • Anda dapat memanggil operasi API terkait pengelolaan aturan untuk menanyakan aturan, memperbarui status aturan deteksi kustom, dan menghapus aturan deteksi kustom. Untuk informasi lebih lanjut, lihat Pengelolaan Aturan.