All Products
Search

This Product

    Security Center:Aturan dan set data terstandarisasi

    Document Center

    Security Center:Aturan dan set data terstandarisasi

    Last Updated:May 08, 2026

    Kebijakan ingestion log Agentic SOC harus dikaitkan dengan aturan terstandarisasi. Aturan terstandarisasi menggunakan sintaks SPL dari Simple Log Service (SLS) untuk mengurai dan menormalisasi log.

    Aturan terstandarisasi

    Sumber Aturan

    Aturan terstandarisasi menggunakan sintaks SPL untuk memetakan log mentah yang masuk ke struktur log terstandarisasi dan mendefinisikan pemetaan field kunci. Hal ini menyediakan fondasi data untuk menghasilkan peringatan dari log yang telah dinormalisasi.

    Rule Source

    Description

    Supported Operations

    Predefined

    Agentic SOC melakukan pre-inisialisasi serangkaian aturan parsing dengan sintaks SPL dan mengikatnya ke kebijakan ingestion. Lebih dari 50 templat aturan bawaan menggabungkan keahlian keamanan Alibaba Cloud.

    • View

    • Copy and Create

    Custom

    • Dibuat oleh pengguna, dengan opsi untuk mereferensikan aturan predefined dan aturan custom yang sudah ada sebagai templat.

    • Anda harus terlebih dahulu mengingest data log ke sumber data yang memerlukan parsing terstandarisasi kustom; jika tidak, Anda tidak dapat menyelesaikan pembuatan aturan.

    • Add

    • View

    • Modify

    • Delete

    • Copy and Create

    Buat aturan terstandarisasi kustom

    1. Akses Konsol Security Center - Agentic SOC - Management - Access Settings. Di pojok kiri atas halaman, pilih wilayah tempat aset yang akan dilindungi berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Konfigurasikan parameter berikut untuk pengaturan dasar.

      Parameter

      Description

      Rule Name

      Nama kustom untuk aturan tersebut.

      Service Provider

      Vendor predefined: Alibaba Cloud, Fortinet, Chaitin, Microsoft, Sangfor, Tencent Cloud, Huawei Cloud, Hillstone Networks, DbappSecurity, Microsoft Cloud, dan lainnya.

      Vendor kustom: Untuk informasi tentang cara membuat vendor, lihat Integrasi produk.

      Service

      Secara otomatis mencantumkan semua produk di bawah vendor yang dipilih, seperti Security Center untuk Alibaba Cloud dan Fortinet Firewall. Untuk daftar produk yang didukung, lihat Pengaturan integrasi.

      Remarks

      Tambahkan deskripsi untuk aturan terstandarisasi guna memudahkan pencarian dan meningkatkan keterbacaan.

    3. Pada tab Log Standardization Test, konfigurasikan pemetaan field untuk aturan standarisasi.

      1. Pilih sumber sampel log:

        • Based on data source

          • Data source: Secara otomatis menyinkronkan instance sumber data yang sudah ada.

          • Log sample: Secara otomatis mengkueri sampel log dari 7 hari terakhir. Anda juga dapat memilih rentang waktu kustom.

        • Based on manual input: Tempel data log mentah ke editor JSON. Editor ini mendukung format dan validasi.

      2. Buat rencana parsing menggunakan konfigurasi yang direkomendasikan AI atau konfigurasi manual.

        Konfigurasi yang direkomendasikan AI

        Panggil Security AI Assistant dari konsol. Agentic SOC secara otomatis menugaskan agen standarisasi log untuk menganalisis sampel log, merekomendasikan klasifikasi standarisasi, struktur, dan pemetaan field, serta menghasilkan sintaks SPL.

        1. Pada bagian Parse test, klik Security AI Assistant. Panel dialog asisten AI muncul di sebelah kanan.

        2. Dapatkan konfigurasi yang direkomendasikan: Setelah menganalisis sampel log, Security AI Assistant mengembalikan konfigurasi yang direkomendasikan.

          • Klasifikasi dan struktur standarisasi: AI mengidentifikasi tipe log berdasarkan konten log dan merekomendasikan klasifikasi.

            • Klasifikasi standarisasi: Network Log, Host Log, Security Log, Audit Log, Snapshot Log, Logon Log, dan Other Log.

            • Struktur standarisasi:

              • Setiap klasifikasi standarisasi mencakup beberapa struktur standarisasi.

              • Setiap struktur standarisasi sesuai dengan satu set field terstandarisasi dan satu dataset (StoreView). Satu dataset dapat dipetakan ke beberapa struktur standarisasi.

              • Untuk informasi tentang cara melihat dataset dan field terstandarisasi untuk suatu klasifikasi atau struktur, lihat Lihat field dan dataset terstandarisasi.

          • Tabel hasil pemetaan: Menampilkan pemetaan antara setiap field log dan field terstandarisasinya, serta menunjukkan apakah field tersebut wajib atau opsional. Untuk field yang tidak dicocokkan secara otomatis oleh AI, pilih field terstandarisasi dari daftar drop-down.

        3. Hasilkan sintaks SPL: Di bawah konfigurasi yang direkomendasikan, klik Generate SPL. AI menghasilkan sintaks SPL berdasarkan hasil pemetaan, serta menyediakan tabel keputusan pemetaan dan pemeriksaan kepatuhan mandiri.

        4. Isi formulir konfigurasi: Di bawah sintaks SPL yang dihasilkan, klik Apply. Klasifikasi standarisasi, struktur, dan sintaks SPL yang direkomendasikan AI secara otomatis diisi ke dalam formulir pengeditan aturan.

        Konfigurasi manual

        • Klasifikasi dan struktur standarisasi: Untuk klasifikasi dan struktur standarisasi default yang didukung oleh Agentic SOC serta deskripsi field-nya, lihat Lihat field dan dataset terstandarisasi.

        • Sintaks SPL:

          • Gunakan aturan predefined dan aturan kustom yang sudah ada sebagai templat. Lihat sintaks SPL untuk setiap aturan di halaman detailnya.

          • Atau tulis sintaks kustom dengan merujuk ke Dokumentasi sintaks SPL.

      3. Konfigurasikan field ekstensi dan tipe sintaks

        • Ingestion field ekstensi:

          • Pass-through: Field log mentah yang tidak dipetakan ke field terstandarisasi disimpan langsung di dataset sebagai pasangan kunci-nilai. Ini mempertahankan semua data asli tetapi meningkatkan volume log dan biaya traffic.

          • Not Ingested (Default): Field log mentah yang tidak dipetakan oleh aturan terstandarisasi dibuang.

        • Tipe sintaks:

          • General syntax: Saat Anda mengonfigurasi kebijakan ingestion log, Anda dapat memilih Real-time Consumption atau Scan Query. Untuk informasi lebih lanjut, lihat perbandingan metode standarisasi di Log produk.

          • Real-time consumption: Saat Anda mengonfigurasi kebijakan ingestion log, metode standarisasi hanya mendukung Real-time Consumption.

      4. Parse test

        1. Setelah mengonfigurasi klasifikasi standarisasi dan sintaks parsing, klik Parse.

        2. Lihat hasil parsing di bagian Parse Results.

        3. Atur field ekstensi (opsional)

          Jika hasil parsing SPL berisi field yang tidak dipetakan ke field terstandarisasi dan ingestion field ekstensi diatur ke Pass-through, kami menyarankan membuat indeks untuk field tersebut agar memudahkan pencarian cepat setelah ingestion. Untuk informasi lebih lanjut, lihat Kelola aturan terstandarisasi.

    4. Setelah pengujian berhasil, klik Complete di pojok kiri bawah.

    Kelola aturan terstandarisasi

    Ubah aturan terstandarisasi

    Klik Edit di kolom Actions aturan target. Anda dapat mengubah nama aturan, keterangan, dan sintaks SPL. Untuk petunjuk konfigurasi, lihat Buat aturan terstandarisasi kustom.

    Catatan

    Hanya aturan kustom yang mendukung modifikasi.

    Hapus aturan terstandarisasi

    Klik Delete di kolom Actions aturan target.

    Penting

    • Aturan predefined tidak dapat dihapus.

    • Aturan terstandarisasi yang dikaitkan ke kebijakan ingestion tidak dapat dihapus.

    Field dan dataset terstandarisasi

    Lihat field dan dataset terstandarisasi

    1. Akses Konsol Security Center - Agentic SOC - Management - Access Settings. Di pojok kiri atas halaman, pilih wilayah tempat aset yang akan dilindungi berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Pada daftar Standard Fields di sebelah kiri, item di bawah Log Activity Category adalah Standardization Category yang didukung oleh Agentic SOC. Node akar merepresentasikan Standardization Structure.

    3. Klik ikon expand di sebelah Standardization Category (misalnya, Network Log) untuk melihat Standardization Structure di bawahnya (misalnya, 5-tuple Log, DNS Log, dan HTTP Log).

    4. Klik Standardization Structure (misalnya, API Risk Log). Informasi berikut muncul di sebelah kanan:

      • Standardized Field: Menampilkan field terstandarisasi untuk struktur yang dipilih, termasuk nama field, tipe, deskripsi, status wajib, dan nilai contoh.

      • Extended Fields: Menampilkan field ekstensi yang ditentukan pengguna, termasuk nama field, tipe, deskripsi, status tokenisasi, dan waktu pembaruan.

      • Dataset: Menampilkan Dataset untuk struktur yang dipilih.

    Kelola field ekstensi

    Buat struktur standarisasi baru (opsional)

    1. Pada tab Standardized Field, klik ikon image di sebelah Standard Fields target di daftar field standar.

    2. Pada kotak dialog Standardization Structure, konfigurasikan parameter berikut.

      • Standardization Structure: Masukkan nama untuk struktur guna memudahkan identifikasi saat mengonfigurasi aturan terstandarisasi.

      • Structure Identifier: Harus diawali dengan custom-. Huruf dan angka didukung.

      • Log Storage Location: Pilih LogStore untuk menyimpan log

        • Create Logstore:

          • Name: Harus diawali dengan custom-.

          • Storage Location: LogStore dibuat di bawah proyek log (aliyun-cloudsiem-data-{aliUid}-{regionId}). Anda dapat melihatnya di konsol Simple Log Service.

        • Existing LogStore: Anda hanya dapat memilih LogStore kustom (nama diawali dengan custom-).

    Tambahkan field ekstensi

    Jika log yang diingest berisi field yang tidak dipetakan ke Standardized Field dan Add Extended Fields diatur ke Keep Original, kami menyarankan membuat indeks untuk field tersebut agar memudahkan pencarian cepat setelah ingestion.

    Tambahkan secara batch

    1. Pada tab Standardized Rule, saat membuat atau mengubah aturan kustom, klik Manage Custom Fields di bagian Parse Test.

    2. Pada halaman Extension Field Management, klik Auto-generate Index Property.

    3. Sistem secara otomatis menyinkronkan field log yang diekstraksi dari sampel menggunakan sintaks SPL tetapi tidak dipetakan ke Standardized Field sebagai field ekstensi.

    4. Pilih metode penambahan:

      • Append: Mempertahankan atribut indeks yang ada dan menambahkan indeks field ekstensi baru.

      • Overwrite: Mengganti atribut indeks yang ada dan menghapus data indeks lama.

    5. Ubah informasi field (opsional):

      • Field Name: Nama field log mentah yang tidak dipetakan ke field terstandarisasi.

      • Type: Tipe yang didukung adalah text, long, double, dan JSON.

      • Enable Tokenization:

        • Didukung untuk field teks dan dikendalikan oleh toggle switch.

        • Delimiter yang didukung: koma (,), spasi, tanda petik tunggal ('), tanda petik ganda ("), titik koma (;), tanda sama dengan (=), tanda kurung (()), kurung siku ([]), kurung kurawal ({}), tanda tanya (?), tanda at (@), ampersand (&), tanda kurung sudut (<>), garis miring (/), titik dua (:), baris baru (\n), tab (\t), dan carriage return (\r).

    Tambahkan satu per satu

    1. Pada tab Standardized Field, expand Standardization Category target dan klik Standardization Structure target.

    2. Pada tab Extended Fields di sebelah kanan, klik Add Field.

    3. Pada tab manajemen field ekstensi, klik Add Field dan konfigurasikan parameter berikut.

      • Field Name: Nama field log mentah yang tidak dipetakan ke field terstandarisasi.

      • Type: Tipe yang didukung adalah text, long, double, dan JSON.

      • Enable Tokenization:

        • Didukung untuk field teks dan dikendalikan oleh toggle switch.

        • Delimiter yang didukung: koma (,), spasi, tanda petik tunggal ('), tanda petik ganda ("), titik koma (;), tanda sama dengan (=), tanda kurung (()), kurung siku ([]), kurung kurawal ({}), tanda tanya (?), tanda at (@), ampersand (&), tanda kurung sudut (<>), garis miring (/), titik dua (:), baris baru (\n), tab (\t), dan carriage return (\r).

    Dataset

    Apa itu Dataset

    Dataset (StoreView) adalah resource virtual berbasis LogStore yang mengelola asosiasi antara beberapa LogStore. Anda dapat menggunakan dataset untuk mengkueri log dari beberapa LogStore secara terpadu. Namun, dataset tidak mendukung modifikasi log.

    Pemetaan antara dataset dan field terstandarisasi

    Aturan terstandarisasi memerlukan konfigurasi Standardization Classification/Structure. Setiap klasifikasi standarisasi mencakup beberapa struktur standarisasi. Setiap struktur sesuai dengan satu dataset (StoreView) dan satu set field terstandarisasi. Satu dataset (StoreView) juga dapat dipetakan ke beberapa struktur standarisasi. Gambar berikut menggambarkan pemetaan tersebut:

    Catatan penggunaan dataset

    • Saat integrasi produk, Agentic SOC mengurai log produk menggunakan sintaks SPL dan field data standar di dataset, lalu mencocokkan aturan deteksi ancaman untuk mengidentifikasi risiko keamanan.

    • Jika dataset (StoreView) sudah dikaitkan ke lima kebijakan ingestion dalam mode scan query, kebijakan baru hanya dapat menggunakan Real-time Consumption sebagai metode standarisasi dan tidak mendukung Scan Query. Untuk informasi lebih lanjut tentang metode standarisasi, lihat Log produk.

    Dataset umum

    Tabel berikut mencantumkan dataset umum:

    Standardization classification

    Standardization structure

    Dataset

    Logstore

    Network log

    5-tuple log

    network_activity

    network-activity

    DNS log

    HTTP log

    Host log

    Process outbound network connection log

    process_activity

    process-activity

    Process file write log

    Process start log

    Process DNS request log

    Security log

    API security risk log

    risk_activity

    risk-activity

    Cloud service baseline log

    Host baseline log

    Cloud platform operation alert log

    alert_activity

    alert-activity

    API security alert log

    Endpoint detection and response (EDR) alert log

    Firewall alert log

    Host network alert log

    WAF alert log

    Other alert log

    Crawler alert log

    Vulnerability log

    vulnerability_activity

    vulnerability-activity

    Audit log

    bastion host audit log

    audit_activity

    audit-activity

    NoSQL database audit log

    Cloud platform operation audit log

    Kubernetes audit log

    Windows security event log

    API gateway audit log

    Relational database audit log

    Object storage audit log

    Azure Active Directory audit log

    Azure Active Directory logon log

    Snapshot log

    Account snapshot

    account_activity

    account-activity

    Process start snapshot

    process_activity

    process-activity

    Network connection snapshot

    Logon log

    Cloud platform logon log

    login_activity

    login-activity

    Host logon failure log

    Host logon log