Kebijakan ingest log Agentic SOC harus di-bind dengan aturan ingest terstandarisasi. Aturan terstandarisasi menggunakan sintaks SPL dan set data Simple Log Service untuk mengurai log.
Sumber aturan terstandarisasi
Aturan ingest terstandarisasi menggunakan sintaks SPL untuk memetakan log masuk ke set data, mengekstrak informasi bidang kunci dari log, serta menyediakan dukungan data bagi aturan penguraian log selanjutnya guna menghasilkan informasi alert.
Sumber aturan | Deskripsi | Operasi yang didukung |
Predefined |
| View |
Custom |
|
|
Operasi pada aturan terstandarisasi
Prasyarat
Anda telah membeli dan mengaktifkan Agentic SOC. Untuk langkah-langkah spesifik, lihat Beli dan aktifkan Cloud Threat Detection and Response.
Buat aturan terstandarisasi custom
Masuk ke Security Center console. Di pojok kiri atas konsol, pilih wilayah tempat aset yang ingin Anda lindungi berada: China atau Outside China.
Di panel navigasi sebelah kiri, pilih . Pada tab Standardized Rule, klik Create Custom Rule di pojok kiri atas.
Anda dapat merujuk informasi berikut untuk menyelesaikan konfigurasi dasar.
Parameter
Deskripsi
Rule Name
User-defined
Service Provider
Vendor predefined: Alibaba Cloud, Fortinet, Chaitin Tech, Microsoft, Sangfor, Tencent Cloud, Huawei Cloud, Hillstone Networks, Knownsec, Microsoft Cloud, dan lainnya.
Produsen yang ditentukan pengguna: Untuk cara membuat produsen, lihat Langkah 1: Tambahkan produk.
Product
Otomatis menarik semua produk di bawah produsen, seperti Alibaba Cloud Security Center, Fortinet Firewall, dll. Untuk produk yang didukung oleh Agentic SOC, lihat Produk dan log yang didukung.
Standardization Category or Structure
Standardization Classification: Network Log, Host Log, Security Log, Audit Log, Snapshot Log, Logon Log, Other Log.
Standardization Structure:
Satu klasifikasi standarisasi berisi beberapa struktur standarisasi.
Satu struktur standarisasi berkorespondensi dengan satu set bidang terstandarisasi dan satu dataset (StoreView). Satu dataset dapat dipetakan ke beberapa struktur standarisasi.
CatatanUntuk cara melihat dataset dan bidang terstandarisasi yang sesuai dengan klasifikasi/struktur standarisasi, lihat Deskripsi dataset.
Remarks
Anda dapat menambahkan deskripsi fitur pada aturan terstandarisasi saat ini untuk memudahkan pencarian cepat dan meningkatkan keterbacaan.
Atur sintaks SPL dan lakukan pengujian standarisasi log.
Pilih sumber data: Pilih sumber data yang perlu dianalisis oleh aturan custom.
Isi sintaks SPL.
Anda dapat menggunakan aturan predefined dan aturan custom yang sudah ada sebagai templat. Sintaks SPL yang sesuai dengan aturan tersebut dapat dilihat di halaman detail.
Anda juga dapat merujuk ke dokumentasi sintaks SPL untuk menulis sintaks custom Anda sendiri.
Lakukan pengujian standarisasi.
PeringatanJika sumber data saat ini tidak memiliki data, sintaks SPL tidak akan dapat mengurai log dan mengembalikan hasil, sehingga Anda tidak dapat memilih data uji dan menyelesaikan pengujian standarisasi.
Klik tombol
, pilih data uji, lalu klik Parse and Test.
Setelah pengujian berhasil, klik Complete di pojok kiri bawah.
Ubah aturan terstandarisasi
Hanya aturan custom yang mendukung modifikasi.
Masuk ke Security Center console. Di pojok kiri atas konsol, pilih wilayah tempat aset yang ingin Anda lindungi berada: China atau Outside China.
Di panel navigasi sebelah kiri, pilih .
Temukan aturan yang ingin Anda ubah, lalu klik tombol Edit di kolom Actions.
Ubah konten yang relevan di halaman edit. Item konfigurasi yang dapat diubah adalah sebagai berikut:
Pengaturan dasar: nama aturan, remarks.
Sintaks SPL: Setelah mengubah sintaks SPL, Anda tetap perlu melakukan pengujian standarisasi log. Untuk langkah-langkah spesifik, lihat Atur sintaks SPL dan lakukan pengujian standarisasi log.
Hapus aturan terstandarisasi
Aturan predefined tidak dapat dihapus.
Aturan terstandarisasi yang telah di-bind ke kebijakan akses tidak dapat dihapus.
Masuk ke Security Center console. Di pojok kiri atas konsol, pilih wilayah tempat aset yang ingin Anda lindungi berada: China atau Outside China.
Di panel navigasi sebelah kiri, pilih .
Temukan aturan yang ingin Anda hapus, lalu klik tombol Delete di kolom Actions.
Deskripsi dataset
Dataset Storeview adalah resource virtual yang dibuat berdasarkan Logstore, digunakan untuk mengelola dan menyimpan hubungan antara beberapa Logstore. Melalui dataset (Storeview), Anda dapat melakukan kueri terpadu terhadap log di Logstore yang berbeda, namun dataset (Storeview) tidak mendukung operasi modifikasi terhadap log.
Deskripsi hubungan antara aturan terstandarisasi dan dataset
Aturan terstandarisasi perlu mengonfigurasi Standardization Category or Structure. Setiap klasifikasi standarisasi berisi beberapa struktur standarisasi, dan setiap struktur berkorespondensi dengan satu dataset (StoreView) penyimpanan dan satu set bidang terstandarisasi. Satu dataset (StoreView) juga dipetakan ke beberapa struktur standarisasi. Hubungan tersebut dapat dilihat pada gambar berikut:
Dampak terhadap integrasi produk
Saat integrasi produk, Agentic SOC mengurai log produk berdasarkan sintaks SPL sesuai dengan bidang standar data dalam dataset, lalu mencocokkan aturan deteksi ancaman, dan akhirnya mengidentifikasi risiko keamanan. Selain itu, dataset akan memiliki batasan konfigurasi berikut pada kebijakan akses:
Jika satu dataset (StoreView) telah di-bind ke 5 kebijakan akses dalam mode kueri pemindaian, metode standarisasi untuk kebijakan baru hanya dapat berupa "Real-time Consumption" dan tidak mendukung "Scan Query". Untuk penjelasan metode standarisasi, lihat Log produk.
Lihat dataset
Dataset umum adalah sebagai berikut:
Klasifikasi standarisasi | Struktur standarisasi | Nama dataset |
Network Log | 5-tuple Log | network_activity |
DNS Log | ||
HTTP Log | ||
Host Log | Process Network Connection Log | process_activity |
Process File Write Log | ||
Process Startup Log | ||
Process DNS Request Log | ||
Security Log | API Security Risk Log | risk_activity |
Cloud Service Baseline Log | ||
Host Baseline Log | ||
Cloud Platform Operation Alert Log | alert_activity | |
API Security Alert Log | ||
Endpoint Detection and Response Alert Log | ||
Firewall Alert Log | ||
Host Network Alert Log | ||
Alert logs of WAF | ||
Other Alert Log | ||
Crawler Alert Log | ||
Vulnerability Log | vulnerability_activity | |
Audit Log | Bastionhost Audit Log | audit_activity |
NoSQL Database Audit Log | ||
Cloud Platform Operation Audit Log | ||
Audit logs of Kubernetes resources | ||
Windows Security Event Log | ||
API Gateway Audit Log | ||
SQL Database Audit Log | ||
Object Storage Service Audit Log | ||
Azure Active Directory Audit Log | ||
Azure Active Directory Logon Log | ||
Snapshot Log | Account Snapshot | account_activity |
Process Startup Snapshot | process_activity | |
Network Connection Snapshot | ||
Logon Log | Cloud Platform Logon Log | login_activity |
Host Logon Failure Log | ||
Host Logon Log |
Jika Anda ingin melihat informasi dataset lebih lanjut, ikuti langkah-langkah berikut.
Masuk ke Security Center console. Di pojok kiri atas konsol, pilih wilayah tempat aset yang ingin Anda lindungi berada: China atau Outside China.
Di panel navigasi sebelah kiri, pilih . Pada tab Standardized Rule, klik View Standard Fields di pojok kiri atas.
Dalam daftar bidang terstandarisasi, item daftar Log Activity Category di sebelah kiri adalah klasifikasi standarisasi yang didukung oleh Agentic SOC, dan node root daftar tersebut adalah struktur standarisasi. Di sebelah kanan, Anda dapat melihat nama Dataset (StoreView) dan daftar bidang terstandarisasi.
Referensi
Untuk mengikat aturan terstandarisasi, lihat Integrasi produk.
Untuk mengetahui produk mana saja yang didukung oleh aturan terstandarisasi default, lihat Produk dan log yang didukung.
Untuk informasi lebih lanjut tentang arsitektur Agentic SOC 2.0, lihat Cloud Threat Detection and Response 2.0.
Jika Anda mengalami masalah selama operasi, lihat FAQ untuk solusi.