Kebijakan ingest log Cloud Threat Detection and Response (CTDR) harus diikat dengan aturan ingest terstandarisasi. Aturan ini menggunakan Sintaksis SPL dan dataset dari Simple Log Service untuk mengurai log.
Sumber aturan terstandarisasi
Aturan ingest terstandarisasi menggunakan sintaksis SPL untuk memetakan log masuk ke dataset, mengekstrak informasi bidang kunci dari log, serta menyediakan dukungan data untuk aturan penguraian log berikutnya guna menghasilkan informasi peringatan.
Sumber aturan | Deskripsi | Operasi yang didukung |
Pendefinisian sebelumnya |
| Lihat |
Kustom |
|
|
Operasi pada aturan terstandarisasi
Prasyarat
Anda telah membeli dan mengaktifkan CTDR. Untuk detail operasional, lihat Pembelian dan aktivasi Cloud Threat Detection and Response.
Buat aturan terstandarisasi kustom
Masuk ke Konsol Security Center. Di pojok kiri atas konsol, pilih wilayah tempat aset yang ingin dilindungi berada: China atau Outside China.
Di panel navigasi di sebelah kiri, pilih . Pada tab Standardized Rule, klik Create Custom Rule di pojok kiri atas.
Lengkapi konfigurasi dasar sesuai petunjuk berikut:
Parameter
Deskripsi
Rule Name
Ditetapkan oleh pengguna
Service Provider
Vendor pendefinisian sebelumnya: Alibaba Cloud, Fortinet, Chaitin Tech, Microsoft, Sangfor, Tencent Cloud, Huawei Cloud, Hillstone Networks, Knownsec, Microsoft Cloud, dan lainnya.
Vendor yang ditentukan pengguna: Untuk cara membuat vendor, lihat Langkah 1: Tambah produk.
Product
Menarik secara otomatis semua produk di bawah vendor tersebut, seperti Alibaba Cloud Security Center, Fortinet Firewall, dll. Untuk produk yang didukung oleh CTDR, lihat Produk dan log yang didukung.
Standardization Category or Structure
Klasifikasi Standarisasi: Log Jaringan, Log Host, Log Keamanan, Log Audit, Log Snapshot, Log Masuk, Log Lainnya.
Struktur Standarisasi:
Sebuah klasifikasi standarisasi mencakup beberapa struktur standarisasi.
Sebuah struktur standarisasi sesuai dengan satu set bidang standarisasi dan dataset (StoreView). Sebuah dataset dapat dipetakan ke beberapa struktur standarisasi.
CatatanUntuk cara melihat dataset dan bidang standarisasi yang sesuai dengan klasifikasi/struktur standarisasi, lihat Deskripsi dataset.
Remarks
Anda dapat menambahkan deskripsi fitur ke aturan standarisasi saat ini untuk memudahkan pencarian cepat dan meningkatkan keterbacaan.
Tentukan sintaksis SPL dan lakukan pengujian standarisasi log.
Pilih sumber data: Tentukan sumber data yang akan dianalisis oleh aturan kustom.
Isi sintaksis SPL.
Gunakan aturan pendefinisian sebelumnya atau aturan kustom yang ada sebagai templat. Anda dapat melihat sintaksis SPL yang sesuai dengan aturan tersebut di halaman detail.
Untuk penulisan sintaksis kustom, lihat Dokumentasi sintaksis SPL.
Lakukan pengujian standarisasi.
PeringatanJika sumber data saat ini tidak memiliki data, sintaksis SPL tidak akan dapat mengurai log dan mengembalikan hasil, sehingga mencegah pemilihan data uji dan penyelesaian pengujian standarisasi.
Klik tombol
, pilih data uji, dan klik Parse and Test.
Setelah pengujian berhasil, klik Complete di pojok kiri bawah.
Ubah aturan terstandarisasi
Hanya aturan kustom yang mendukung modifikasi.
Masuk ke Konsol Security Center. Di pojok kiri atas konsol, pilih wilayah tempat aset yang ingin dilindungi berada: China atau Outside China.
Di panel navigasi di sebelah kiri, pilih .
Temukan aturan yang ingin diubah dan klik tombol Edit di kolom Aksi.
Perbarui konten terkait di halaman edit. Item konfigurasi yang dapat diubah meliputi:
Pengaturan dasar: nama aturan, catatan.
Sintaksis SPL: Setelah memperbarui sintaksis SPL, Anda harus melakukan pengujian standarisasi log. Untuk detail operasional, lihat Tentukan sintaksis SPL dan lakukan pengujian standarisasi log.
Hapus aturan terstandarisasi
Aturan pendefinisian sebelumnya tidak dapat dihapus.
Aturan terstandarisasi yang telah diikat dengan kebijakan akses tidak dapat dihapus.
Masuk ke Konsol Security Center. Di pojok kiri atas konsol, pilih wilayah tempat aset yang ingin dilindungi berada: China atau Outside China.
Di panel navigasi di sebelah kiri, pilih .
Temukan aturan yang ingin dihapus dan klik tombol Delete di kolom Aksi.
Deskripsi dataset
Dataset Storeview adalah sumber daya virtual yang dibuat berdasarkan Logstore, digunakan untuk mengelola dan menyimpan hubungan antara beberapa Logstore. Melalui dataset (Storeview), Anda dapat menjalankan kueri terpadu pada log di Logstore yang berbeda, tetapi dataset (Storeview) tidak mendukung operasi modifikasi pada log.
Deskripsi hubungan antara aturan terstandarisasi dan dataset
Aturan terstandarisasi harus dikonfigurasi dengan Standardization Category or Structure. Setiap klasifikasi standarisasi mencakup beberapa struktur standarisasi, dan setiap struktur sesuai dengan penyimpanan dataset (StoreView) dan satu set bidang standarisasi. Sebuah dataset (StoreView) juga dipetakan ke beberapa struktur standarisasi. Hubungan ini dapat dirujuk pada gambar berikut:
Dampak pada integrasi produk
Selama integrasi produk, CTDR mengurai log produk sesuai dengan sintaksis SPL berdasarkan bidang standar data dalam dataset, kemudian mencocokkan aturan deteksi ancaman, dan akhirnya mengidentifikasi risiko keamanan. Selain itu, dataset memiliki batasan konfigurasi berikut pada kebijakan akses:
Jika sebuah dataset (StoreView) telah diikat ke 5 kebijakan akses dalam mode kueri pemindaian, metode standarisasi untuk kebijakan baru hanya dapat berupa "Real-time Consumption" dan tidak mendukung "Scan Query". Untuk penjelasan metode standarisasi, lihat Metode akses standarisasi.
Lihat dataset
Berikut adalah dataset umum:
Klasifikasi standarisasi | Struktur standarisasi | Nama dataset |
Log Jaringan | Log 5-tupel | network_activity |
Log DNS | ||
Log HTTP | ||
Log Host | Log Koneksi Jaringan Proses | process_activity |
Log Penulisan File Proses | ||
Log Startup Proses | ||
Log Permintaan DNS Proses | ||
Log Keamanan | Log Risiko Keamanan API | risk_activity |
Log Baseline Layanan Cloud | ||
Log Baseline Host | ||
Log Peringatan Operasi Platform Cloud | alert_activity | |
Log Peringatan Keamanan API | ||
Log Peringatan Deteksi dan Tanggapan Endpoint | ||
Log Peringatan Firewall | ||
Log Peringatan Jaringan Host | ||
Log peringatan WAF | ||
Log Peringatan Lainnya | ||
Log Peringatan Crawler | ||
Log Kerentanan | vulnerability_activity | |
Log Audit | Log Audit Bastionhost | audit_activity |
Log Audit Basis Data NoSQL | ||
Log Audit Operasi Platform Cloud | ||
Log audit sumber daya Kubernetes | ||
Log Event Keamanan Windows | ||
Log Audit API Gateway | ||
Log Audit Basis Data SQL | ||
Log Audit Layanan Penyimpanan Objek | ||
Log Audit Azure Active Directory | ||
Log Masuk Azure Active Directory | ||
Log Snapshot | Snapshot Akun | account_activity |
Snapshot Startup Proses | process_activity | |
Snapshot Koneksi Jaringan | ||
Log Masuk | Log Masuk Platform Cloud | login_activity |
Log Kegagalan Masuk Host | ||
Log Masuk Host |
Untuk melihat lebih banyak informasi dataset, ikuti langkah-langkah berikut:
Masuk ke Konsol Security Center. Di pojok kiri atas konsol, pilih wilayah tempat aset yang ingin dilindungi berada: China atau Outside China.
Di panel navigasi di sebelah kiri, pilih . Pada tab Standardized Rule, klik View Standard Fields di pojok kiri atas.
Dalam daftar bidang terstandarisasi, item daftar Log Activity Category di sebelah kiri adalah klasifikasi standarisasi yang didukung oleh CTDR, dan simpul akar daftar adalah struktur standarisasi. Di sebelah kanan, Anda dapat melihat nama Dataset (StoreView) dan daftar bidang terstandarisasi.
Referensi
Untuk mengikat aturan terstandarisasi, lihat Integrasi produk.
Untuk mengetahui produk mana yang didukung oleh aturan standarisasi default, lihat Produk dan log yang didukung.
Untuk mempelajari lebih lanjut tentang arsitektur CTDR 2.0, lihat Cloud Threat Detection and Response 2.0.
Jika Anda mengalami masalah selama operasi, lihat FAQ untuk solusi.