Cara mengatur daftar pengamatan - Security Center

Daftar pengamatan, juga dikenal sebagai dataset, adalah kumpulan referensi data yang dapat digunakan dalam aturan deteksi dan respons keamanan untuk mencocokkan serta memfilter entitas—seperti alamat IP dan ID pengguna—secara efisien. Fitur ini mendukung skenario seperti pengecualian daftar putih, deteksi blacklist, dan pemberian tag pada entitas bisnis.

Apa itu daftar pengamatan?

Observation List adalah tool manajemen data personalisasi untuk operasi keamanan. Daftar ini menyimpan dan mengelola informasi objek—seperti alamat IP, nama domain, dan aset—secara terpusat, dinamis, terstruktur, dan terstandarisasi, sehingga memungkinkan pencocokan yang efisien dan kontrol yang tepat selama seluruh tahap deteksi dan respons keamanan. Nilai intinya adalah:

Memisahkan data dinamis—seperti daftar IP dan daftar pengguna—dari logika deteksi statis (aturan).
Meningkatkan efisiensi dan sentralisasi manajemen data, serta menyederhanakan dan meningkatkan fleksibilitas aturan keamanan.

Konfigurasi daftar pengamatan

Kelola daftar pengamatan yang telah ditentukan sebelumnya

Sistem menyediakan daftar putih alamat IP global bawaan, global_ip_whitelist, untuk mengelola alamat IP tepercaya dari berbagai Produk Alibaba Cloud secara terpusat. Sumber Trusted IP Address Sources for Alibaba Cloud Services yang didukung adalah sebagai berikut:

Catatan

Manage Multi-account menentukan apakah data dari akun anggota yang dikelola oleh akun saat ini akan disinkronkan. Untuk informasi selengkapnya tentang manajemen multi-akun, lihat Manajemen Keamanan Multi-akun.

Sumber alamat IP produk atau layanan Alibaba Cloud	Metode pembaruan	Mendukung manajemen multi-akun
Alamat IP pemindai web kerentanan Security Center	Dibangun secara statis ke dalam daftar putih alamat IP global	No
Alamat IP back-to-origin Web Application Firewall	Diambil secara dinamis dari produk cloud	No
Alamat IP back-to-origin Anti-DDoS	Diambil secara dinamis dari produk cloud	No
Alamat IP node back-to-origin Edge Security Acceleration (ESA)	Diambil secara dinamis dari produk cloud	No
Alamat IP publik Elastic Computing Service (ECS)	Diambil secara dinamis dari produk cloud	Yes
Alamat IP publik Classic Load Balancer (CLB)	Diambil secara dinamis dari produk cloud	Supported
Elastic IP addresses (EIP)	Diambil secara dinamis dari produk cloud	Yes
Alamat IP back-to-origin Content Delivery Network (CDN)	Diambil secara dinamis dari produk cloud	No
Alamat IP back-to-origin Global Accelerator (GA)	Diambil secara dinamis dari produk cloud	Yes

Konfigurasi pembaruan otomatis

Untuk memastikan data daftar putih selalu mutakhir, Anda dapat mengaktifkan fitur sinkronisasi otomatis.

Masuk ke Konsol Security Center. Di panel navigasi sebelah kiri, pilih Agentic SOC > Integration Center. Di pojok kiri atas konsol, pilih wilayah tempat aset yang ingin Anda lindungi berada: Chinese Mainland atau Outside Chinese Mainland.
Buka tab Observation List, lalu klik Edit di kolom Tindakan untuk global_ip_whitelist.
Di area Scheduled Update List, aktifkan sakelar Automatic Update untuk produk cloud tertentu sesuai kebutuhan.
- Waktu sinkronisasi: Setelah Anda mengaktifkan fitur ini, data langsung disinkronkan. Selanjutnya, sistem secara otomatis menyinkronkan data setiap hari antara pukul 02.00 hingga 06.00 (UTC+8).
- Manajemen multi-akun: Untuk menyinkronkan alamat IP aset dari akun anggota yang dikelola oleh akun saat ini, aktifkan sakelar Manage Multi-account.

Kelola data

Selain pembaruan otomatis, Anda juga dapat mengelola data secara manual.

Kelola satu entri data

Jika Anda tidak perlu menambahkan alamat IP tertentu ke daftar putih, atau jika ada data yang salah, Anda dapat mengubah atau menghapusnya. Anda juga dapat menambahkan satu entri data baru.

Klik Edit di kolom Tindakan untuk global_ip_whitelist untuk membuka halaman detail.

Di area Data List pada halaman detail, klik Edit atau Delete di kolom Tindakan, atau klik tombol Add di pojok kiri atas.

Delete: Setelah Anda menghapus entri data, Anda dapat menambahkannya kembali dengan mengklik Add.

Add atau Edit: Konfigurasi dijelaskan di bawah ini.

Item konfigurasi	Deskripsi	Contoh
ip	Rentang alamat IP.	47.XXX.XXX.32/27 (yaitu 47.XXX.XXX.32 hingga 47.XXX.XXX.63).
type	Jenis alamat IP. Anda dapat menyesuaikannya sendiri.	waf_back_source_ip
description	Deskripsi.	IP back-to-origin WAF milik aliUid: 135******357

Kelola data secara batch
Untuk menambah atau mengubah data dalam global_ip_whitelist, Anda dapat menggunakan fitur Batch Update.
1. Klik Batch Update di kolom Tindakan untuk global_ip_whitelist.
2. Unduh dan modifikasi templat file, lalu siapkan data sesuai spesifikasi.
  - Baris pertama file harus berisi bidang yang sesuai dengan global_ip_whitelist: ip, type, dan description.
  - Kunci primer daftar ini adalah ip secara default dan tidak dapat diubah.
    Penting
    Jika alamat IP sudah ada dalam daftar pengamatan, sistem akan memperbarui nilai bidang type dan description yang sesuai.
  - Ukuran file data yang diunggah tidak boleh melebihi 3 MB atau berisi lebih dari 5.000 catatan. Panjang setiap bidang tunggal tidak boleh melebihi 200 byte.
3. Unggah file tersebut dan klik Next.
4. Setelah memastikan informasi sudah benar, klik OK pada halaman verifikasi dan pembuatan.

Buat dan kelola daftar pengamatan kustom

Agentic SOC memungkinkan Anda mengunggah daftar pengamatan kustom sesuai kebutuhan.

Buat data

Buka tab Observation List dan klik Add.
Pada tab Initialize, masukkan nama dan deskripsi untuk daftar tersebut.
Unduh dan modifikasi templat file, lalu siapkan data sesuai spesifikasi.
- Baris pertama file harus berisi nama bidang, misalnya, userid,department,risk_level.
- Saat mengunggah file, Anda harus menentukan salah satu bidang dari baris pertama sebagai kunci primer daftar. Kunci primer ini merupakan bidang inti yang digunakan untuk pencocokan dalam aturan.
- Nilai dalam kolom kunci primer tidak boleh kosong atau duplikat.
  Penting
  Jika data yang diunggah berisi kunci primer duplikat, sistem secara default menyimpan catatan terakhir dan menimpa catatan sebelumnya. Perilaku ini dapat menyebabkan kehilangan data. Pastikan selalu keunikan data Anda sebelum mengunggah.
- Ukuran file data yang diunggah tidak boleh melebihi 3 MB atau berisi lebih dari 5.000 catatan. Panjang setiap bidang tunggal tidak boleh melebihi 200 byte.
Pilih List Primary Key dan klik Next.
Setelah memastikan informasi sudah benar, klik OK pada halaman verifikasi dan pembuatan.

Kelola data

Hapus daftar pengamatan
Untuk menghapus daftar pengamatan, klik Delete di kolom Tindakan untuk daftar tersebut.
Peringatan
Operasi penghapusan bersifat permanen. Lakukan dengan hati-hati.
Kelola satu entri data
1. Klik Edit di kolom Tindakan daftar pengamatan target untuk membuka halaman detail.
2. Di area Data List pada halaman detail, klik Edit atau Delete di kolom Tindakan, atau klik tombol Add di pojok kiri atas.
  - Delete: Setelah menghapus entri data, Anda dapat menambahkannya kembali dengan mengeklik Add.
  - Add atau Edit: Sistem akan menyinkronkan nama bidang dari daftar pengamatan. Isi bidang-bidang tersebut sesuai kebutuhan.
Kelola data secara batch
Untuk menambah atau mengubah data dalam daftar pengamatan kustom, Anda dapat menggunakan fitur Batch Update.
1. Klik Batch Update di kolom Tindakan untuk daftar pengamatan target.
2. Unduh dan modifikasi templat file, lalu siapkan data sesuai spesifikasi.
  - Baris pertama file harus berisi bidang awal dari daftar pengamatan.
  - Kunci primer daftar tidak dapat diubah.
    Penting
    Jika data yang diunggah berisi kunci primer duplikat, sistem secara default menyimpan catatan terakhir dan menimpa catatan sebelumnya. Perilaku ini dapat menyebabkan kehilangan data. Pastikan selalu keunikan data Anda sebelum mengunggah.
  - Ukuran file data yang diunggah tidak boleh melebihi 3 MB atau berisi lebih dari 5.000 catatan. Panjang setiap bidang tunggal tidak boleh melebihi 200 byte.
3. Unggah file dan klik Next. Pada halaman verifikasi dan pembuatan, klik OK.

Gunakan daftar pengamatan

Gunakan daftar pengamatan dalam Rule Management

Saat membuat atau mengubah aturan deteksi ancaman kustom di modul Rule Management, jika Rule Body menggunakan SQL, Anda dapat menggunakan sintaks berikut di editor SQL untuk mereferensikan data kunci primer dari daftar pengamatan:

SELECT key FROM common_data_set WHERE data_set_name = '<observation_list_name>'

Penting

key adalah kata kunci tetap. Saat SQL dieksekusi, secara otomatis dipetakan ke bidang kunci primer yang ditentukan saat daftar dibuat.
Versi saat ini hanya mendukung pengambilan bidang kunci primer dalam SQL.

Contoh SQL: Penyaringan daftar putih alamat IP. Aturan ini menemukan semua data log yang tidak berasal dari daftar putih alamat IP global.

-- Periksa apakah IP sumber tidak termasuk dalam daftar putih alamat IP jaringan kantor
* |SELECT * FROM log 
WHERE src_ip NOT IN (
    SELECT key FROM common_data_set 
    WHERE data_set_name='global_ip_whitelist'
)

Gunakan daftar pengamatan dalam SOAR

Automatic Response Rule: Saat membuat Automatic Response Rule, Anda dapat menambahkan kondisi filter berdasarkan Observation List di Filter Condition. Untuk informasi selengkapnya, lihat Konfigurasi aturan respons otomatis. Kondisi yang didukung adalah sebagai berikut:

Kondisi	Deskripsi
not in ip Dataset	Tidak termasuk dalam daftar pengamatan IP.
in ip dataset	Termasuk dalam daftar pengamatan IP.
not in dataset	Tidak termasuk dalam daftar pengamatan.
in dataset	Termasuk dalam daftar pengamatan.

Custom Playbook: Di komponen filter editor playbook, Anda dapat menambahkan aturan filter berdasarkan Observation List untuk menyaring dan mengarahkan ulang aliran data. Untuk informasi selengkapnya, lihat Komponen filter. Aturan filternya adalah sebagai berikut:

Nama aturan	Deskripsi aturan
NOT IN IP Dataset	Tidak termasuk dalam daftar pengamatan IP.
IN IP Dataset	Termasuk dalam daftar pengamatan IP.
NOT IN Dataset	Tidak termasuk dalam daftar pengamatan.
IN Dataset	Termasuk dalam daftar pengamatan.