Daftar pengamatan (juga disebut set data) memungkinkan Anda menyimpan data referensi—seperti alamat IP, nama domain, dan ID pengguna—di lokasi terpusat serta mereferensikannya berdasarkan nama dalam aturan deteksi keamanan dan playbook SOAR. Alih-alih melakukan hardcoding data langsung ke dalam logika aturan, Anda cukup memperbarui daftar tersebut, dan semua aturan yang mereferensikannya akan segera mencerminkan perubahan tersebut.
Kasus penggunaan
Pengecualian daftar putih: Tambahkan rentang alamat IP tepercaya ke
global_ip_whitelistagar aturan deteksi melewatkan lalu lintas dari sumber yang diketahui aman, sehingga mengurangi false positive.Deteksi daftar blokir: Pertahankan daftar alamat IP atau domain berbahaya dan referensikan dalam aturan untuk menandai atau memblokir lalu lintas yang sesuai secara otomatis.
Penandaan entitas bisnis: Unggah daftar ID pengguna—seperti akun istimewa atau karyawan yang telah diberhentikan—dan referensikan dalam playbook SOAR untuk menerapkan aksi respons berbeda berdasarkan konteks bisnis.
Pengurangan kebisingan alert: Tekan alert dari rentang IP resmi yang melakukan tindakan yang biasanya akan memicu aturan.
Batasan
Tinjau batasan berikut sebelum membuat daftar pengamatan:
| Batasan | Detail |
|---|---|
| Ukuran file maksimum | 3 MB per unggahan |
| Jumlah catatan maksimum per file | 5.000 |
| Panjang bidang maksimum | 200 byte per bidang |
| Bidang kunci utama | Ditetapkan saat pembuatan; tidak dapat diubah setelahnya |
| Kunci utama duplikat | Sistem menyimpan catatan terakhir dan membuang catatan sebelumnya — verifikasi keunikan data sebelum mengunggah |
| Pengambilan SQL | Hanya bidang kunci utama yang dapat diambil dalam SQL; bidang lain tidak dapat diakses |
Cara kerja daftar pengamatan
Daftar pengamatan menyimpan data terstruktur sebagai baris, dengan satu bidang ditetapkan sebagai kunci utama. Kunci utama adalah bidang yang digunakan aturan untuk mencari data pada waktu proses—misalnya, alamat IP dalam daftar putih IP atau ID pengguna dalam daftar pengguna. Pilih kunci utama dengan cermat karena tidak dapat diubah setelah daftar dibuat.
Saat aturan dieksekusi, aturan tersebut menginterogasi daftar pengamatan berdasarkan nama dan mencocokkannya dengan nilai kunci utama. Sintaksis SQL untuk mereferensikan daftar dalam aturan deteksi kustom adalah:
SELECT key FROM common_data_set WHERE data_set_name = '<observation_list_name>'key adalah kata kunci tetap yang secara otomatis dipetakan ke bidang kunci utama yang Anda tentukan saat membuat daftar.
Contoh — penyaringan daftar putih IP. Aturan ini mengembalikan semua entri log yang IP sumbernya tidak ada di global_ip_whitelist:
-- Periksa apakah IP sumber tidak ada dalam daftar putih alamat IP jaringan kantor
* | SELECT * FROM log
WHERE src_ip NOT IN (
SELECT key FROM common_data_set
WHERE data_set_name = 'global_ip_whitelist'
)Mengelola daftar pengamatan bawaan
Security Center menyertakan daftar pengamatan bawaan bernama global_ip_whitelist. Daftar ini mengelola secara terpusat alamat IP tepercaya dari Layanan Alibaba Cloud dan berfungsi sebagai daftar putih bersama di seluruh aturan deteksi.
Layanan Alibaba Cloud berikut dapat memberikan kontribusi alamat IP ke daftar ini:
| Sumber alamat IP | Metode pembaruan | Mendukung manajemen multi-akun |
|---|---|---|
| Alamat IP pemindai web kerentanan Security Center | Dibangun secara statis ke dalam daftar | Tidak |
| Alamat IP back-to-origin Web Application Firewall (WAF) | Diambil secara dinamis dari produk cloud | Tidak |
| Alamat IP back-to-origin Anti-DDoS | Diambil secara dinamis dari produk cloud | Tidak |
| Alamat IP node back-to-origin Edge Security Acceleration (ESA) | Diambil secara dinamis dari produk cloud | Tidak |
| Alamat IP publik Elastic Computing Service (ECS) | Diambil secara dinamis dari produk cloud | Ya |
| Alamat IP publik Classic Load Balancer (CLB) | Diambil secara dinamis dari produk cloud | Didukung |
| Alamat IP Elastis (EIP) | Diambil secara dinamis dari produk cloud | Ya |
| Alamat IP back-to-origin Content Delivery Network (CDN) | Diambil secara dinamis dari produk cloud | Tidak |
| Alamat IP back-to-origin Global Accelerator (GA) | Diambil secara dinamis dari produk cloud | Ya |
Mendukung manajemen multi-akun menunjukkan apakah sumber tersebut dapat menyinkronkan alamat IP dari akun anggota yang dikelola oleh akun saat ini. Untuk detailnya, lihat Manajemen keamanan multi-akun.
Aktifkan pembaruan otomatis
Masuk ke Konsol Security Center. Di panel navigasi kiri, pilih Agentic SOC > Integration Center. Di pojok kiri atas, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Di tab Observation List, klik Edit di kolom Actions untuk
global_ip_whitelist.Di area Scheduled Update List, aktifkan Automatic Update untuk setiap produk cloud yang ingin Anda sinkronkan. Setelah Anda mengaktifkan pembaruan otomatis, data akan langsung disinkronkan. Sinkronisasi berikutnya berjalan setiap hari antara pukul 02.00 hingga 06.00 (UTC+8).
Untuk menyertakan alamat IP dari akun anggota, aktifkan Manage Multi-account.
Tambah atau edit entri individual
Di tab Observation List, klik Edit untuk
global_ip_whitelist.Di area Data List, klik Add untuk membuat entri baru, atau klik Edit di kolom Actions untuk mengubah entri yang sudah ada. Isi bidang-bidang berikut:
Bidang Deskripsi Contoh ipRentang alamat IP dalam Notasi CIDR 47.XXX.XXX.32/27(rentang:47.XXX.XXX.32hingga47.XXX.XXX.63)typeJenis alamat IP — dapat dikustomisasi waf_back_source_ipdescriptionDeskripsi alamat IP WAF back-to-origin IP of aliUid: 135******357Untuk menghapus entri, klik Delete di kolom Actions. Anda dapat menambahkan kembali entri yang dihapus dengan mengklik Add.
Perbarui entri secara massal
Di tab Observation List, klik Batch Update di kolom Actions untuk
global_ip_whitelist.Unduh templat file dan siapkan file data Anda:
Baris pertama harus berisi nama bidang:
ip,type, dandescription.Kunci utama adalah
ipdan tidak dapat diubah.Jika alamat IP sudah ada dalam daftar, sistem akan memperbarui nilai
typedandescription-nya.File tidak boleh melebihi 3 MB atau 5.000 catatan. Setiap bidang tidak boleh melebihi 200 byte.
Unggah file dan klik Next.
Di halaman verifikasi, klik OK.
Buat dan kelola daftar pengamatan kustom
Daftar pengamatan kustom memungkinkan Anda menentukan struktur data apa pun dan mereferensikannya dalam aturan atau playbook SOAR.
Buat daftar pengamatan
Di tab Observation List, klik Add.
Di tab Initialize, masukkan nama dan deskripsi untuk daftar tersebut.
Unduh templat file dan siapkan file data Anda:
Baris pertama harus berisi nama bidang, contohnya:
userid,department,risk_level.Nilai kunci utama tidak boleh kosong atau duplikat.
File tidak boleh melebihi 3 MB atau 5.000 catatan. Setiap bidang tidak boleh melebihi 200 byte.
PentingJika data yang diunggah berisi nilai kunci utama duplikat, sistem akan menyimpan catatan terakhir dan membuang catatan sebelumnya. Verifikasi keunikan data sebelum mengunggah untuk menghindari kehilangan data.
Pilih List Primary Key—bidang yang digunakan aturan untuk mencocokkan data—lalu klik Next.
Di halaman verifikasi, klik OK.
Tambah atau edit entri individual
Di tab Observation List, klik Edit untuk daftar target.
Di area Data List, klik Add untuk membuat entri baru, atau klik Edit di kolom Actions untuk mengubah entri yang sudah ada. Bidang formulir diisi berdasarkan skema yang telah ditentukan untuk daftar tersebut.
Untuk menghapus entri, klik Delete di kolom Actions.
Perbarui entri secara massal
Di tab Observation List, klik Batch Update untuk daftar target.
Unduh templat file dan siapkan file data Anda:
Baris pertama harus berisi nama bidang dari daftar pengamatan.
Bidang kunci utama tidak dapat diubah.
File tidak boleh melebihi 3 MB atau 5.000 catatan. Setiap bidang tidak boleh melebihi 200 byte.
PentingJika data yang diunggah berisi nilai kunci utama duplikat, sistem akan menyimpan catatan terakhir dan membuang catatan sebelumnya. Verifikasi keunikan data sebelum mengunggah untuk menghindari kehilangan data.
Unggah file, klik Next, lalu klik OK di halaman verifikasi.
Hapus daftar pengamatan
Di tab Observation List, klik Delete di kolom Actions untuk daftar target.
Penghapusan bersifat permanen dan tidak dapat dikembalikan.
Gunakan daftar pengamatan dalam aturan dan playbook
Manajemen Aturan
Saat menulis aturan deteksi ancaman kustom dengan Rule Body berbasis SQL, referensikan data kunci utama daftar pengamatan dengan:
SELECT key FROM common_data_set WHERE data_set_name = '<observation_list_name>'Ganti <observation_list_name> dengan nama persis dari daftar pengamatan Anda.
SOAR
Aturan Respons Otomatis: Saat membuat Aturan Respons Otomatis, tambahkan kondisi filter berdasarkan daftar pengamatan di bagian Filter Condition. Untuk detailnya, lihat Tambahkan aturan respons otomatis kustom.
| Kondisi | Deskripsi |
|---|---|
not in ip Dataset | Sumber tidak ada dalam daftar pengamatan IP |
in ip dataset | Sumber ada dalam daftar pengamatan IP |
not in dataset | Sumber tidak ada dalam daftar pengamatan |
in dataset | Sumber ada dalam daftar pengamatan |
Playbook Kustom: Di komponen filter editor playbook, tambahkan aturan filter berdasarkan daftar pengamatan untuk mengarahkan aliran data. Untuk detailnya, lihat Komponen filter.
| Nama aturan | Deskripsi |
|---|---|
NOT IN IP Dataset | Sumber tidak ada dalam daftar pengamatan IP |
IN IP Dataset | Sumber ada dalam daftar pengamatan IP |
NOT IN Dataset | Sumber tidak ada dalam daftar pengamatan |
IN Dataset | Sumber ada dalam daftar pengamatan |