Analisis keamanan log dengan fungsi pemeriksaan keamanan-Simple Log Service-Alibaba Cloud -

Log Service menyediakan fungsi pemeriksaan keamanan yang memanfaatkan pustaka aset bersama global dari WhiteHat Security untuk memeriksa apakah alamat IP, nama domain, atau URL dalam log Anda mencurigakan. Topik ini menjelaskan sintaks dan memberikan contoh penggunaannya.

Kasus penggunaan

Fungsi pemeriksaan keamanan dapat digunakan dalam skenario berikut:

Di industri dengan operasi layanan intensif seperti internet, gaming, dan konsultasi, personel IT dan keamanan dapat segera mendeteksi serta merespons akses mencurigakan, serangan, dan intrusi.
Di industri yang wajib melindungi aset internal seperti perbankan, sekuritas, dan e-commerce, personel IT dan keamanan dapat mengidentifikasi akses internal ke website mencurigakan atau pengunduhan trojan, lalu segera merespons.

Fitur

Fungsi pemeriksaan keamanan menyediakan fitur-fitur berikut:

Andal: Didukung oleh pustaka aset bersama global dari WhiteHat Security yang terus diperbarui.
Cepat: Mampu memeriksa jutaan alamat IP, nama domain, atau URL dalam hitungan detik.
Sederhana: Hasil dapat diperoleh dari log jaringan apa pun dengan memanggil tiga fungsi SQL: security_check_ip, security_check_domain, dan security_check_url.
Fleksibel: Mendukung kueri interaktif, visualisasi data, dan pembuatan alert.

Fungsi

Log Service mendukung fungsi pemeriksaan keamanan berikut.

Penting Jika Anda ingin menggunakan string dalam pernyataan analitik, bungkus string tersebut dengan tanda kutip tunggal (''). String yang tidak dibungkus atau dibungkus dengan tanda kutip ganda ("") dianggap sebagai nama field atau nama kolom. Misalnya, 'status' merepresentasikan string status, sedangkan status atau "status" merepresentasikan field log status.

Function	Syntax	Description
security_check_ip function	security_check_ip(x)	Checks whether an IP address is suspicious.
security_check_domain function	security_check_domain(x)	Checks whether a domain name is suspicious.
security_check_url function	security_check_url(x)	Checks whether a URL is suspicious.

security_check_ip

Sintaks

security_check_ip(x)

Parameter

Parameter	Description
x	The IP address to check.

Tipe nilai kembalian

Mengembalikan nilai bigint. Nilai yang mungkin adalah:

1: Alamat IP mencurigakan.
0: Alamat IP aman.

Contoh

Gunakan field client_ip untuk mengidentifikasi client mencurigakan yang mengakses website Anda.

Pernyataan kueri

* |
SELECT
  client_ip,
  ip_to_country(client_ip,'en') AS country,
  ip_to_provider(client_ip) AS provider,
  count(1) AS PV
WHERE
  security_check_ip(client_ip) = 1
GROUP BY
  client_ip
ORDER BY
  PV DESC

Kueri mengembalikan tabel dengan empat kolom: client_ip, country, provider, dan PV, yang menampilkan negara asal, penyedia, serta jumlah tampilan halaman untuk setiap alamat IP client yang mencurigakan.

security_check_domain

Sintaks

security_check_domain(x)

Parameter

Parameter	Description
x	The domain name to check.

Tipe nilai kembalian

Mengembalikan nilai bigint. Nilai yang mungkin adalah:

1: Nama domain mencurigakan.
0: Nama domain aman.

Contoh

Contoh ini menghitung jumlah upaya akses mencurigakan per menit dan menampilkannya dalam bentuk grafik garis.

Pernyataan kueri

status : * |
SELECT
  count_if(
    security_check_domain (http_referer) != 0
  ) AS "Total Issues",
  time_series(__time__, '1m', '%H:%i:%s', '0') AS time
GROUP BY
  time

Hasil kueri

security_check_url

Sintaks

security_check_url(x)

Parameter

Parameter	Description
x	The URL to check.

Tipe nilai kembalian

Mengembalikan nilai bigint. Nilai yang mungkin adalah:

1: URL mencurigakan.
0: URL aman.

Contoh

Contoh ini menghitung jumlah upaya akses aman per menit dan menampilkannya dalam bentuk grafik garis.

Pernyataan kueri

status : * |
SELECT
  count_if(
    security_check_url (request_uri) = 0
  ) AS "Total Secure Count",
  time_series(__time__, '1m', '%H:%i', '0') as time
GROUP BY
  time
LIMIT
  20

Hasil kueri