Agentic SOC支援通過自訂SQL檢測規則對非標準日誌進行安全分析。本文以阿里雲RDS SQL審計日誌為例,介紹如何通過添加擴充欄位、配置標準化規則和資料接入,將非標準日誌轉換為可識別格式,再基於規則模板建立自訂SQL檢測規則,實現對非標準日誌的安全分析和威脅檢測。
方案概述
Agentic SOC預設支援採集和分析阿里雲標準安全日誌。若需要分析非標準日誌,需要通過添加擴充欄位和資料接入配置後,才能被自訂SQL檢測規則消費。本文以RDS SQL審計日誌為例,整體配置流程如下:
添加擴充欄位:在標準化欄位中為關係型Database Audit日誌添加擴充欄位,使非標準欄位可被檢測規則引用。
修改標準化規則:修改已有的關係型Database Audit日誌標準化規則,將擴充欄位的映射方式設定為原樣保留。
開啟資料來源:開啟RDS SQL審計日誌資料來源。
開啟產品接入:開啟雲資料庫RDS的接入策略,使日誌能夠被Agentic SOC接收。
建立自訂SQL檢測規則:基於規則模板建立自訂SQL檢測規則。
查看和處理警示:查看檢測規則產生的警示或事件,並進行處理。
適用範圍
已開通Agentic SOC功能。開通步驟,請參考購買並開通Agentic SOC。
已有RDS MySQL執行個體,並已開通SQL審計功能。開通步驟,請參見採集RDS SQL審計日誌。
步驟1:添加擴充欄位
在標準化欄位中為關係型Database Audit日誌添加擴充欄位,使這些非標準欄位可以在自訂SQL檢測規則中被引用和查詢。更多資訊,請參見管理擴充欄位。
訪問Security Center控制台-Agentic SOC-管理-接入設定,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在標準化欄位頁簽,在標准字段列表地區,展開日誌活動分類,選擇審計日誌下的關係型Database Audit日誌。
在右側面板中的擴展欄位頁簽,單擊欄位管理,依次添加以下擴充欄位(僅供參考,請以實際業務為準):
擴充欄位名
欄位類型
說明
APP_NAME
text
應用程式名稱
application_name
text
應用程式名稱
backend_type
text
後端類型
command_tag
text
命令標籤
connection_from
text
串連來源
context
text
上下文資訊
database_name
text
資料庫名稱
detail
text
詳細資料
env
text
環境資訊
error_severity
text
錯誤嚴重層級
步驟2:修改標準化規則
修改已有的關係型Database Audit日誌標準化規則,將步驟1中添加的擴充欄位對應方式設定為原樣保留,使日誌中的擴充欄位資料能被解析接入。
在接入中心頁面,單擊標準化規則頁簽。
在规则名称搜尋方塊中,搜尋關係型Database Audit日誌標準化規則。
在該規則行的擴展欄位接入列,單擊下拉式功能表,選擇原樣保留。
步驟3:開啟資料來源
配置RDS SQL審計日誌資料來源的日誌庫資訊,使Agentic SOC能夠發現並接收日誌資料。
在接入中心頁面,單擊資料來源頁簽。
在資料來源名稱搜尋方塊中,搜尋RDS SQL審計日誌,單擊其操作列的編輯。
在編輯資料來源頁面,單擊新增執行個體,並選擇RDS SQL審計日誌所在地區及日誌庫。
單擊确定,資料來源更新成功後,關閉編輯頁面。重新整理串連狀態,確認狀態為正常。
開啟自動探索(可選):開啟後,若有新增執行個體,系統將自動同步。
步驟4:開啟產品接入
開啟雲資料庫RDS的接入策略,使RDS SQL審計日誌能夠被Agentic SOC接收和處理。
在接入中心頁面,單擊產品接入頁簽。
搜尋雲資料庫 RDS,單擊操作列的接入設定。
在接入策略頁簽,開啟RDS SQL審計日誌和關係型Database Audit日誌標準化規則對應的接入策略。
步驟5:建立自訂SQL檢測規則
基於規則模板建立自訂SQL檢測規則。
訪問Security Center控制台-Agentic SOC-管理-檢測規則,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在規則模板頁簽,搜尋資料庫執行異常查詢語句模板。單擊其操作列的建立規則。
在規則配置頁面,參考如下說明完成配置:
說明其餘配置保持預設即可,若有需要請參檢測規則進行修改。
規則體:選擇SQL文法。
日誌範圍:選擇審計日誌 > 關係型Database Audit日誌。
SQL查詢語句:根據業務需求修改SQL語句。模板預設的SQL語句如下:
說明其中
APP_NAME、database_name為上文配置接入的擴充欄位。* |set session mode=scan;select distinct user_id, start_time, src_ip, db, user, table_name, sql, affect_rows from log where schema='RDS_DATABASE_AUDIT_ACTIVITY' and regexp_like(sql, '''\s*and\s+updatexml\s*\(') and APP_NAME='測試' and database_name='測試資料庫'
步驟6:查看和處理警示
規則配置完成後,系統將根據檢測規則自動產生警示或事件。
在Agentic SOC頁面,單擊安全事件處置或警示。
查看由自訂SQL檢測規則引發的警示或事件,並根據實際情況進行處理。
常見問題
為什麼檢測規則沒有觸發警示?
請按以下順序排查:
產品接入:確認步驟4中的接入策略已開啟。
資料來源狀態:在資料來源頁簽確認RDS SQL審計日誌的串連狀態為正常。
標準化規則:確認關係型Database Audit日誌標準化規則中擴充欄位的映射方式為原樣保留。
檢測規則:確認檢測規則已開啟,且日誌範圍選取了關係型Database Audit日誌。
擴充欄位和標準欄位有什麼區別?
標準欄位是Agentic SOC標準化Schema中預定義的通用欄位(如src_ip、user_id等),適用於所有日誌類型。擴充欄位是使用者自訂添加的欄位,用於儲存特定日誌類型的非標準資訊(如database_name、command_tag等)。兩者在檢測規則的SQL查詢中均可直接引用。