全部產品
Search
文件中心

Security Center:使用自訂SQL檢測規則分析非標準日誌

更新時間:May 08, 2026

Agentic SOC支援通過自訂SQL檢測規則對非標準日誌進行安全分析。本文以阿里雲RDS SQL審計日誌為例,介紹如何通過添加擴充欄位、配置標準化規則和資料接入,將非標準日誌轉換為可識別格式,再基於規則模板建立自訂SQL檢測規則,實現對非標準日誌的安全分析和威脅檢測。

方案概述

Agentic SOC預設支援採集和分析阿里雲標準安全日誌。若需要分析非標準日誌,需要通過添加擴充欄位和資料接入配置後,才能被自訂SQL檢測規則消費。本文以RDS SQL審計日誌為例,整體配置流程如下:

  1. 添加擴充欄位:在標準化欄位中為關係型Database Audit日誌添加擴充欄位,使非標準欄位可被檢測規則引用。

  2. 修改標準化規則:修改已有的關係型Database Audit日誌標準化規則,將擴充欄位的映射方式設定為原樣保留。

  3. 開啟資料來源:開啟RDS SQL審計日誌資料來源。

  4. 開啟產品接入:開啟雲資料庫RDS的接入策略,使日誌能夠被Agentic SOC接收。

  5. 建立自訂SQL檢測規則:基於規則模板建立自訂SQL檢測規則。

  6. 查看和處理警示:查看檢測規則產生的警示或事件,並進行處理。

適用範圍

步驟1:添加擴充欄位

在標準化欄位中為關係型Database Audit日誌添加擴充欄位,使這些非標準欄位可以在自訂SQL檢測規則中被引用和查詢。更多資訊,請參見管理擴充欄位

  1. 訪問Security Center控制台-Agentic SOC-管理-接入設定,在頁面左側頂部,選擇需防護資產所在的地區:中國內地非中國內地

  2. 標準化欄位頁簽,在標准字段列表地區,展開日誌活動分類,選擇審計日誌下的關係型Database Audit日誌

  3. 在右側面板中的擴展欄位頁簽,單擊欄位管理,依次添加以下擴充欄位(僅供參考,請以實際業務為準):

    擴充欄位名

    欄位類型

    說明

    APP_NAME

    text

    應用程式名稱

    application_name

    text

    應用程式名稱

    backend_type

    text

    後端類型

    command_tag

    text

    命令標籤

    connection_from

    text

    串連來源

    context

    text

    上下文資訊

    database_name

    text

    資料庫名稱

    detail

    text

    詳細資料

    env

    text

    環境資訊

    error_severity

    text

    錯誤嚴重層級

步驟2:修改標準化規則

修改已有的關係型Database Audit日誌標準化規則,將步驟1中添加的擴充欄位對應方式設定為原樣保留,使日誌中的擴充欄位資料能被解析接入。

  1. 接入中心頁面,單擊標準化規則頁簽。

  2. 规则名称搜尋方塊中,搜尋關係型Database Audit日誌標準化規則。

  3. 在該規則行的擴展欄位接入列,單擊下拉式功能表,選擇原樣保留

步驟3:開啟資料來源

配置RDS SQL審計日誌資料來源的日誌庫資訊,使Agentic SOC能夠發現並接收日誌資料。

  1. 接入中心頁面,單擊資料來源頁簽。

  2. 資料來源名稱搜尋方塊中,搜尋RDS SQL審計日誌,單擊其操作列的編輯

  3. 在編輯資料來源頁面,單擊新增執行個體,並選擇RDS SQL審計日誌所在地區及日誌庫。

  4. 單擊确定資料來源更新成功後,關閉編輯頁面。重新整理串連狀態,確認狀態為正常。

  5. 開啟自動探索(可選):開啟後,若有新增執行個體,系統將自動同步。

步驟4:開啟產品接入

開啟雲資料庫RDS的接入策略,使RDS SQL審計日誌能夠被Agentic SOC接收和處理。

  1. 接入中心頁面,單擊產品接入頁簽。

  2. 搜尋雲資料庫 RDS,單擊操作列的接入設定

  3. 接入策略頁簽,開啟RDS SQL審計日誌關係型Database Audit日誌標準化規則對應的接入策略。

步驟5:建立自訂SQL檢測規則

基於規則模板建立自訂SQL檢測規則。

  1. 訪問Security Center控制台-Agentic SOC-管理-檢測規則,在頁面左側頂部,選擇需防護資產所在的地區:中國內地非中國內地

  2. 規則模板頁簽,搜尋資料庫執行異常查詢語句模板。單擊其操作列的建立規則

  3. 在規則配置頁面,參考如下說明完成配置:

    說明

    其餘配置保持預設即可,若有需要請參檢測規則進行修改。

    • 規則體:選擇SQL文法

    • 日誌範圍:選擇審計日誌 > 關係型Database Audit日誌

    • SQL查詢語句:根據業務需求修改SQL語句。模板預設的SQL語句如下:

      說明

      其中APP_NAMEdatabase_name為上文配置接入的擴充欄位。

      * |set session mode=scan;select distinct
      user_id,
      start_time,
      src_ip,
      db,
      user,
      table_name,
      sql,
      affect_rows
      from log
      where schema='RDS_DATABASE_AUDIT_ACTIVITY'
      and regexp_like(sql, '''\s*and\s+updatexml\s*\(') and APP_NAME='測試' and database_name='測試資料庫'

步驟6:查看和處理警示

規則配置完成後,系統將根據檢測規則自動產生警示或事件。

  1. 在Agentic SOC頁面,單擊安全事件處置警示

  2. 查看由自訂SQL檢測規則引發的警示或事件,並根據實際情況進行處理。

常見問題

  • 為什麼檢測規則沒有觸發警示?

    請按以下順序排查:

    1. 產品接入:確認步驟4中的接入策略已開啟。

    2. 資料來源狀態:在資料來源頁簽確認RDS SQL審計日誌的串連狀態為正常。

    3. 標準化規則:確認關係型Database Audit日誌標準化規則中擴充欄位的映射方式為原樣保留

    4. 檢測規則:確認檢測規則已開啟,且日誌範圍選取了關係型Database Audit日誌。

  • 擴充欄位和標準欄位有什麼區別?

    標準欄位是Agentic SOC標準化Schema中預定義的通用欄位(如src_ip、user_id等),適用於所有日誌類型。擴充欄位是使用者自訂添加的欄位,用於儲存特定日誌類型的非標準資訊(如database_name、command_tag等)。兩者在檢測規則的SQL查詢中均可直接引用。