威脅分析與響應CTDR(Cloud Threat Detection and Response)內建了預定義檢測規則,可以深入檢測分析已接入的警示和日誌,還原威脅攻擊鏈路和時間軸,並產生融合警示及詳細的安全事件。除此之外還支援自訂檢測規則,構建貼合自身業務的威脅檢測體系。
功能概述
CTDR的規則管理功能通過對標準化日誌進行分析,或調用內建劇本產生彙總分析警示和自訂分析警示,基於圖計算、警示透傳、同類彙總等方式產生安全事件,以便您對威脅事件進行處置。規則管理支援調用以下規則體產生警示和事件:
SQL文法:基於SQL文法對生效範圍內的日誌進行過濾、特徵匹配、視窗統計等關聯分析,進行警示檢測和事件產生。
劇本:基於劇本調用雲產品API,通過劇本流程判斷,進行警示檢測和事件產生。一般用於業務狀態預警。
規則類型
規則類型 | 說明 |
預定義 | 預定義規則提供開箱即用的威脅檢測規則,通過分析其生效日誌範圍已接入CTDR的日誌,命中規則後會產生的安全警示在頁面彙總分析警示頁簽展示;預定義規則使用圖關聯技術,將存在相同資產、IOC的警示彙總建置事件,會對除自訂分析警示外其他全部警示進行關聯彙總。 |
自訂 | 自訂規則支援靈活的擴充規則,並基於複雜的威脅檢測情境提供了規則模板,便於您快速在規則模板的基礎上自訂威脅檢測規則。自訂規則可以基於SQL文法、劇本實現威脅檢測。 命中自訂規則後生產的安全警示在頁面自訂分析警示頁簽展示。自訂規則通過警示透傳或同類彙總產生安全事件。 |
事件產生方式說明
圖計算:利用圖關聯技術,對擁有相同的資產、IOC的警示關聯彙總建置事件。除自訂分析警示外,對全部警示進行關聯彙總。
警示透傳:基於分析規則產生的警示,每個警示產生一個安全事件。
同類彙總:所有基於同一分析規則產生的警示彙總為一個安全事件。
適用範圍
在開通CTDR(威脅分析與響應)服務時,選擇的付費模式和計費項目將共同決定可使用的規則管理功能範圍。更多資訊,請參見購買並開通威脅分析與響應。
訂用帳戶:
僅購買日志接入流量:預定義規則、自訂規則(僅支援標準化方式為“掃描查詢”的日誌)。
說明若同時購買了日誌管理後付費功能,則支援全部的自訂規則。
購買日志接入流量和日誌儲存容量:預定義規則和自訂規則。
僅購買日誌儲存容量:不支援。
隨用隨付:預定義規則、自訂規則(僅支援標準化方式為“掃描查詢”的日誌)。
說明若同時購買了日誌管理後付費功能,則支援全部的自訂規則。
使用流程
開啟或關閉預定義規則
預定義分析規則預設啟用。支援查看預定義規則的詳情、開啟或關閉預定義規則,不允許編輯和刪除預定義規則。
訪問Security Center控制台-威脅分析與響應-規則管理,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在預定義頁簽,查看預定義規則列表。在目標預定義規則操作列單擊詳情,查看規則的基本資料、警示產生設定和事件產生設定。
單擊目標預定義規則的規則啟用狀態:開關,開啟或關閉規則。
說明也可以在預定義規則列表中,選擇目標規則啟用狀態列下的啟用或未啟用,開啟或關閉規則。
命中預定義規則產生的警示,可在頁面彙總分析警示,
建立並啟用自訂規則
訪問Security Center控制台-威脅分析與響應-規則管理,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在規則模板頁簽,單擊目標模板規則操作列的建立規則。也可以在自訂頁簽,單擊新增自訂規則。
重要推薦您通過規則模板建立規則,配置更簡單高效。
在建立自訂規則面板,基礎資訊頁簽輸入規則名稱和描述後單擊下一步。
在警示產生設定頁簽完成警示建置規則相關配置。
可在頁面自訂分析警示,查看產生的警示資訊。根據配置的規則體不同,支援的配置項有所不同,配置項的值也略有不同,說明如下:
SQL文法
基於SQL文法對生效範圍內的日誌進行過濾、特徵匹配、視窗統計等關聯分析,進行警示檢測和事件產生。
規則體
配置項
說明
規則體
預設為SQL。
日誌範圍
選擇該規則檢測的日誌範圍,您需要選擇日誌的標準化分類和標準化結構。支援選擇多個日誌標準化結構。
單擊標准字段列表連結,可查看當前日誌標準化結構對應的日誌欄位的說明。
SQL查詢語句
SQL語句用於查詢指定的事件發生的記錄,旨在識別潛在的惡意行為。配置SQL查詢語句的更多參考如下:
關於SQL文法的更多資訊,請參見SQL分析文法與功能。
調度設定
規則體是“SQL”的自訂規則,在啟用後CTDR會根據調度設定,在Log ServiceSLS建立的對應的定時SQL任務,SLS會根據調度間隔產生多個執行執行個體。更多資訊請參見管理定時SQL任務、查詢定時SQL結果資料。
調度參數說明
配置項
說明
調度間隔
設定執行SQL查詢的頻率,支援以下方式:
固定間隔:允許設定的範圍5分鐘到24小時。
Cron:最小精度為分鐘,格式為24小時制。配置樣本如下:
0/5 * * * *:從0分鐘開始,每隔5分鐘執行一次。0 0/1 * * *:從0點0分開始,每隔1小時執行一次。0 18 * * *:每天18點0分執行一次。0 0 1 * *:每月1日0點0分執行一次。
SQL時間視窗
指定定時SQL執行個體查詢的日誌時間範圍。允許設定的範圍:5分鐘~24小時。
重要視窗期要大於或等於“調度間隔”。
起始時間
規則啟用後,定時SQL執行個體開始執行的時間。支援以下方式:
規則啟用時:即規則啟用的時刻。
指定時間:即設定的具體時刻,精確到分鐘。
定時SQL任務執行參數說明
任務調度時間:由調度設定的起始時間和調度間隔決定,不受到上一個執行個體執行逾時、延遲、補運行等情況的影響。
例如:規則的起始時間為2025年05月16日10:58:45,調度間隔為5分鐘。調度時間依次2025年05月16日10:58:45、2025-05-16 11:03:45、2025-05-16 11:08:45依次類推。
任務執行時間:定時SQL實際開始執行的時間。如果重試任務,則表示最後一次開始執行的時間。
說明定時SQL任務實際執行可能會出現逾時、延遲、補運行等情況,導致任務執行時間與任務調度時間不一致。
SQL查詢區範圍:SQL分析的時間範圍,由任務調度時間和SQL時間視窗決定,與實際的任務執行時間無關。計算規則:[調度時間按分鐘取整-SQL時間視窗,調度時間按分鐘取整)。
例如:規則的起始時間為2025年05月16日10:58:45,調度間隔為5分鐘,SQL時間視窗為5分鐘。
第一次定時任務的SQL查詢區間如下:
調度時間:2025-05-16 10:58:45
查詢的資料時間:[2025-05-16 10:53:00,2025-05-16 10:58:00)
第二次定時任務的SQL查詢區間如下:
調度時間:2025-05-16 11:03:45
查詢的資料時間:[2025-05-16 10:58:00,2025-05-16 11:03:00)
警示日誌產生
CTDR會根據警示日誌產生配置項,產生不同的警示日誌,可在查看產生的警示日誌。
警示屬性定義
產生結構:選擇警示歸屬的日誌大類,如:端點檢測與響應、防火牆等。
說明可單擊下拉框查看標准欄位瞭解該日誌類型的欄位詳情。
警示類型:設定當前規則具體檢測出的警示類型。
警示等級:
作用:定義警示的危險等級。
可選值:資訊、低危、中危、高危、嚴重。
ATT&CK階段
作用:關聯此規則檢測到的攻擊行為所對應的攻擊階段與技術。
配置:
支援點擊
+ 新增攻擊階段以映射多個攻擊階段。每個攻擊階段內,支援選擇多項攻擊技術。
限制:所有階段選擇的攻擊技術總數不得超過5個。
實體映射
將查詢結果中的非結構化欄位(如IP、檔案名稱)轉換為系統可識別的結構化“實體對象。這使得系統能彙總該實體的所有相關活動,構建威脅畫像,提升分析效率。
配置步驟
選擇實體類型
從下拉式清單中選擇要映射的實體類型(如:主機、檔案、IP地址、進程等)。
支援點擊 + 新增實體映射以配置多種不同類型的實體。
映射實體屬性
為每個實體配置其具體屬性。屬性分為兩類:
必選屬性:識別該實體的唯一標識。例如,“IP地址”實體的必選屬性就是其地址本身。
可選屬性:為實體提供補充資訊。例如,為“IP地址”實體關聯一個“主機名稱”作為可選屬性。
支援點擊+ 新增實體屬性對應為一個實體設定多個屬性。
設定屬性值
為每個選定的屬性賦值。
格式:支援兩種格式:
變數引用:
$field_name$(引用查詢結果中的欄位)。常量:直接輸入固定的字串值。
配置樣本:
警示富化
可以通過引用查詢欄位作為變數,動態產生警示的名稱和描述。
警示名稱:
長度和格式:長度最大為 50 字元。
引用格式:
$SQL查詢返回欄位$。預設 (留空):自動採用规则名称。
樣本:檢測到來自$src_ip$的高頻多類型網路攻擊。
警示描述:
長度:長度最大為 1000 字元。
變數引用格式:
$SQL查詢返回欄位$。預設 (留空):自動採用規則描述。
樣本:警示來自:$product_code$,檢測到來自$src_ips$的網路攻擊,受影響資產包括:$dst_ips$。
重要若引用變數後產生的最終內容超出長度限制,超出部分將被自動截斷。
警示抑制
系統可根據警示抑制配置的規則,控制產生安全警示的數量,但警示日誌的產生與投遞不受其影響。
CTDR 按抑制條件各欄位值的笛卡爾積進行分組,每個分組在抑制視窗期內產生的安全警示上限為 100 條。當警示記錄超過上限時,後續命中相同條件的記錄將不再產生安全警示。
配置項
說明
抑制視窗
抑制視窗決定警示記錄數量的統計周期。
抑制視窗起始時間為規則產生第一條警示日誌資料的時間。
允許設定的範圍5分鐘到24小時。
說明假設規則產生的第一條警示日誌資料時間為2025年05月16日10:58:45,抑制視窗設定為10分鐘。則第一個抑制視窗的時間區間為10:58:45~11:08:45,第二個抑制視窗的時間區間為11:08:45~11:18:45,依次類推。
抑制條件
請輸入SQL語句中select關鍵字後定義的列名、欄位名或別名。不配置時,系統預設將自訂分析規則的“rule_id”欄位作為抑制條件。
CTDR 按抑制條件各欄位值的笛卡爾積進行分組。
例如:有a和b兩個欄位抑制條件,其中a的取值集合是{1,2},b的取值集合是{3,4},那麼一共會出現 {1,3}、{1,4}、 {2,3}、{2,4} 共4個組合,每一個組合就是一個分組。
每個分組在視窗期產生的安全警示上限為100條。
重要抑制條件為非必填項。若不配置抑制條件,則表示在整個視窗期間根據規則產生的安全警示總上限為100條。
劇本
調用雲產品API,通過劇本流程判斷,進行警示檢測和事件產生。一般用於業務狀態預警。
說明若規則通過規則模板(劇本類)建立的,在規則建立完成後會自動建立一個對應的自訂劇本,你可在的自訂劇本頁簽查看。
規則體
配置項
說明
規則體
選擇劇本。
劇本名稱
若是通過規則模板(劇本類)建立規則,可修改劇本名稱但需要保證劇本名稱唯一。
若是通過自訂頁簽單擊新增自訂規則建立規則,可在下拉式清單中選擇合適使用的劇本。
重要僅同時滿足下麵條件的劇本會展示在此處的下拉式清單:
劇本類型為自訂。
劇本狀態為發行。
劇本開始節點輸入參數類型必須自訂。
劇本未關聯過其他分析檢測規則。
劇本描述
若是通過規則模板(劇本類)建立規則,可修改。
若是通過自訂頁簽單擊新增自訂規則建立規則,會自動拉取響應編排中目標劇本的描述資訊,不可修改。
參數設定
只有通過規則模板(劇本類)建立規則時,需要進行參數設定。不同的劇本需要配置不同的參數,可以單擊參數右側的
表徵圖,查看參數的含義和配置說明。授權配置
只有通過規則模板(劇本類)建立規則時,需要進行授權配置。
執行角色:若您還未建立角色,單擊去往RAM控制台建立角色,存取控制快速授權頁單擊確認授權。授權完畢後自動建立一個AliyunSiemSoarExecutionDefaultRole的角色。
說明若您無建立角色操作許可權,可聯絡Resource Access Management員(有資源系統管理權限的RAM使用者或者主帳號),在RAM控制台完成角色建立和信任策略綁定,具體操作請參考建立可信實體為阿里雲服務的RAM角色。配置說明如下:
信任主體:雲端服務。
信任主體名稱:cloudsiem.sas.aliyuncs.com。
角色名稱:AliyunSiemSoarExecutionDefaultRole
權限原則:系統將根據選擇的模板劇本,列出執行劇本所需的權限原則。若您還未綁定權限原則,單擊調整權限原則,勾選未授權的策略後,點擊前往RAM授權。在存取控制快速授權頁完成授權。
重要如果您無授權操作許可權,可聯絡Resource Access Management員(有資源系統管理權限的RAM使用者或者主帳號)為角色AliyunSiemSoarExecutionDefaultRole綁定執行劇本所需要的權限原則,操作步驟請參見管理RAM角色的許可權。
調度設定
規則體是“劇本”的自訂規則,在啟用後CTDR會根據調度設定,在CTDR側建立一個劇本調用定時任務。
說明當定時任務在單個周期內執行劇本失敗時,系統將在 30 秒後自動觸發一次重試機制。若重試後仍未成功執行,則本次任務流程終止,進入等待狀態,直至下一個預設執行循環到來時重新啟動任務。
可在響應編排模組,自訂劇本的詳情頁查看劇本執行記錄。
配置項
說明
調度間隔
設定執行劇本的時間間隔,支援以下方式:
固定間隔:允許設定的範圍5分鐘到24小時。
Cron:最小精度為分鐘,格式為24小時制。配置樣本如下:
0/5 * * * *:從0分鐘開始,每隔5分鐘執行一次。0 0/1 * * *:從0點0分開始,每隔1小時執行一次。0 18 * * *:每天18點0分執行一次。0 0 1 * *:每月1日0點0分執行一次。
起始時間
規則啟用後,開始執行劇本的時間。支援以下方式:
規則啟用時:即規則啟用的時刻。
指定時間:即設定的具體時刻,精確到分鐘。
警示日誌產生
CTDR會根據警示日誌產生配置項,產生不同的警示日誌,可在查看產生的警示日誌。
產生結構:僅支援選擇其他警示日誌。
說明可單擊下拉框查看標准欄位瞭解該日誌類型的欄位詳情。
警示類型:設定當前規則具體檢測出的警示類型。
警示等級:
作用:定義警示的危險等級。
可選值:資訊、低危、中危、高危、嚴重。
ATT&CK階段
作用:關聯此規則檢測到的攻擊行為所對應的攻擊階段與技術。
配置:
支援點擊
+ 新增攻擊階段以映射多個攻擊階段。每個攻擊階段內,支援選擇多項攻擊技術。
限制:所有階段選擇的攻擊技術總數不得超過5個。
警示抑制
系統可根據警示抑制配置的規則,控制產生安全警示的數量,但警示日誌的產生與投遞不受其影響。
CTDR 按抑制條件各欄位值的笛卡爾積進行分組,每個分組在抑制視窗期內產生的安全警示上限為 100 條。當警示記錄超過上限時,後續命中相同條件的記錄將不再產生安全警示。
配置項
說明
抑制視窗
抑制視窗決定警示記錄數量的統計周期。
抑制視窗起始時間為規則產生第一條警示日誌資料的時間。
允許設定的範圍5分鐘到24小時。
說明假設規則產生的第一條警示日誌資料時間為2025年05月16日10:58:45,抑制視窗設定為10分鐘。則第一個抑制視窗的時間區間為10:58:45~11:08:45,第二個抑制視窗的時間區間為11:08:45~11:18:45,依次類推。
抑制條件
下拉框資料來源於警示日誌產生設定產生結構中選擇的警示日誌對應的標準化日誌欄位。
說明可以在頁面標準化規則頁簽,單擊查看標准欄位,查看目標日誌的基礎資訊和欄位詳情。
CTDR 按抑制條件各欄位值的笛卡爾積進行分組。
例如:有a和b兩個欄位抑制條件,其中a的取值集合是{1,2},b的取值集合是{3,4},那麼一共會出現 {1,3}、{1,4}、 {2,3}、{2,4} 共4個組合,每一個組合就是一個分組。
每個分組在視窗期產生的安全警示上限為100條。
重要抑制條件為非必填項。若不配置抑制條件,則表示在整個視窗期間根據規則產生的安全警示總上限為100條。
在事件產生設定頁簽完成安全事件建置規則相關配置。
可在頁面,查看並處理產生的事件。
配置項
說明
建置事件
選擇命中規則的警示是否建置事件。
事件產生方式
警示透傳:基於當前規則產生的警示,每個警示產生一個安全事件。
同類彙總:所有基於當前規則產生的警示彙總為一個安全事件。
彙總視窗
同類彙總情境下,才需要配置視窗大小。允許設定的範圍5分鐘到24小時。
例如:若彙總視窗設定為5分鐘,表示將這5分鐘內產生的所有安全警示彙總為一個安全事件。
啟用自訂規則:新建立的規則為未啟用狀態,可在自訂規則啟用狀態列操作列修改狀態。
說明建議您在測試完自訂規則後再啟用規則。
測試自訂規則(可選)
啟用自訂規則前,您可以修改規則的啟用狀態為測試中,並查看警示測試結果,來確認規則產生的結果是否符合預期。系統會根據內建的校準邏輯,對警示欄位、警示欄位值、標準化欄位等進行校準。您可以參考控制台提供的校準結果,在必要時調整規則體SQL文法或劇本,以便規則正式啟用時,產生的警示日誌滿足校準要求。
測試環節非必須流程,校準結果不影響規則的啟用。
測試產生的警示結果不在安全警示頁面展示。
操作步驟如下:
在自訂頁簽,將目標規則的啟用狀態修改為測試中。
在目標規則操作列,單擊查看警示測試結果。
在測試結果詳情頁,查看測試產生的警示趨勢圖、警示列表。或單擊目標警示操作列的詳情,查看警示的校準結果。
查看及處理安全警示和事件
威脅檢測規則生效後,若接入的日誌資訊命中檢測規則則會產生對應的安全警示資訊和安全事件,你可參考如下說明,對其進行處理: