全部產品
Search

搜尋本產品

    Security Center:標準化規則及資料集說明

    文件中心

    Security Center:標準化規則及資料集說明

    更新時間:Sep 25, 2025

    威脅分析與響應CTDR(Cloud Threat Detection and Response)產品日誌接入策略需要綁定標準化接入規則,標準化規則利用SLSLog Service的SPL文法資料集實現了對日誌的解析。

    標準化規則來源說明

    標準化接入規則採用SPL文法將接入日誌映射至資料集,提煉日誌關鍵字段資訊,為後續日誌解析規則產生警示資訊提供資料支撐。

    規則來源

    說明

    支援的操作

    預定義

    • CTDR預先初始化了一批接入解析規則,為其設定好了SPL文法,並綁定了接入策略。內建50+規則模板,將阿里雲安全專家經驗賦能使用者。

    查看

    自訂

    • 由使用者自行建立,可參考預定義規則和已有的自動定義規則為模板。

    • 需要先將日誌資料接入到需要用自訂標準化規則解析的資料來源中,否則無法完成新增。

    • 新增

    • 查看

    • 修改

    • 刪除

    標準化規則操作說明

    前提條件

    已購買並開通威脅分析與響應服務,具體操作請參見購買並開通威脅分析與響應

    建立自訂標準化規則

    1. 登入Security Center控制台

    2. 在左側導覽列,選擇威脅分析與響應 > 接入中心。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)標準化規則頁簽內,單擊左上方创建自定义规则

    3. 您可參考以下資訊,完成基本配置

      配置項名稱

      配置項說明

      规则名称

      使用者自訂

      廠商

      • 預定義廠商:阿里雲、飛塔、長亭、微軟、深信服騰訊雲、華為雲、山石網科、鬥象科技,微軟雲等。

      • 使用者自訂廠商:如何建立廠商請參見步驟一:新增產品

      產品

      自動拉取廠商下所有的產品,例如阿里雲Security Center、飛塔防火牆等,CTDR支援的產品請參見支援接入的產品和日誌

      标准化分类/结构

      標準化分類:部落格、主機日誌、安全日誌、審計日誌、快照日誌、登入日誌、其他日誌。

      標準化結構:

      • 一個標準化分類包含多個標準化結構

      • 一個標準化結構對應一組標準化欄位和一個資料集(StoreView)。而一個資料集又映射為多個標準化結構。

        說明

        如何查看標準化分類/結構的對應的資料集和標準化欄位,請參見資料集說明

      備忘

      可為當前標準化規則增加特徵描述,方便快速尋找及增加可讀性。

    4. 設定SPL文法並進行日誌標準化測試。

      1. 選擇資料來源:請選擇自訂規則需要分析的資料來源。

      2. 填寫SPL文法。

        您可以將預定義規則以及已有的自動定義規則作為模板來使用。這些規則所對應的 SPL文法,您可在詳情頁查看。

        image

        也可參考SPL文法文檔自訂編寫。image

      3. 進行標準化測試。

        警告

        若當前資料來源無資料,SPL文法將無法解析日誌並返回結果,從而導致無法選擇測試資料,標準化測試無法完成。

        點擊image按鈕,並選擇一個測試資料,單擊解析并测试

        image

    5. 測試通過後,單擊左下角完成

    修改標準化規則

    重要

    僅自訂規則支援修改。

    1. 登入Security Center控制台

    2. 在左側導覽列,選擇威脅分析與響應 > 接入中心。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    3. 找到需要修改的規則,單擊操作列的編輯按鈕。

    4. 在編輯頁修改相關內容。支援修改的配置項如下:

    刪除標準化規則

    重要

    • 預定義規則不允許刪除。

    • 已綁定接入策略的標準化規則不可刪除。

    1. 登入Security Center控制台

    2. 在左側導覽列,選擇威脅分析與響應 > 接入中心。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    3. 找到需要刪除的規則,單擊操作列的刪除按鈕。

    資料集說明

    資料集Storeview基於Logstore建立的虛擬資源,它們用於管理和儲存多個Logstore之間的關聯關係。通過資料集(Storeview),您可以對不同Logstore中的日誌進行統一查詢,但是資料集(Storeview)不支援對日誌的修改操作。

    標準化規則和資料集對應關係說明

    標準化規則需要配置标准化分类/结构,每一個標準化分類包含多種標準化結構,每一種結構對應一個儲存資料集(StoreView)一組標準化欄位。而一個資料集(StoreView)又映射到多個標準化結構。對應關係可參考下圖

    對產品接入的影響

    產品接入時CTDR根據SPL文法按照資料集中對應資料標準欄位對產品日誌進行解析,再匹配威脅檢測規則,最終識別出安全風險。此外資料集還會對接入策略有如下配置限制:

    若資料集(StoreView)已經綁定了5個掃描查詢模式的接入策略,則新增策略的標準化方式只允許“即時消費”不支援“掃描查詢“,標準化方式說明請參見標準化接入方式說明

    查看資料集

    常用的資料集如下表:

    標準化分類

    標準化結構

    資料集名稱

    部落格

    五元組日誌

    network_activity

    DNS類日誌

    HTTP日誌

    主機日誌

    進程網路外聯日誌

    process_activity

    進程寫檔案日誌

    進程開機記錄

    進程請求DNS日誌

    安全日誌

    API安全風險日誌

    risk_activity

    雲產品基準日誌

    主機基準日誌

    雲平台操作警示日誌

    alert_activity

    API安全警示日誌

    端點檢測與響應警示日誌

    防火牆警示日誌

    主機網路警示日誌

    Web Application Firewall警示日誌

    其他警示日誌

    爬蟲警示日誌

    漏洞日誌

    vulnerability_activity

    審計日誌

    Bastionhost審計日誌

    audit_activity

    非關係型Database Audit日誌

    雲平台Action Trail日誌

    K8s審計日誌

    Windows安全事件記錄

    API Gateway審計日誌

    關係型Database Audit日誌

    Object Storage Service審計日誌

    Azure活動目錄審計日誌

    Azure活動目錄登入日誌

    快照日誌

    賬戶快照

    account_activity

    進程啟動快照

    process_activity

    網路連結快照

    登入日誌

    雲平台登入日誌

    login_activity

    主機登入失敗日誌

    主機登入日誌

    若您想查看更多資料集資訊,可參考以下步驟。

    1. 登入Security Center控制台

    2. 在左側導覽列,選擇威脅分析與響應 > 接入中心。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)標準化規則頁簽內,單擊左上方查看標准欄位

      image

    3. 標準化欄位列表,左側日誌活動分類清單項目即為CTDR支援的標準化分類,列表根節點即為標準化結構。在右側可查看資料集(StoreView)名稱及標準化欄位列表。

      image

    相關文檔