如何設定觀察列表 - Security Center

觀察列表（Dataset）作為一種資料引用集合，用於在安全檢測和響應規則中高效地匹配和過濾 IP 位址、使用者識別碼等實體，以實現白名單排除、黑名單檢測和業務實體標記等情境。

什麼是觀察列表？

觀察列表是一種安全營運中的使用者個人化資料管理工具，通過結構化、標準化的方式，將特定領域的對象資訊（如IP、網域名稱、資產等）進行集中儲存和動態管理，並在安全檢測和響應的各個環節實現高效匹配和精準控制。核心價值在於：

將動態變化的資料（如 IP 列表、使用者名稱單）與靜態檢測邏輯（規則）分離。
讓資料管理更集中、高效，讓安全規則更簡潔、靈活。

配置觀察列表

管理預定義觀察列表

系統內建了全域 IP 白名單 global_ip_whitelist，用於集中管理來自各個阿里雲產品的可信 IP 位址。支援的阿里雲產品及服務可信IP地址源如下：

說明

管理多帳號即是否同步由當前帳號納管的成員帳號下的資料。關於如何管理多帳號，請參見多帳號安全管理。

阿里雲產品或服務IP地址源	更新方式	是否支援管理多帳號
Security Center漏洞Web掃描器IP地址	靜態內建到全域IP地址白名單	不支援
Web Application Firewall回源IP地址	從雲產品側動態擷取	不支援
DDoS防護回源IP地址	從雲產品側動態擷取	不支援
邊緣安全加速ESA回源節點IP地址	從雲產品側動態擷取	不支援
Elastic Compute Service公網IP地址	從雲產品側動態擷取	支援
傳統型負載平衡CLB公網IP地址	從雲產品側動態擷取	支援
Elastic IP Address(EIP)地址	從雲產品側動態擷取	支援
內容分發網路CDN回源IP地址	從雲產品側動態擷取	不支援
Global AccelerationGA回源IP地址	從雲產品側動態擷取	支援

配置自動更新

為確保白名單資料的時效性，需要啟用自動同步功能。

登入Security Center控制台。。在左側導覽列，選擇威脅分析與響應 > 接入中心。在控制台左上方，選擇需防護資產所在的地區：中國內地或非中國內地。
進入觀察列表頁簽，單擊global_ip_whitelist操作列的編輯按鈕。
在定時更新列表地區，根據實際需求開啟特定雲產品自動更新開關。
- 同步時間：啟用後立即同步資料，之後系統會在每天淩晨2:00-6:00（UTC+8）自動同步最新資料。
- 多帳號管理：若要同步當前帳號所納管的成員帳號下的資產 IP，需開啟管理多帳號開關。

管理資料

在自動更新的基礎上，也支援手動管理資料。

管理單條資料
若不需要某些IP配置白名單或資料有誤，可對其進行修改和刪除，同時支援新增單條資料。
1. 單擊global_ip_whitelist操作列的編輯按鈕，進入詳情頁。
2. 在詳情頁的資料列表地區，單擊操作列的編輯或删除、或左上方的新增按鈕。
  - 删除：刪除後的資料，可通過新增重新添加。
  - 新增或編輯：配置說明如下。
    配置項
    說明
    樣本
    ip
    IP範圍。
    47.XXX.XXX.32/27（即 47.XXX.XXX.32 -47.XXX.XXX.63）。
    type
    IP類型，可自訂。
    waf_back_source_ip
    description
    描述。
    WAF back source IP of aliUid: 135******357
批量管理資料
若需要增加或修改global_ip_whitelist資料，可使用批次更新功能。
1. 單擊global_ip_whitelist操作列的批次更新按鈕。
2. 下載並修改檔案模板，並根據規範準備資料。
  - 檔案首行必須包含global_ip_whitelist對應的欄位：ip、type、description。
  - 列表主鍵預設為ip，不可修改。
    重要
    若ip已在觀察列表中存在，系統將會更新對應type、description欄位的值。
  - 上傳的資料檔案總大小不超過 3 MB，記錄不超過5000條，任意欄位的長度不超過200 Byte。
3. 上傳檔案，單擊下一步。
4. 確認無誤後，在驗證和建立頁面單擊確認。

建立和管理自訂觀察列表

Agentic SOC支援使用者根據業務需要，自訂上傳觀察列表。

建立資料

進入觀察列表頁簽後，單擊新增。
在初始化頁簽填寫列表名稱和描述。
下載並修改檔案模板，並根據規範準備資料。
- 檔案首行必須是欄位名，例如 userid,department,risk_level。
- 上傳檔案時，需要從檔案首行的欄位中指定一個列表主鍵，該主鍵是後續在規則中用於匹配的核心欄位。
- 主鍵列的值不允許為空白或重複。
  重要
  若上傳的資料存在主鍵重複，系統預設保留最後一條記錄並覆蓋前面的記錄。此行為可能導致資料丟失，請務必在上傳前校正資料唯一性。
- 上傳的資料檔案總大小不超過 3 MB，記錄不超過5000條，任一欄位的長度不超過200 Byte。
選擇列表主鍵後，單擊下一步。
確認無誤後，在驗證和建立頁面單擊確認。

管理資料

刪除觀察列表
單擊目標觀察列表操作列的删除按鈕，即可刪除該觀察列表。
警告
刪除操作無法復原，請謹慎操作。
管理單條資料
1. 單擊目標觀察列表操作列的編輯按鈕，進入詳情頁。
2. 在詳情頁資料列表地區，單擊操作列的編輯或删除、或左上方的新增按鈕。
  - 删除：刪除後的資料，可通過新增重新添加。
  - 新增或編輯：系統會同步觀察列表的欄位名稱，根據需要填寫即可。
批量管理資料
若需要增加或修改自訂觀察列表資料，可使用批次更新功能。
1. 單擊目標觀察列表操作列的批次更新按鈕。
2. 下載並修改檔案模板，並根據規範準備資料。
  - 檔案首行必須包含觀察列表的初始欄位。
  - 列表主鍵不可修改。
    重要
    若上傳的資料存在主鍵重複，系統預設保留最後一條記錄並覆蓋前面的記錄。此行為可能導致資料丟失，請務必在上傳前校正資料唯一性。
  - 上傳的資料檔案總大小不超過 3 MB，記錄不超過5000條，任意欄位的長度不超過200 Byte。
3. 上傳檔案，單擊下一步。在驗證和建立頁面，點擊確認。

使用觀察列表

规则管理中使用觀察列表

在规则管理模組建立或修改自訂威脅檢測規則時，若規則體為SQL時，可在SQL編輯器中使用以下文法引用觀察列表的主鍵資料：

SELECT key FROM common_data_set WHERE data_set_name = '<觀察列表名稱>'

重要

key 是固定關鍵字，SQL 執行時會自動對應為在建立列表時指定的主鍵欄位。
目前的版本僅支援在 SQL 中擷取主鍵欄位。

SQL樣本：IP 白名單過濾，此規則用於發現所有來自非全域 IP 白名單的日誌資料。

-- 檢查源IP是否不在辦公網IP白名單中
* |SELECT * FROM log 
WHERE src_ip NOT IN (
    SELECT key FROM common_data_set 
    WHERE data_set_name='global_ip_whitelist'
)

響應編排中使用觀察列表

自動響應規則：建立自動響應規則時，在規則原則設定中，可添加基於觀察列表的判斷條件。具體操作請參見配置自動響應規則，支援的條件項如下：
條件
說明
not in ip Dataset
不在IP觀察列表中。
in ip dataset
在IP觀察列表中。
not in dataset
不在觀察列表中。
in dataset
在觀察列表中。
自訂劇本：在劇本編輯器的filter 組件中，可添加基於觀察列表的判斷規則，對資料流進行過濾和分流。具體操作參見filter組件。判斷規則如下：
規則名稱
規則說明
NOT IN IP Dataset
不在IP觀察列表中。
IN IP Dataset
在IP觀察列表中。
NOT IN Dataset
不在觀察列表中。
IN Dataset
在觀察列表中。

配置項	說明	樣本
ip	IP範圍。	47.XXX.XXX.32/27（即 47.XXX.XXX.32 -47.XXX.XXX.63）。
type	IP類型，可自訂。	waf_back_source_ip
description	描述。	WAF back source IP of aliUid: 135******357

條件	說明
not in ip Dataset	不在IP觀察列表中。
in ip dataset	在IP觀察列表中。
not in dataset	不在觀察列表中。
in dataset	在觀察列表中。

規則名稱	規則說明
NOT IN IP Dataset	不在IP觀察列表中。
IN IP Dataset	在IP觀察列表中。
NOT IN Dataset	不在觀察列表中。
IN Dataset	在觀察列表中。