全部产品
Search
文档中心

日志服务:增值内容函数

更新时间:Aug 23, 2023

本文介绍增值内容函数的语法规则,包括函数及参数说明、示例等。

函数列表

类型

函数

说明

威胁情报

e_threat_intelligence

获取日志字段中IP地址或域名的威胁情报信息并输出到指定字段。

风险识别

e_saf

获取日志字段中IP地址的风险识别信息,并输出到指定字段。

e_threat_intelligence

调用e_threat_intelligence函数获取日志字段中IP地址或域名的威胁情报信息并输出到指定字段。

  • 若所扫描内容没有威胁情报信息,则不会输出到指定字段,不影响您的数据加工任务。

  • 由阿里云威胁情报服务提供最近30天出现的威胁情报信息,每天更新一次。若您需要详细的威胁情报信息,请开通阿里云威胁情报服务进行查询。

说明

该函数目前在开放公测阶段,您可以通过数据加工功能免费使用该函数,且调用次数不受限制。

支持使用该函数的地域如下表所示。

地域

华东1(杭州)

西南1(成都)

华东1 金融云

中国(香港)

华东2(上海)

日本(东京)

华东2 金融云

韩国(首尔)

华北1(青岛)

新加坡

华北2(北京)

澳大利亚(悉尼)

华北2 金融云(邀测)

马来西亚(吉隆坡)

华北2 阿里政务云1

印度尼西亚(雅加达)

华北3(张家口)

菲律宾(马尼拉)

华北5(呼和浩特)

阿联酋(迪拜)

华北6(乌兰察布)

美国(硅谷)

华南1(深圳)

德国(法兰克福)

华南1 金融云

美国(弗吉尼亚)

华南2(河源)

印度(孟买)

华南3(广州)

英国(伦敦)

  • 函数格式

    e_threat_intelligence(category, field, output_field=None, mode="overwrite")    
  • 参数说明

    参数名称

    参数类型

    是否必填

    说明

    category

    String

    威胁情报类型。取值包括:

    • ip:通过IP地址获取IP地址的威胁情报信息。

    • domain:通过域名获取域名的威胁情报信息。

    field

    String

    获取威胁情报信息的日志字段名称。

    output_field

    String

    威胁情报信息输出字段的名称。如果没有指定,默认输出到__threat_intelligence__:field字段。

    mode

    String

    字段的覆盖模式。默认为overwrite。更多字段详情请参见字段提取检查与覆盖模式

  • 返回结果

    返回的威胁情报信息以JSON格式输出到output_field定义的字段中,其各参数说明如下表。

    • IP地址威胁情报返回结果

      参数

      说明

      confidence

      威胁情报数据置信度,取值范围为[0, 100]之间的整数值,值越大置信度越高。

      severity

      威胁情报对应威胁级别。

      • 0:无威胁

      • 1:低危险

      • 2:中危险

      • 3:高危险

      • 4:严重威胁

      family

      表示恶意家族。固定取值为空。

      ioc_type

      IP地址类型。目前仅支持IPv4类型IP地址。

      ioc_raw

      获取威胁情报信息的IP地址。

      intel_type

      风险标签类型,标签之间使用半角分号(;)分隔。

      • web_attack:网络攻击的IP地址。

      • tor:TOR(Top of Rack)节点的IP地址。

      • mining:挖矿的IP地址。

      • c2:C2 IP地址。

      • malicious:恶意下载源的IP地址。

      • exploit:发起Exploit攻击的IP地址。

      • webshell:发起Webshell攻击的IP地址。

      • scan:网络服务扫描的IP地址。

      country

      IP地址所属的国家。

      province

      IP地址所属的省份。

      city

      IP地址所属的城市。

      isp

      IP地址所属网络的电信运营商。

    • 域名威胁情报返回结果

      参数

      说明

      confidence

      威胁情报数据置信度,取值范围为[0, 100]之间的整数值,值越大置信度越高。

      severity

      威胁情报对应威胁级别。

      • 0:无威胁

      • 1:低危险

      • 2:中危险

      • 3:高危险

      • 4:严重威胁

      family

      表示恶意家族。固定取值为空。

      ioc_type

      域名。固定取值为domain。

      ioc_raw

      获取威胁情报信息的域名。

      intel_type

      风险标签类型,标签之间使用半角分号(;)分隔。更多信息,请参见风险标签类型说明

      root_domain

      扫描域名所属的根域名。

  • 函数示例

    • 示例1:扫描IP地址的威胁情报信息,并输出到指定字段。

      • 原始日志

        remote_addr: 203.0.113.1
        method: GET
      • 加工规则

        通过remote_addr字段获取该IP地址的威胁情报信息,并输出到指定字段threat_info中。

        e_threat_intelligence("ip", "remote_addr", output_field="threat_info")
      • 加工结果

        threat_info:{
            "confidence": 100,
            "severity": 4,
            "family": "",
            "ioc_raw": "203.0.113.1",
            "ioc_type": "ipv4",
            "intel_type": "web",
            "country": "中国",
            "province": "浙江省",
            "city": "杭州市",
            "isp": "电信"
            }
        method:GET
        remote_addr:203.0.113.1
    • 示例2:扫描IP地址的威胁情报信息,并输出到默认字段。

      • 原始日志

        remote_addr: 203.0.113.1
        method: GET
      • 加工规则

        通过remote_addr字段获取该IP地址的威胁情报信息,并输出到默认字段。

        e_threat_intelligence("ip", "remote_addr")
      • 加工结果

        __threat_intelligence__:remote_addr:{
            "confidence": 100,
            "severity": 4,
            "family": "",
            "ioc_raw": "203.0.113.1",
            "ioc_type": "ipv4",
            "intel_type": "web",
            "country": "中国",
            "province": "浙江省",
            "city": "杭州市",
            "isp": "电信"
            }
        method:GET
        remote_addr:203.0.113.1
    • 示例3:扫描域名的威胁情报信息,并输出到指定字段。

      • 原始日志

        domain_name: www.02a470ee85e5c43f27b9c42a3c46a8bb.info
      • 加工规则

        通过domain_name字段获取该域名的威胁情报信息,并输出到指定字段_ti_中。

        e_threat_intelligence("domain", "domain_name", output_field="_ti_")
      • 加工结果

        domain_name: www.02a470ee85e5c43f27b9c42a3c46a8bb.info
        _ti_: {
          "confidence": 91,
          "severity": 3,
          "family": "",
          "ioc_raw": "www.02a470ee85e5c43f27b9c42a3c46a8bb.info",
          "ioc_type": "domain",
          "root_domain": "02a470ee85e5c43f27b9c42a3c46a8bb.info",
          "intel_type": "sinkhole;rat_trojan;js_miner"
        }

e_saf

调用e_saf函数获取日志字段中IP地址的风险识别信息,并输出到指定字段。

  • 若所扫描内容没有风险内容信息,则不会输出到指定字段,不影响您的数据加工任务。

  • 由阿里云风险识别服务提供风险内容信息。更多信息,请参见什么风险识别

说明

该函数目前在公测阶段,您可以通过数据加工功能免费使用该函数,且调用次数不受限制。

支持使用该函数的地域如下表所示。

地域

西南1(成都)

华北2(北京)

华东2(上海)

新加坡

  • 函数格式

    e_saf(category, field, output_field=None, mode="overwrite") 
  • 参数说明

    参数名称

    参数类型

    是否必填

    说明

    category

    String

    扫描类型。取值为ip,表示通过IP地址获取风险识别信息。

    field

    String

    获取风险识别信息的日志字段名称。

    output_field

    String

    风险识别信息输出字段的名称。如果没有指定,默认输出到__saf__:field字段。

    mode

    String

    字段的覆盖模式。默认为overwrite。更多字段详情请参见字段提取检查与覆盖模式

  • 返回结果

    返回的风险识别信息以JSON格式输出到output_field定义的字段中,其各参数说明如下表。

    参数

    说明

    isIdc

    是否为IDC机房IP地址。

    • 0:不是。

    • 1:是。

    isProxy

    是否为代理IP地址。

    • 0:不是。

    • 1:是。

    isNat

    是否为NAT IP地址。

    • 0:不是。

    • 1:是。

    isBase

    是否为基站IP地址。

    • 0:不是。

    • 1:是。

    score

    请求服务返回的数据置信度,取值范围为[0, 1]之间,值越大代表风险越高。

    • 0:低风险

    • (0, 0.35]:中风险

    • (0.35, 0.5]:中高风险

    • (0.5, 1]:高风险

  • 函数示例

    • 示例1:扫描IP地址的风险识别信息,并输出到默认字段。

      • 原始日志

        remote_addr: 203.0.113.1
      • 加工规则

        通过remote_addr字段获取该IP地址的风险识别信息,并输出到默认字段。

        e_saf("ip", "remote_addr")
      • 加工结果

        __saf__:remote_addr: {
        "score": 0.0,
        "isIdc": 0,
        "isNat": 0,
        "isBase": 0,
        "isProxy": 0
        }
        remote_addr:203.0.113.1
    • 示例2:扫描IP地址的风险信息识别,并输出到指定字段。

      • 原始日志

        remote_addr: 203.0.113.1
      • 加工规则

        通过remote_addr字段获取该IP地址的风险识别信息,并输出到指定字段_saf_中。

        e_saf("ip", "remote_addr",output_field="_saf_")
      • 加工结果

        _saf_:  {
        "score": 0.0,
        "isIdc": 0,
        "isNat": 0,
        "isBase": 0,
        "isProxy": 0
        }
        remote_addr:203.0.113.1

附录

表 1. 域名风险标签

风险标签

说明

风险标签

说明

malware

恶意软件

botnet

僵尸网络

spy_trojan

间谍木马

trojan

木马

worm

蠕虫

bank_trojan

银行木马

ransomware

勒索

adware

广告软件

backdoor_trojan

后门木马

exploit

漏洞利用

hacktool

黑客工具

malicious_doc

恶意文档

infected_virus

感染型病毒

bootkit_trojan

BootKit木马

trojan_dropper

木马释放器

script_trojan

脚本木马

riskware

风险软件

virus

病毒

apt

APT

trojan_downloader

木马下载器

rat_trojan

远控木马

rat

远控

hijack

劫持

ddos_trojan

DDos木马

macro_virus

宏病毒

spam_email

垃圾邮件

porn

色情网站

js_miner

网页挖矿

rootkit_trojan

Rootkit木马

compromised_host

失陷主机

private_server

外挂私服

gamble

博彩网站

c2

中控

dnslog_attack

DNSLOG攻击

miner

挖矿

infostealer

信息盗取

malicious_group

恶意团伙

malicious

恶意站点

sinkhole

Sinkhole

miner_pool

矿池

dga

DGA