本文介绍增值内容函数的语法规则,包括函数及参数说明、示例等。增值内容函数可以丰富某些日志字段信息,例如通过IP地址可以获取该IP地址的威胁情报信息,并将此信息保存至日志字段中,有助于您分析日志。

e_threat_intelligence

您可以使用e_threat_intelligence函数获取日志字段中IP地址或域名的威胁情报信息并输出到指定字段。
  • 若所扫描内容没有威胁情报信息,则不会输出到指定字段,不影响您的数据加工任务。
  • 由阿里云威胁情报服务提供最近30天出现的威胁情报信息,每天更新一次。若您需要详细的威胁情报信息,请开通阿里云威胁情报服务进行查询。
说明 目前在开放公测阶段,您可以通过数据加工功能免费使用该函数,且调用次数不受限制。
  • 函数格式
    e_threat_intelligence(category, field, output_field=None, mode="overwrite")    
  • 参数说明
    参数 参数类型 是否必填 说明
    category String 威胁情报类型。支持如下类型:
    • ip:表示获取IP地址的威胁情报信息。
    • domain表示获取域名的威胁情报信息。
    field String 获取威胁情报信息的日志字段名称。
    output_field String 威胁情报信息输出字段的名称。如果没有指定,默认输出到__threat_intelligence__:field字段。
    mode String 字段的覆盖模式。默认为overwrite。更多字段详情请参见字段提取检查与覆盖模式
  • 返回结果
    返回的威胁情报信息以JSON格式输出到output_field定义的字段中,其各参数说明如下表。
    • IP地址威胁情报返回结果
      参数 说明
      confidence 威胁情报数据置信度,取值范围为[0, 100]之间的整数值,值越大置信度越高。
      severity 威胁情报对应威胁级别。
      • 0:无威胁
      • 1:低危险
      • 2:中危险
      • 3:高危险
      • 4:严重威胁
      family 表示恶意家族。固定取值为空。
      ioc_type IP地址类型。目前仅支持IPv4类型IP地址。
      ioc_raw 获取威胁情报信息的IP地址。
      intel_type 风险标签类型,标签之间使用分号(;)分隔。
      • web_attack:网络攻击的IP地址。
      • tor:TOR(Top of Rack)节点的IP地址。
      • mining:挖矿的IP地址。
      • c2:C2 IP地址。
      • malicious:恶意下载源的IP地址。
      • exploit:发起Exploit攻击的IP地址。
      • webshell:发起Webshell攻击的IP地址。
      • scan:网络服务扫描的IP地址。
      country IP地址所属的国家。
      province IP地址所属的省份。
      city IP地址所属的城市。
      isp IP地址所属网络的电信运营商。
    • 域名威胁情报返回结果
      参数 说明
      confidence 威胁情报数据置信度,取值范围为[0, 100]之间的整数值,值越大置信度越高。
      severity 威胁情报对应威胁级别。
      • 0:无威胁
      • 1:低危险
      • 2:中危险
      • 3:高危险
      • 4:严重威胁
      family 表示恶意家族。固定取值为空。
      ioc_type 域名。固定取值为domain。
      ioc_raw 获取威胁情报信息的域名。
      intel_type 风险标签类型,标签之间使用分号(;)分隔。更多信息,请参见风险标签类型说明
      root_domain 扫描域名所属的根域名。
  • 示例
    • 扫描IP地址的威胁情报信息,并输出到指定字段。
      • 原始日志
        remote_addr: 203.0.113.1
        method: GET
      • 加工规则
        通过remote_addr字段获取该IP地址的威胁情报信息,并输出到指定字段_ti_中。
        e_threat_intelligence("ip", "remote_addr", output_field="_ti_")
      • 加工结果
        _ti_:{
            "confidence": 100,
            "severity": 4,
            "family": "",
            "ioc_raw": "203.0.113.1",
            "ioc_type": "ipv4",
            "intel_type": "web",
            "country": "中国",
            "province": "浙江省",
            "city": "杭州市",
            "isp": "电信"
            }
        method:GET
        remote_addr:203.0.113.1
    • 扫描IP地址的威胁情报信息,并输出到默认字段。
      • 原始日志
        remote_addr: 203.0.113.1
        method: GET
      • 加工规则
        通过remote_addr字段获取该IP地址的威胁情报信息,并输出到默认字段。
        e_threat_intelligence("ip", "remote_addr")
      • 加工结果
        __threat_intelligence__:remote_addr:{
            "confidence": 100,
            "severity": 4,
            "family": "",
            "ioc_raw": "203.0.113.1",
            "ioc_type": "ipv4",
            "intel_type": "web",
            "country": "中国",
            "province": "浙江省",
            "city": "杭州市",
            "isp": "电信"
            }
        method:GET
        remote_addr:203.0.113.1
    • 扫描域名的威胁情报信息,并输出到指定字段。
      • 原始日志
        domain_name: www.02a470ee85e5c43f27b9c42a3c46a8bb.info
      • 加工规则
        通过domain_name字段获取该域名的威胁情报信息,并输出到指定字段_ti_中。
        e_threat_intelligence("domain", "domain_name", output_field="_ti_")
      • 加工结果
        domain_name: www.02a470ee85e5c43f27b9c42a3c46a8bb.info
        _ti_: {
          "confidence": 91,
          "severity": 3,
          "family": "",
          "ioc_raw": "www.02a470ee85e5c43f27b9c42a3c46a8bb.info",
          "ioc_type": "domain",
          "root_domain": "02a470ee85e5c43f27b9c42a3c46a8bb.info",
          "intel_type": "sinkhole;rat_trojan;js_miner"
        }

附录

表 1. 域名风险标签
风险标签 说明 风险标签 说明
malware 恶意软件 botnet 僵尸网络
spy_trojan 间谍木马 trojan 木马
worm 蠕虫 bank_trojan 银行木马
ransomware 勒索 adware 广告软件
backdoor_trojan 后门木马 exploit 漏洞利用
hacktool 黑客工具 malicious_doc 恶意文档
infected_virus 感染型病毒 bootkit_trojan BootKit木马
trojan_dropper 木马释放器 script_trojan 脚本木马
riskware 风险软件 virus 病毒
apt APT trojan_downloader 木马下载器
rat_trojan 远控木马 rat 远控
hijack 劫持 ddos_trojan DDos木马
macro_virus 宏病毒 spam_email 垃圾邮件
porn 色情网站 mining_pool 矿池
js_miner 网页挖矿 rootkit_trojan Rootkit木马
compromised_host 失陷主机 private_server 外挂私服
gamble 博彩网站 c2 中控
dnslog_attack DNSLOG攻击 miner 挖矿
infostealer 信息盗取 malicious_group 恶意团伙
malicious 恶意站点 sinkhole Sinkhole
miner_pool 矿池 dga DGA