规则库简介

最后更新于:

本页面内容

Log360规则库是一个集中化的云端安全威胁检测规则库,旨在增强Log360识别潜在安全威胁的能力。该规则库主要基于两大标准:

  • MITRE ATT&CK® 框架:规则直接映射至攻击者使用的战术与技术,使安全团队能够理解攻击背景并预测攻击者的下一步行动。
  • Sigma规则:采用标准化格式编写的通用开源可信规则,已转换为Log360查询结构。

通过采用云端规则库,安全团队无需手动编写或更新每条规则,即可自动获取最新检测逻辑,从而始终领先于新兴威胁。

注:深入探索 Log360规则库及其安全情报包的功能。

Log360规则库核心亮点:

  • 内置2000余条预定义威胁检测规则,可识别内部威胁、外部威胁、恶意软件、APT攻击等各类威胁。
  • 规则根据其关联的日志源进行分类,以便于实施。
  • 规则同时映射至相关的MITRE ATT&CK®威胁建模框架。
  • 可根据安全策略自动安装新威胁检测规则。确保系统在新规则发布后立即获得针对最新威胁和攻击的防护。

工作流

About Rule Library

Log360的云交付系统托管由ManageEngine上传的检测规则,这些规则随后推送至Log360服务器。

请注意:Log360服务器需保持活跃的互联网连接以确保检测规则持续更新。对于离线或物理隔离环境,可通过下载最新规则库包并配置系统本地使用来实现规则更新。

规则更新后,您可在解决方案控制台的"可用规则"选项卡中进行安装配置。

本解决方案还提供自动安装选项,当ManageEngine团队将规则推送至规则库时,系统将自动更新您环境中的规则。

本指南将详细说明如何选择性安装规则或配置规则自动更新功能。

规则库概述

在规则库的中央视图中,规则属性以表格形式呈现。各列代表不同字段,可通过增删列自定义视图。规则库分为两个选项卡:"可用规则"与"已安装规则"。

规则库的核心要素包括:

  • MITRE ATT&CK®映射:每条规则均与MITRE ATT&CK®框架中的战术和技术相对应,从而更清晰地洞察攻击者行为。
  • 严重性分类:规则被分配严重性等级,帮助用户有效优先处理检测结果和响应行动。

通用组件:

这些组件同时存在于可用规则已安装规则选项卡中。

组件 详细信息
规则名称 用于识别的规则名称。
严重性 显示规则的严重性级别,例如注意、严重或故障。
MITRE ATT&CK®映射 显示关联的MITRE ATT&CK®战术与技术。
标签 列出与规则相关的标签,例如数据源和数据组件。
规则类型 指定规则属于标准、异常或高级类型。
创建时间 规则首次添加的日期和时间。
最后修改时间 规则最后一次修改的日期和时间。
描述 提供规则检测内容的详细摘要,包括其目的和作者信息。

安装规则表格特有组件

字段 详细信息
执行间隔 定义匹配条件的发生方式。
  • 持续:匹配传入日志,若匹配则直接触发检测。
  • 智能模式:对索引日志运行匹配规则,若索引日志中存在匹配项则触发检测。
创建者 标识规则的来源。在此情况下,所有规则均由Log360创建。

另请参阅

本页介绍了规则库及其在增强威胁检测和架构中的作用。要了解如何在您的环境中管理和配置这些规则,请参阅: