规则说明
最后更新于:
本页面内容
概述
本页面阐述安全分析中使用的三类规则:用于基础事件过滤的标准规则、用于检测异常单次事件行为的异常规则,以及用于识别复杂攻击序列的高级规则。每类规则均配备配置字段、过滤器、阈值和异常模型,以实现灵活监控与精准威胁检测。
标准规则
标准规则是基础规则,仅根据所选操作从收集的日志中识别并过滤特定事件。在此简单配置中,可通过可选过滤器或阈值选择所需操作。标准规则不涉及异常模型或行为基线建立,仅用于查看和监控完全匹配条件的日志数据,以便您专注于其他感兴趣的事件。
规则配置字段解析
- 规则名称:为规则指定唯一名称以便识别。
- 描述 (可选):简要说明规则及其
目的。
- 严重性:选择要关联到该规则的严重性级别。
例如,故障级别标准表示中等严重性。
严重性分为三个级别:
- 严重
- 故障
- 需关注
- 操作:选择规则需监控的日志事件类型。请继续阅读以获取三种规则类型支持的完整日志类型列表
(关联600余种可用操作)。
若需创建自定义操作,请参阅《创建自定义规则》帮助文档。
- 筛选器 (可选):添加一项或多项日志事件筛选条件。
这将缩小规则适用的日志事件范围。
注意: 每条规则最多仅可设置 5个筛选器。
- 阈值 (可选):
- 为特定时间段内的重复事件设置基于独立事件或计数事件的发生上限。 当超过该上限时,规则即被触发。
- 除基于计数的阈值外,您还可配置 求和阈值与平均值(Avg)阈值。
- 阈值条件可基于特定字段的分组进行应用, 实现更精细的检测与控制。
- 规则消息:输入规则触发时
希望显示的告警文本内容。
异常规则
安全分析规则类别中的异常规则,是仅针对单一操作的异常检测专用配置。 每条异常规则仅适用于所选事件类型(即操作),例如"文件访问失败"、"账户删除"、"组删除"。
规则配置字段解析
- 规则名称:为规则命名以供识别。
- 描述 (可选):简要说明规则及其目的。
- 严重性:选择要关联到该规则的严重性级别。
例如,故障级别标准表示中等严重性。
严重性分为三个级别:
- 严重
- 故障
- 需关注
- 操作:选择规则需监控的日志事件类型。请继续阅读以了解Log360支持的三种规则类型所适用的完整日志类型列表,以及关联的600余种操作。
若需创建自定义操作,请参阅《创建自定义规则》帮助文档。
注意:每条异常规则仅可选择1项操作。 - 筛选器 (可选):添加一项或多项日志事件筛选条件,用于缩小规则适用的日志事件范围。
- 异常模型基于:选择异常模型以定义
如何检测偏离正常行为的情况。配置的每个模型及两种行为构造器——主机上、用户由
将触发异常。共有
五种主要异常模型:
- 用户异常时段登录:检测用户在 常规登录/访问时段外 发生的活动。
- 用户操作次数异常:检测执行某项操作频率 远高于或低于 其常规行为模式的用户。
- 日志源异常时间:检测在常规运行时段或预期活动窗口外 生成事件的日志源。
- 日志源异常计数:检测事件生成量异常偏高或偏低的日志源。
- 用户名异常的日志源:检测关联特定用户名的日志源,该用户名与日志源通常关联的用户名不符。
注意:每条规则最多仅可设置 5个异常模型。 - 规则消息:包含规则触发时
希望显示的告警文本。
高级规则
与仅关注单一操作异常检测的异常规则不同, 高级规则通过关联对应多个操作的事件序列, 助力检测复杂的多步骤事件。此外,通过序列化操作关联, 可识别跨越多种事件类型的攻击模式,例如多次登录失败后 紧接成功登录的情况。
操作序列按顺序定义,当完整操作模式触发时规则生效。 每项操作均可通过配置字段过滤器进行精细调整, 将事件范围缩小至满足所有指定条件的对象。
规则配置字段解析
- 规则名称:为规则命名以供识别。
- 描述 (可选):简要说明规则及其
目的。
- 严重性:选择要关联到此规则的严重性级别。
例如,故障级别标准表示中等严重性。
严重性分为三个级别:
- 严重
- 故障
- 需关注
- 规则条件
- 操作:选择规则需监控的日志事件类型。对于
高级规则,可选择多个操作。请继续阅读以获取详细列表,了解
Log360中所有三种规则类型支持的日志类型及
600余种可用操作。
若需创建自定义操作,请参阅《创建自定义规则》帮助文档
- 过滤器 (可选):添加一项或多项日志事件筛选条件。 这将缩小规则适用的日志事件范围。
- 操作关联:当选择多个操作时,可将这些操作相互关联,以便对涉及相关操作的事件进行关联分析并监控可疑活动。
- 阈值/异常模型:
- 阈值 (可选):定义基于事件类型或计数的 事件 发生次数限制,用于监测特定时间段内的重复行为。当超过限制时, 规则 即被触发。
- 异常模型:选择异常模型以定义如何检测 偏离正常行为的 情况。每个配置的模型均会触发异常检测。
注意: 阈值或 异常模型配置只能选择其一,二者不可同时启用,因其无法协同工作。此限制适用于整个规则,所有操作仅允许选择其中一种模式。 - 执行配置: 执行配置选项可用于按需求安排规则执行计划。此选项仅适用于高级规则。
- 规则消息:输入规则触发时希望显示的告警文本。
该设置包含持续执行模式及预设时间段(如5分钟、10分钟、30分钟、1小时),另提供自定义选项,需配置计划频率和额外回溯时间。
操作 - 支持的日志类型
以下是Log360中所有规则类型支持的日志类型列表, 关联600余种可用操作。
| Stormshield设备 | HP设备 |
| Topsec设备 | FirePower设备 |
| Sangfor设备 | ForcePoint 设备 |
| 戴尔设备 | H3C设备 |
| CEF格式 | pfSense 设备 |
| Malwarebytes | SNMP 陷阱 |
| McAfee | IBM AS/400 |
| Apache 访问日志 | 思科设备 |
| DHCP Linux 日志 | F5设备 |
| DHCP Windows 日志 | Unix |
| MySQL 日志 | FIM |
| MSSQL 服务器日志 | 威胁分析 |
| 终端 | 暗网 |
| 打印机 | vCenter |
| SAP ERP 审计日志 | 虚拟机管理程序/ESXi |
| Oracle | FireEye |
| 系统日志存档文件 | 赛门铁克端点保护 |
| Syslog | 赛门铁克DLP |
| Windows 归档文件 | Nessus |
| DB2 日志 | Qualys |
| PostgreSQL 日志 | OpenVAS |
| Password Manager Pro | Nmap |
| ITOM解决方案 | Nexpose |
| ADAudit Plus | Trend Micro |
| ADManager Plus | IIS W3C FTP 日志 |
| AD自助服务增强版 | IIS W3C Web 服务器日志 |
| 端点中央 | IBM Maximo 日志 |
| Service Desk Plus | Syslog应用程序 |
| Windows | SQL Server |
| SonicWall 设备 | Sysmon |
| Juniper设备 | AWS CloudTrail |
| PaloAlto设备 | AWS S3 |
| Fortinet设备 | AWS ELB |
| CheckPoint 设备 | AWS ALB |
| Arista设备 | AWS 自然语言处理 |
| Barracuda 设备 | Salesforce 事件日志 |
| WatchGuard 设备 | Salesforce 设置审计跟踪 |
| Sophos 设备 | Microsoft Entra ID |
| 华为设备 | Exchange Online |
| Meraki 设备 | Microsoft 365 概览 |
| NetScreen 设备 | SharePoint Online |
若需同时选择所有日志类型,请勾选"全选"复选框。
其他字段
1. 添加宏
三种规则类型的宏字段均包含字段名称列表。 为规则选择某项后,该字段名称将在规则触发时用于生成规则消息。 宏字段的完整选项会根据规则创建时选择的操作而变化。
2. 规则洞察:MITRE ATT&CK映射及其他
此功能通过将选定规则映射至相关MITRE ATT&CK技术与战术, 提供规则背景信息。 您可据此理解该规则所针对的威胁行为,从而有效辅助威胁调查与响应。系统通过为所有规则类型提供标签标注、MITRE映射及增强型上下文细节,确保您能创建符合安全需求、结构严谨且可操作的规则集。
点击它将滑出规则洞察的字段框。
规则属性
规则属性支持通过特定属性对规则进行映射和标记,从而实现更优化的 组织管理与可操作性洞察。该功能可高效管理规则并 辅助数据增强。
MITRE ATT&CK
- 战术列表将以带搜索功能的下拉菜单形式呈现。
- 选择战术后,其关联技术将显示在技术下拉菜单中。
- 若技术包含子技术,则子技术将显示在该技术下列。
- 若同时选中战术与技术,将出现添加选项 并将其加入列表。
- 取消图标可从添加列表中删除一行。
更多信息请参阅MITRE ATT&CK TTP(S)框架集成。
点击添加规则信息后,屏幕将显示如下内容。
规则信息
规则信息提供关于规则执行和缓解策略的额外上下文信息。它帮助技术人员进行配置更改并采取预防措施,以增强检测能力并保障环境安全。
- 前提条件
- 先决条件定义了安全规则有效运作所需满足的条件或要求。它们确保规则能按预期运行并产生准确检测结果。
- 当特定报表未找到数据时,该信息将显示在安全规则的报表页面,同时也会在规则摘要的详细信息中呈现。
- 缓解措施
- 缓解措施概述了应对或消除安全规则检测到的威胁的步骤。它提供可操作的指导,以最大限度地减少安全事件的影响。
2. 规则预览
- 在规则配置中选择操作后, "预览规则"选项才会显示。
- 您还可通过日历选择日期范围。
- 若增删附加条件,可通过重新加载预览选项刷新预览内容。
- 检测报表仅适用于规则创建后触发的数据,但预览规则将同时基于已收集日志。
- 在高级规则创建中,系统将首先显示整体规则预览, 您可根据需要切换至对应操作预览。
执行模式:操作模式差异(持续模式 vs. 计划模式)
回环时间
定义:
回溯时间是为计划规则配置的额外日志搜索窗口扩展时段。例如,若计划间隔设为5分钟且回溯时间同样配置为5分钟,系统将分析总计10分钟的日志(当前5分钟加历史5分钟)。
目的:
确保在规则评估时纳入计划间隔开始前的事件, 最大限度降低跨计划边界检测遗漏的风险。
缺点:
启用循环检测可能导致连续计划间隔的数据重叠。由于同一组日志可能在多个间隔内被重复评估,这可能引发重复检测。
标准规则(单动作规则)
| 条件 | 连续模式 | 计划模式 |
|---|---|---|
| 阈值:
10分钟内10次事件 (计划5分钟, 环回0) |
|
|
| 阈值:
10分钟内发生10次事件 (计划间隔5分钟, 环回间隔5分钟) |
上述流程无变更。 |
|
| 阈值:
10分钟内发生10次事件 (计划 30 分钟, 环回 0 分钟) |
上述流程保持不变。 |
|
| 阈值:
10分钟内发生10次事件 (计划 25 分钟, 环回 0 分钟) |
上述流程保持不变。 | 与上述情况相同,但查询拆分为:
|
| 阈值:
10分钟内发生10次事件 (计划 30 分钟, 环回 20 分钟) |
流程保持不变。 | 与上述情况相同,但查询拆分为:
|
高级规则(多动作规则)
| 条件 | 连续模式 | 定时模式 |
|---|---|---|
| 操作1: 10分钟内发生10次 事件,随后5分钟
操作2: 10分钟内发生9次 事件,随后12分钟
操作3:
5分钟内发生5次事件 (计划10分钟, 环回0分钟) |
|
|
| 操作1: 10分钟内执行10次 事件,随后间隔25分钟
操作2: 10分钟内执行9次 事件,随后间隔12分钟
操作3:
5分钟内执行5次事件 (计划30分钟, 回环20分钟) |
上述流程保持不变。 |
|
规则特定用例
异常规则
1. 暴力破解登录尝试
使用场景
某服务账户在极短时间内记录20次登录失败事件。这强烈表明正在发生暴力破解或凭证填充攻击。
异常规则应用
通过将"登录失败"异常规则与基于计数的异常模型结合,可快速检测账户被入侵的威胁。作为威胁响应措施,可阻断攻击者向网络内部渗透的窗口期。
2. 可疑第三方账户活动
使用场景
某托管服务供应商账户在常规工作时间结束后开始配置变更。
异常规则应用
"配置变更"操作可结合时间基准异常模型,重点监控非工作时段活动。例如某用户常规工作时间为上午9点至下午6点,若其在凌晨3点执行操作则触发告警。此外,基于地理位置的异常模型可识别来自异常地理区域的变更操作。
这些偏离既定基线的异常行为将触发告警, 协助安全团队及时调查, 防范凭证泄露或会话劫持风险。
高级规则
1. 批量修改引发的数据外泄
使用场景
未经授权的用户在关键文件服务器上批量删除或重命名大量文件。
启用高级规则后
通过创建高级规则,关联"文件删除"操作与"批量文件重命名"事件,
同时设置10分钟窗口期内的总文件访问次数阈值及过滤条件,
可精准定位未经授权的关键服务器访问行为。
2. 质量保证环境中的未经授权应用程序部署
用例
非DevOps用户在预发布环境中部署/运行未经授权的可执行文件。
使用高级规则
通过高级规则关联QA环境标记机器上的"可执行文件创建"与"计划任务创建"事件,
结合用户角色过滤器及10分钟内事件序列阈值,可早期识别此类非法部署行为。
延伸阅读
本文阐述了标准规则、异常规则和高级规则的工作原理、配置选项 及实际应用场景,包括暴力破解尝试、可疑账户活动 和数据外泄等。