规则说明

最后更新于:

概述

本页面阐述安全分析中使用的三类规则:用于基础事件过滤的标准规则、用于检测异常单次事件行为的异常规则,以及用于识别复杂攻击序列的高级规则。每类规则均配备配置字段、过滤器、阈值和异常模型,以实现灵活监控与精准威胁检测。

标准规则

标准规则是基础规则,仅根据所选操作从收集的日志中识别并过滤特定事件。在此简单配置中,可通过可选过滤器或阈值选择所需操作。标准规则不涉及异常模型或行为基线建立,仅用于查看和监控完全匹配条件的日志数据,以便您专注于其他感兴趣的事件。

规则配置字段解析

Creating standard rule
图1:创建标准规则
  • 规则名称:为规则指定唯一名称以便识别。
  • 描述 (可选):简要说明规则及其 目的。
    Creating standard rule
  • 严重性:选择要关联到该规则的严重性级别。 例如,故障级别标准表示中等严重性。 严重性分为三个级别:
    • 严重
    • 故障
    • 需关注
    Creating standard rule
  • 操作:选择规则需监控的日志事件类型。请继续阅读以获取三种规则类型支持的完整日志类型列表 (关联600余种可用操作)。

    若需创建自定义操作,请参阅《创建自定义规则》帮助文档。

  • 筛选器 (可选):添加一项或多项日志事件筛选条件。 这将缩小规则适用的日志事件范围。
    注意: 每条规则最多仅可设置 5个筛选器。
  • 阈值 (可选)
    • 为特定时间段内的重复事件设置基于独立事件或计数事件的发生上限。 当超过该上限时,规则即被触发。
    • 除基于计数的阈值外,您还可配置 求和阈值与平均值(Avg)阈值。
    • 阈值条件可基于特定字段的分组进行应用, 实现更精细的检测与控制。
  • 规则消息:输入规则触发时 希望显示的告警文本内容。
    Creating standard rule

异常规则

安全分析规则类别中的异常规则,是仅针对单一操作的异常检测专用配置。 每条异常规则仅适用于所选事件类型(即操作),例如"文件访问失败"、"账户删除"、"组删除"。

规则配置字段解析

Creating anomaly rule
图2:创建异常规则
  • 规则名称:为规则命名以供识别。
  • 描述 (可选):简要说明规则及其目的。
    Creating anomaly rule
  • 严重性:选择要关联到该规则的严重性级别。 例如,故障级别标准表示中等严重性。 严重性分为三个级别:
    • 严重
    • 故障
    • 需关注
    Creating anomaly rule
  • 操作:选择规则需监控的日志事件类型。请继续阅读以了解Log360支持的三种规则类型所适用的完整日志类型列表,以及关联的600余种操作。

    需创建自定义操作,请参阅《创建自定义规则》帮助文档。

    注意:每条异常规则仅可选择1项操作。
  • 筛选器 (可选):添加一项或多项日志事件筛选条件,用于缩小规则适用的日志事件范围。
  • 异常模型基于:选择异常模型以定义 如何检测偏离正常行为的情况。配置的每个模型及两种行为构造器——主机上、用户由 将触发异常。共有 五种主要异常模型:
    • 用户异常时段登录:检测用户在 常规登录/访问时段外 发生的活动。
    • 用户操作次数异常:检测执行某项操作频率 远高于或低于 其常规行为模式的用户。
    • 日志源异常时间:检测常规运行时段或预期活动窗口外 生成事件的日志源。
    • 日志源异常计数:检测事件生成量异常偏高或偏低的日志源。
    • 用户名异常的日志源:检测关联特定用户名的日志源,该用户名与日志源通常关联的用户名不符。
    Creating anomaly rule
    注意:每条规则最多仅可设置 5个异常模型。
  • 规则消息:包含规则触发时 希望显示的告警文本。
    Creating anomaly rule

高级规则

与仅关注单一操作异常检测的异常规则不同, 高级规则通过关联对应多个操作的事件序列, 助力检测复杂的多步骤事件。此外,通过序列化操作关联, 可识别跨越多种事件类型的攻击模式,例如多次登录失败后 紧接成功登录的情况。

操作序列按顺序定义,当完整操作模式触发时规则生效。 每项操作均可通过配置字段过滤器进行精细调整, 将事件范围缩小至满足所有指定条件的对象。

规则配置字段解析

Creating advanced rule
图3:创建高级规则
  • 规则名称:为规则命名以供识别。
  • 描述 (可选):简要说明规则及其 目的。
    Creating advanced rule
  • 严重性:选择要关联到此规则的严重性级别。 例如,故障级别标准表示中等严重性。 严重性分为三个级别:
    • 严重
    • 故障
    • 需关注
    Creating advanced rule
  • 规则条件
  • 操作:选择规则需监控的日志事件类型。对于 高级规则,可选择多个操作。请继续阅读以获取详细列表,了解 Log360中所有三种规则类型支持的日志类型及 600余种可用操作。

    若需创建自定义操作,请参阅《创建自定义规则》帮助文档

  • 过滤器 (可选):添加一项或多项日志事件筛选条件。 这将缩小规则适用的日志事件范围。
  • 操作关联:当选择多个操作时,可将这些操作相互关联,以便对涉及相关操作的事件进行关联分析并监控可疑活动。
  • 阈值/异常模型:
    • 阈值 (可选):定义基于事件类型或计数的 事件 发生次数限制,用于监测特定时间段内的重复行为。当超过限制时, 规则 即被触发。
    • 异常模型:选择异常模型以定义如何检测 偏离正常行为的 情况。每个配置的模型均会触发异常检测。
    注意: 阈值或 异常模型配置只能选择其一,二者不可同时启用,因其无法协同工作。此限制适用于整个规则,所有操作仅允许选择其中一种模式。
  • 执行配置: 执行配置选项可用于按需求安排规则执行计划。此选项适用于高级规则。
  • Configuring the execution mode
    图4:配置执行模式

    该设置包含持续执行模式及预设时间段(如5分钟、10分钟、30分钟、1小时),另提供自定义选项,需配置计划频率额外回溯时间

    注意:若规则选择了异常处理动作, 执行配置将 自动切换至智能模式, 系统将根据规则及其判定条件 自动分配执行模式。 您无法手动配置 执行配置。
    Configuring the execution mode
    Configuring the execution mode
  • 规则消息:输入规则触发时希望显示的告警文本。
    Configuring the execution mode

操作 - 支持的日志类型

以下是Log360中所有规则类型支持的日志类型列表, 关联600余种可用操作。

Stormshield设备 HP设备
Topsec设备 FirePower设备
Sangfor设备 ForcePoint 设备
戴尔设备 H3C设备
CEF格式 pfSense 设备
Malwarebytes SNMP 陷阱
McAfee IBM AS/400
Apache 访问日志 思科设备
DHCP Linux 日志 F5设备
DHCP Windows 日志 Unix
MySQL 日志 FIM
MSSQL 服务器日志 威胁分析
终端 暗网
打印机 vCenter
SAP ERP 审计日志 虚拟机管理程序/ESXi
Oracle FireEye
系统日志存档文件 赛门铁克端点保护
Syslog 赛门铁克DLP
Windows 归档文件 Nessus
DB2 日志 Qualys
PostgreSQL 日志 OpenVAS
Password Manager Pro Nmap
ITOM解决方案 Nexpose
ADAudit Plus Trend Micro
ADManager Plus IIS W3C FTP 日志
AD自助服务增强版 IIS W3C Web 服务器日志
端点中央 IBM Maximo 日志
Service Desk Plus Syslog应用程序
Windows SQL Server
SonicWall 设备 Sysmon
Juniper设备 AWS CloudTrail
PaloAlto设备 AWS S3
Fortinet设备 AWS ELB
CheckPoint 设备 AWS ALB
Arista设备 AWS 自然语言处理
Barracuda 设备 Salesforce 事件日志
WatchGuard 设备 Salesforce 设置审计跟踪
Sophos 设备 Microsoft Entra ID
华为设备 Exchange Online
Meraki 设备 Microsoft 365 概览
NetScreen 设备 SharePoint Online

若需同时选择所有日志类型,请勾选"全选"复选框。

其他字段

1. 添加宏

三种规则类型的宏字段均包含字段名称列表。 为规则选择某项后,该字段名称将在规则触发时用于生成规则消息。 宏字段的完整选项会根据规则创建时选择的操作而变化。

Configuring the execution mode

2. 规则洞察:MITRE ATT&CK映射及其他

Configuring the rule information
图5:配置规则信息

此功能通过将选定规则映射至相关MITRE ATT&CK技术与战术, 提供规则背景信息。 您可据此理解该规则所针对的威胁行为,从而有效辅助威胁调查与响应。系统通过为所有规则类型提供标签标注、MITRE映射及增强型上下文细节,确保您能创建符合安全需求、结构严谨且可操作的规则集。

点击它将滑出规则洞察的字段框。

Configuring the rule information

规则属性

规则属性支持通过特定属性对规则进行映射和标记,从而实现更优化的 组织管理与可操作性洞察。该功能可高效管理规则并 辅助数据增强。

MITRE ATT&CK

  • 战术列表将以带搜索功能的下拉菜单形式呈现。
  • 选择战术后,其关联技术将显示在技术下拉菜单中。
  • 若技术包含子技术,则子技术将显示在该技术下列。
  • 若同时选中战术与技术,将出现添加选项 并将其加入列表。
  • 取消图标可从添加列表中删除一行。

更多信息请参阅MITRE ATT&CK TTP(S)框架集成

点击添加规则信息屏幕将显示如下内容

Configuring the rule information

规则信息

规则信息提供关于规则执行和缓解策略的额外上下文信息。它帮助技术人员进行配置更改并采取预防措施,以增强检测能力并保障环境安全。

  • 前提条件
    • 先决条件定义了安全规则有效运作所需满足的条件或要求。它们确保规则能按预期运行并产生准确检测结果。
    • 当特定报表未找到数据时,该信息将显示在安全规则的报表页面,同时也会在规则摘要的详细信息中呈现。
  • 缓解措施
    • 缓解措施概述了应对或消除安全规则检测到的威胁的步骤。它提供可操作的指导,以最大限度地减少安全事件的影响。

2. 规则预览

Rule preview option of a rule
图6:规则的预览选项
  • 在规则配置中选择操作后, "预览规则"选项才会显示。
  • 您还可通过日历选择日期范围。
  • 若增删附加条件,可通过重新加载预览选项刷新预览内容。
  • 检测报表适用于规则创建后触发的数据,但预览规则将同时基于已收集日志。
  • 高级规则创建中,系统将首先显示整体规则预览, 您可根据需要切换至对应操作预览。

执行模式:操作模式差异(持续模式 vs. 计划模式)

Configuring the execution mode
图7:配置执行模式

回环时间

定义:

回溯时间是为计划规则配置的额外日志搜索窗口扩展时段。例如,若计划间隔设为5分钟且回溯时间同样配置为5分钟,系统将分析总计10分钟的日志(当前5分钟加历史5分钟)。

目的:

确保在规则评估时纳入计划间隔开始前的事件, 最大限度降低跨计划边界检测遗漏的风险。

缺点:

启用循环检测可能导致连续计划间隔的数据重叠。由于同一组日志可能在多个间隔内被重复评估,这可能引发重复检测。

标准规则(单动作规则)

条件 连续模式 计划模式
阈值:

10分钟内10次事件

(计划5分钟, 环回0)

  • 每条日志均被分析。
  • 若日志匹配操作,数据将保留至 阈值达到为止。
  • 未触发数据的最大保留时长为24小时。
  • 若该时段内接收100个事件,则触发10份检测报表。
  • 若计划任务于11:05运行,则搜索查询将基于该动作过滤器 在11:00至11:05期间启动。
  • 阈值时间为10分钟,但根据计划执行时间, 实际仅检索5分钟日志。
  • 若结果包含10个或更多事件,则触发检测。
  • 若接收100个事件,则全部事件将触发单次检测报表。
  • 若在阈值时间内收到计划执行间隔的 部分日志,这些事件不会触发检测, 因先前计划数据不会保存在内存中。
阈值:

10分钟内发生10次事件

(计划间隔5分钟, 环回间隔5分钟)

上述流程无变更。
  • 若计划于11:05运行,则查询范围为10:55至11:05并应用操作过滤器。
  • 10:55至11:00的日志已在前次计划中完成分析, 因此可能出现重复记录。
阈值:

10分钟内发生10次事件

(计划 30 分钟, 环回 0 分钟)

上述流程保持不变。
  • 若计划于11:30运行,则按计划时间除以阈值时间分割查询:
  • Q1=11:00–11:10,
  • Q2=11:10–11:20,
  • Q3=11:20–11:30。
  • 当查询内动作与阈值匹配时,将触发检测报表。
  • 若在阈值时间内接收到查询间隔的局部日志, 这些事件不会触发检测, 因先前查询数据不会保存在内存中。
阈值:

10分钟内发生10次事件

(计划 25 分钟, 环回 0 分钟)

上述流程保持不变。 与上述情况相同,但查询拆分为:
  • Q1=11:00–11:10,
  • Q2=11:10–11:20,
  • Q3=11:20–11:25。
阈值:

10分钟内发生10次事件

(计划 30 分钟, 环回 20 分钟)

流程保持不变。 与上述情况相同,但查询拆分为:
  • Q1=10:40–10:50,
  • Q2=10:50–11:00,
  • Q3=11:00–11:10,
  • Q4=11:10–11:20,
  • Q5=11:20–11:30。

高级规则(多动作规则)

条件 连续模式 定时模式
操作1: 10分钟内发生10次 事件,随后5分钟 操作2: 10分钟内发生9次 事件,随后12分钟 操作3:

5分钟内发生5次事件

(计划10分钟, 环回0分钟)

  • 动作1连续执行标准规则流程相同。
  • 后续工作流程如下:
  • 动作2的首个事件(E1)必须在 “A1.E10时间 +FB1”内触发。
  • 其余事件需满足行动2条件,方视为成功。
  • 动作3首个事件(E1)必须在 "A2.E9时间 + FB2"内触发。
  • 其余事件需满足行动3阈值条件, 方可成功。
  • 示例:
  • A1事件触发时间段为10:50–10:54(E1=10:51, E10=10:54)。
  • 若A1成功,则A2.E1必须在10:54–10:59间触发 (例:A2.E5=10:58,A2.E9=10:58)。
  • 若A2成功,则A3.E1必须在10:58–11:10间触发。 (示例:A3.E1=11:09,A3.E2=11:14)。
  • 操作1的计划执行标准规则相同。
  • 当阈值时间≤计划时间+回溯时间时,生成单次查询。
  • 后续工作如下:
  • A2阈值必须在“A1.E1 +FB1”内满足。
  • FB1 / 阈值时间 < 1,则取后续时间为最大值;阈值不予考虑。
  • A3阈值须在“A2.E1 +FB2”内满足。
  • FB2 / 阈值时间 > 1(例如 2.4),则查询 按下述方式拆分:
  • A3.Q1=前5分钟,
  • A3.Q2=第二5分钟,
  • A3.Q3=剩余分钟数。
  • 日志记录若落在两个查询区间之间,事件将不触发。
  • 若计划时间已过,事件将不触发。
  • 计划运行机制:
  • 查询仅在计划时间+回环时间段内有效。
  • 示例:A1.Q1=10:50–11:00. A1.E1=10:51,剩余 A1.E2–E10=10:52–10:59.
  • 若A1成功,A2事件必须在10:51–10:56 (A1.E1+FB1)内触发。
  • 若A2成功,则A3事件必须在A3.Q1=10:53–10:58 A3.Q2=10:58–11:00期间触发。
  • 若A3匹配其中一个查询,则触发1次检测。
  • 若两个查询均匹配,则触发2次检测。
  • 生成的报表:
  • 报表1 – A1 、A2、A3Q1事件。
  • 报表2 – A1 、A2、A3Q2事件。
操作1: 10分钟内执行10次 事件,随后间隔25分钟 操作2: 10分钟内执行9次 事件,随后间隔12分钟 操作3:

5分钟内执行5次事件

(计划30分钟, 回环20分钟)

上述流程保持不变。
  • 日程于11:00开始。
  • A1 – 查询次数 = (日程 + 回环) / A1阈值 = (30+20)/10=5.A1.Q1=10:10–10:20,则: A1.Q2=10:20–10:30, A1.Q3=10:30–10:40, A1.Q4=10:40–10:50, A1.Q5=10:50–11:00.
  • 若事件在多个查询中匹配,则每个查询均视为独立检测。
  • 示例:A1.Q2、A1.Q3、A1.
  • Q5 均有成功数据(A1.Q2.E1=10:26, A1.Q3.E1=10:34, A1.Q5.E1=10:56)。
  • A2 – 若 FB1 > A2 阈值,则查询按 25/10=2.5 分配:
  • A2.Q1A=10:26–10:36,
  • A2.Q1B=10:36–10:46,
  • A2.Q1C=10:46–10:51。
  • A2.Q2A=10:34–10:44,
  • A2.Q2B=10:44–10:54,
  • A2.Q2C=10:54–10:59.
  • A2.Q3A=10:56–11:00(仅剩余日程)。
  • 若多个查询匹配,则每个查询均视为独立检测。
  • 示例:A2 .Q1B、A2.Q2B、A2.Q2C 均成功( 独立检测。
  • 示例:Q2B & A1.Q3,S3:A2.Q2C & A1.Q3)。
  • A3 – 查询拆分如FB1 > A2阈值,12/5=2.4:
  • A3.Q1A=10:41–10:46,
  • A3.Q1B=10:46–10:51,
  • A3.Q1C=10:51–10:53。
  • A3.Q2A=10:53–10:58,
  • A3.Q2B=10:58–11:00.
  • A3.Q3A=10:57–11:00.
  • 若日志记录落在时间段之间,则不会触发检测。
  • 若所有查询均匹配,则显示6次检测结果,其中A1和A2日志重复。

规则特定用例

异常规则

1. 暴力破解登录尝试

使用场景

某服务账户在极短时间内记录20次登录失败事件。这强烈表明正在发生暴力破解或凭证填充攻击。

异常规则应用

通过将"登录失败"异常规则与基于计数的异常模型结合,可快速检测账户被入侵的威胁。作为威胁响应措施,可阻断攻击者向网络内部渗透的窗口期。

注:除上述异常规则外,高级规则可通过关联失败登录与同一账户后续成功登录行为,将威胁检测提升至更高维度。

2. 可疑第三方账户活动

使用场景

某托管服务供应商账户在常规工作时间结束后开始配置变更。

异常规则应用

"配置变更"操作可结合时间基准异常模型,重点监控非工作时段活动。例如某用户常规工作时间为上午9点至下午6点,若其在凌晨3点执行操作则触发告警。此外,基于地理位置的异常模型可识别来自异常地理区域的变更操作。

这些偏离既定基线的异常行为将触发告警, 协助安全团队及时调查, 防范凭证泄露或会话劫持风险。

高级规则

1. 批量修改引发的数据外泄

使用场景

未经授权的用户在关键文件服务器上批量删除或重命名大量文件。

启用高级规则后
通过创建高级规则,关联"文件删除"操作与"批量文件重命名"事件, 同时设置10分钟窗口期内的总文件访问次数阈值及过滤条件, 可精准定位未经授权的关键服务器访问行为。

2. 质量保证环境中的未经授权应用程序部署

用例

非DevOps用户在预发布环境中部署/运行未经授权的可执行文件。

使用高级规则
通过高级规则关联QA环境标记机器上的"可执行文件创建"与"计划任务创建"事件, 结合用户角色过滤器及10分钟内事件序列阈值,可早期识别此类非法部署行为。

延伸阅读

本文阐述了标准规则、异常规则和高级规则的工作原理、配置选项 及实际应用场景,包括暴力破解尝试、可疑账户活动 和数据外泄等。