阿里云日志服务SLS生成威胁情报-云淘科技

日志审计服务支持对接入日志服务的云产品日志进行威胁情报检测，有效识别云产品使用过程中存在的潜在威胁。日志审计服务还支持以告警方式将检测到的异常及时通知给相关人员，提高威胁检查效率和响应速度。

重要自2023年03月30日起，日志审计服务不再支持开启威胁情报功能。如果您已经开启威胁情报，可继续使用或关闭威胁情报。

限制与说明

对于SLB、OSS、PolarDB-X 1.0等支持区域化存储的云产品，必须开启中心化存储功能后，才支持威胁情报功能。如何开启中心化存储功能，请参见首次配置。
对于RDS、操作审计等仅支持中心化存储的云产品，开启威胁情报功能后，系统将在日志审计中心Project下自动创建transit_log Logstore及威胁情报富化的加工任务。关于威胁情报富化的加工任务的更多信息，请参见增值内容函数。
日志审计服务中的威胁情报功能是基于阿里云威胁情报服务提供最近30天的威胁情报信息，每天更新一次。如果您需要详细的威胁情报信息，请开通阿里云威胁情报服务进行查询。具体操作，请参见开通免费试用。
威胁情报功能所支持的云产品以控制台实际显示为准。

开启威胁情报功能后，当云产品存在潜在威胁时，对应的云产品日志中将生成威胁情报相关的字段。

IP地址威胁情报

表 1. IP地址威胁情报
字段	说明
confidence	威胁情报数据置信度。取值范围为[0, 100]之间的整数值，值越大置信度越高。
severity	威胁级别。包括： 0：无威胁 1：低危险 2：中危险 3：高危险 4：严重威胁
family	恶意家族，固定取值为空。
ioc_type	IP地址类型，目前仅支持IPv4类型。
ioc_raw	威胁情报信息的IP地址
intel_type	风险标签类型。包括： web_attack：网络攻击的IP地址 tor：TOR（Top of Rack）节点的IP地址 mining：挖矿的IP地址 c2：C2 IP地址 malicious：恶意下载源的IP地址 exploit：发起Exploit攻击的IP地址 webshell：发起Webshell攻击的IP地址 scan：网络服务扫描的IP地址标签之间使用半角分号（;）分隔。
country	IP地址所属的国家
province	IP地址所属的省份
city	IP地址所属的城市
isp	IP地址所属网络的电信运营商

域名威胁情报

表 2. 域名威胁情报
字段	说明
confidence	威胁情报数据置信度，取值范围为[0, 100]之间的整数值，值越大置信度越高。
severity	威胁级别。包括： 0：无威胁 1：低危险 2：中危险 3：高危险 4：严重威胁
family	恶意家族，固定取值为空。
ioc_type	域名，固定取值为domain。
ioc_raw	获取威胁情报信息的域名
intel_type	风险标签类型，标签之间使用半角分号（;）分隔。更多信息，请参见域名风险标签。
root_domain	扫描域名所属的根域名

内容没看懂？不太想学习？想快速解决？有偿解决：联系专家

阿里云企业补贴进行中：马上申请

腾讯云限时活动1折起，即将结束：马上收藏

 同尘科技为腾讯云授权服务中心。

购买腾讯云产品享受折上折，更有现金返利:同意关联，立享优惠

转转请注明出处：https://www.yunxiaoer.com/165207.html