本文介紹了如何將日志上報到安全中心做安全風險檢測。
日志接入
展示每個日志源的可用狀態、識別到的資產數量、識別到的威脅信息。
參數 | 說明 |
日志源 | 自定義的名稱,用于表示日志的來源信息。 |
識別資產數量 | 通過分析該日志源的日志,識別到的資產數量總和。 |
累計分析 | 累計對該日志源的識別到的資產進行安全檢測的數量之和。 |
未處理威脅預警 | 基于當前日志源的日志發現的威脅預警。 |
狀態 | 當前日志源最近一次獲取日志是否成功。 |
開通日志接入&檢測
如果您還沒有開通,那么請點擊立即購買。
添加日志源
通過日志源設置獲取原始日志的方式、原始日志的格式、威脅檢測必須的字段映射關系。
1,單擊添加日志源創建新的日志源。
2,在彈出的彈窗中設置日志源名稱、獲取日志的方式,單擊下一步
獲取日志的方式支持:從SLS、Kafka中導入。
3,設置獲取原始日志所需的必要信息,單擊下一步
4,解析獲取到的日志,并且設置日志key和關鍵字段的映射關系。單擊確定則添加了新的日志源。
5,安全中心會定時獲取日志并進行分析,分析結果展示在日志接入頁面進行統計。
支持的日志類型
必填字段包括:時間,設備ID,日志類型。
日志源類型 | 日志類型 | 日志字段 | 示例 |
網絡訪問日志 | 設備網絡訪問日志 | 時間 | 發生時間,例如2021-10-14 11:05:30,接入時指定時間格式。 |
設備ID | 設備的唯一標識,例如設備的MAC地址4a:83:e7:3f:9****。 | ||
源IP地址 | 源IP地址,例如192.168.0.2。 | ||
源端口 | 源端口,例如22432。 | ||
目標IP地址 | 目標IP地址,例如8.8.xx.xx。 | ||
目標端口 | 目標端口,例如80。 | ||
目標URL | 目標URL,例如www.aliyun.com。 | ||
三方物聯網平臺日志 | 設備連接 | 時間 | 發生時間,例如2021-10-14 11:05:30,接入時指定時間格式。 |
設備ID | 設備標識,例如設備的MAC地址4a:83:e7:3f:9****。 | ||
設備IP地址 | 設備IP地址,例如120.xx.xx.18。 | ||
傳輸協議 | 傳輸協議,例如tcp,tls。 | ||
結果 | 連接是否成功,需指定成功失敗的字段映射關系。 | ||
原因 | 連接失敗的原因,需指定認證失敗對應的原因描述。 認證失敗:auth_failure | ||
設備離線 | 時間 | 發生時間,例如2021-10-14 11:05:30,接入時指定時間格式。 | |
設備ID | 設備標識,例如設備的MAC地址4a:83:e7:3f:9****。 | ||
設備IP地址 | 設備IP地址,例如120.xx.xx.18。 | ||
原因 | 連線原因描述,需指定被相同設備身份連接踢下線對應的原因描述。 | ||
設備發送消息 | 時間 | 發生時間,例如2021-10-14 11:05:30,接入時指定時間格式。 | |
設備ID | 設備標識,例如設備的MAC地址4a:83:e7:3f:9****。 | ||
設備IP地址 | 設備IP地址,例如120.xx.xx.18。 | ||
數據大小 | 發送數據大小,接入時選擇數據單位,例如1000。 | ||
向設備發送消息 | 時間 | 發生時間,例如2021-10-14 11:05:30,接入時指定時間格式。 | |
設備ID | 設備標識,例如設備的MAC地址4a:83:e7:3f:9****。 | ||
設備IP地址 | 設備IP地址,例如120.xx.xx.18。 | ||
數據大小 | 發送數據大小,接入時選擇數據單位,例如1000。 |
支持的風險檢測
如果您需要開啟某個風險檢測項目,那么您需要在日志源中提供全部必須字段并且完成字段映射。不同檢測項所需的必須字段如下表所示:
日志類型 | 日志字段 | 風險檢測類別 | 風險檢測項 | 必須字段 | 說明 |
網絡訪問日志 | 自定義格式,支持字段見上表 | 網絡訪問 | 惡意IP連接檢測 | 時間,設備ID,日志類型(網絡訪問),目標IP地址。 | 識別網絡訪問中存在的惡意IP地址。 |
訪問惡意域名/URL檢測 | 時間,設備ID,日志類型(網絡訪問),目標URL。 | 識別網絡訪問中存在的惡意域名/URL。 | |||
三方物聯網平臺日志 | 自定義格式,支持字段見上表 | 平臺側風險 | 不安全連接檢測 | 時間,設備ID,日志類型(設備上線),傳輸協議。 | 識別設備與物聯網平臺的連接是否安全。 |
異常設備上線行為檢測 | 時間,設備ID,日志類型(設備上線)。 | 單位時間段內設備上線次數異常。 | |||
異常設備下線行為檢測 | 時間,設備ID,日志類型(設備離線)。 | 單位時間段內設備下線次數異常。 | |||
設備頻繁認證失敗檢測 | 時間,設備ID,日志類型(設備上線),結果。 | 單位時間段內設備認證錯誤次數異常。 | |||
設備身份暴力破解檢測 | 時間,設備ID,日志類型(設備上線),結果,原因(認證失敗)。 | 識別針對設備的暴力破解攻擊。 | |||
惡意IP連接平臺檢測 | 時間,設備ID,日志類型(設備上線),源IP。 | 識別連接到平臺的IP地址是否存在惡意IP。 | |||
異常設備上報消息頻率檢測 | 時間,設備ID,日志類型(設備發送消息)。 | 單位時間段內設備上報消息次數異常 | |||
異常設備上報消息數據量檢測 | 時間,設備ID,日志類型(設備發送消息),數據大小。 | 單位時間段內設備上報消息平均數據量大小異常。 | |||
異常平臺推送消息頻率檢測 | 時間,設備ID,日志類型(向設備發送消息)。 | 單位時間段內向設備推送消息次數異常。 | |||
異常平臺推送消息數據量檢測 | 時間,設備ID,日志類型(向設備發送消息),數據大小。 | 單位時間段內向設備推送消息平均數據量大小異常。 |
詳情
展示該日志源下所有的資產信息、威脅信息。
基于日志源識別的威脅信息,您需要手動處置。如關閉不安全的接口/服務、卸載不必要的組件/應用、設置終端的網絡訪問策略。