异常检测内容
异常检测附加技术包及配套的异常检测聚焦模块,提供了在使用 异常检测 功能时所需的实用组件,该功能属于 安全数据湖 安全体系。异常检测聚焦模块提供预定义的异常检测规则,可与不同Illuminate套件配合使用。
异常检测附加组件
异常检测附加组件提供了用于 异常检测规则 的流和索引集,是使用异常检测聚焦点中提供的异常检测规则的必要条件。若您使用异常检测功能,即使未采用Illuminate异常检测聚焦点提供的规则,也应启用该附加组件。
异常特征字段
异常检测附加组件包含的流水线会添加异常检测聚焦点规则所使用的特征字段。这些通常是产品特定字段,用以标记特定类型事件(如登录失败)的发生,其字段名均以
anomdet_
.
流配置
本技术包包含一个流:
-
" 安全数据湖 异常检测消息"
索引集配置
本技术包包含一个索引集定义:
-
" 安全数据湖 异常检测消息"
异常检测聚焦点内容包
异常检测规则
异常检测聚焦点提供预定义的异常检测规则,旨在与现有Illuminate处理包协同工作。具体规则清单请参阅 相关文档 .
异常检测规则更新
警告
更新异常检测规则前 务必完整阅读 以下说明!
Illuminate 5.2.0及后续版本包含新版异常检测聚焦点包,其中含有5.2.0之前版本规则的更新版。
原异常检测聚焦点包已更名为"核心:异常检测聚焦点(旧版)",更新后的规则位于名为"核心:异常检测聚焦点"的Illuminate包中。
完整历史规则与更新规则对照表请参阅更新版规则矩阵。
更新异常检测规则
若您已启用并运行Illuminate 5.2.0之前版本的任何异常检测规则,请按以下步骤启用本内容包中包含的新发布规则:
-
在您的 Enterprise 菜单下进入 Security Data Lake 网页界面中的Illuminate安装程序页面。
-
如未更新,请下载并安装最新版Illuminate。
-
启用Illuminate包"Core:Anomaly Detection Spotlight"但 不要停用 "Core:Anomaly Detection Spotlight (Legacy)"包。
-
前往 Anomalies 页面(位于 Security 菜单下的 Security Data Lake 网页界面)。请注意此处列出了一组新的异常检测规则。
-
记录当前正在运行的异常检测规则。
-
随后参照更新后的规则列表,确定每条旧规则对应的更新规则。
-
针对每条正在运行的旧规则,每次处理一条:
-
启用对应规则的更新版本。
-
等待新启用的规则完成训练(此过程可能至少需要24小时)。
-
停用旧规则(部分更新后的单一规则会替代多个旧规则)。
-
-
重复此过程直至所有旧版异常检测规则均被更新并停用
-
当所有旧规则停用且对应更新规则启用后,返回Illuminate安装程序页面停用"Core:Anomaly Detection Spotlight (Legacy)"包。
异常检测器
本文包含 异常检测 功能中所有可用检测器的完整列表。
关于异常检测生成的每个事件日志消息中所有常见字段的完整索引,请参阅 对应指南 .
检测器索引
|
检测器名称 |
描述 |
索引模式 |
要求 |
异常专用字段 |
|---|---|---|---|---|
|
Linux Auditbeat - 文件删除 V2 |
该检测用于监控环境中Linux主机上异常的文件删除活动。 |
|
1. 配置了系统模块(非Beats OSS组件)并启用Sockets数据集的Linux Auditbeat,将日志发送至 安全数据湖 服务器Beats输入接口 2. 启用Linux Auditbeat技术包和异常检测附加包的Illuminate 2.2.2或更高版本 |
监控字段:
新增字段:
|
|
Windows安全事件日志 - 认证失败 v2 |
该检测规则用于发现用户认证失败次数的异常情况。 |
|
1. 配置受支持代理并将日志发送至 安全数据湖 :(a)Winlogbeat将日志发送至 安全数据湖 服务器Beats输入接口,(b)NXlog将日志发送至 安全数据湖 服务器GELF输入接口 2. Illuminate 2.2.2或更高版本,需启用Windows技术包及异常检测附加包 3. 配置Windows系统以审计用户身份验证失败事件 |
监控字段:
新增字段:
|
|
Windows安全事件日志-用户文件活动 |
该检测通过监控Windows事件ID 4663,监测环境中Windows主机异常数量的文件活动(读取、写入、删除)。 |
|
1. 需配置受支持代理并发送日志至 安全数据湖 :(a)Winlogbeat发送日志至 安全数据湖 服务器Beats输入,(b)NXlog发送日志至 安全数据湖 服务器GELF输入 2. Illuminate 2.2.2或更高版本,需启用Windows技术包及异常检测附加包 3. 配置Windows系统以审计对象访问事件 |
监控字段:
新增字段:
监控字段:
新增字段:
监控字段:
新增字段:
|
|
Windows安全事件日志 - 对象权限变更V2 |
该检测通过监控Windows事件ID 4670,监测环境中Windows主机发生的对象权限变更活动。 |
|
1. 需配置受支持的代理并将日志发送至 安全数据湖 :(a)Winlogbeat将日志发送至 安全数据湖 服务器Beats输入端,(b)NXlog将日志发送至 安全数据湖 服务器GELF输入端 2. 需启用Illuminate 2.2.2或更高版本(含Windows技术包及异常检测附加包) 3. Windows系统需配置为监控对象权限变更 |
特征:
字段名称:
聚合类型:
监控字段:
新增字段:
|
|
Linux Auditbeat - 认证失败V2 |
该检测通过监控失败的登录尝试,监测环境中Linux主机的异常登录活动。 |
|
1. 需配置Linux Auditbeat(启用系统模块[非Beats OSS组件]及套接字数据集)并将日志发送至 安全数据湖 服务器Beats输入端 2. 需启用Illuminate 2.2.2或更高版本(含Linux Auditbeat技术包及异常检测附加包) |
功能:
字段名称:
聚合类型:
监控字段:
新增字段:
|
|
Linux Auditbeat - 异常数据传输 V2 |
该检测通过监控网络流量总量,监测环境中Linux主机的异常网络活动。 |
|
1. 配置了系统模块(非Beats OSS组件)并启用Sockets数据集的Linux Auditbeat,将日志发送至 安全数据湖 服务器Beats输入 2. 启用Linux Auditbeat技术包和异常检测附加包的Illuminate 2.2.2或更高版本 |
监控字段:
新增字段:
|
|
Office 365 - 认证活动 V2 |
该检测监控Microsoft 365用户的异常认证或认证失败模式。 |
|
1. 安全数据湖 已配置为从Microsoft 365服务收集日志 2. 启用O365处理包和异常检测附加包的Illuminate 2.2.2版本 |
监控字段:
新增字段:
监控字段:
新增字段:
|
|
Okta - 认证失败 V2 |
该检测监控Okta事件中异常用户认证失败模式。 |
|
1. 配置支持代理并发送日志至 安全数据湖 :(a.)Winlogbeat发送日志至 安全数据湖 服务器Beats输入端,(b.)NXlog发送日志至 安全数据湖 服务器GELF输入端 2. Illuminate 2.2.2或更高版本,启用Windows技术包和异常检测附加包 3. 配置Windows系统审计文件写入活动 |
监控字段:
新增字段:
|
|
Symantec ProxySG - 数据外泄 V2 |
该检测监控Bluecoat ProxySG日志中主机间异常数据传输。按用户进行异常分析;事件通过分类字段
|
|
1. Bluecoat ProxySG发送日志至 安全数据湖 服务器 2. 启用Symantec ProxySG技术包和异常检测附加包的Illuminate 2.2.2或更高版本 |
监控字段:
新增字段:
|
|
Fortigate - 异常数据传输V2 |
该检测监控与Fortinet Fortigate防火墙相关的流量。按主机执行异常分析;事件通过分类字段
|
|
1. 配置Fortinet Fortigate并将日志发送至 安全数据湖 服务器 2. 安装启用Fortinet Fortigate技术包和异常检测附加包的Illuminate 2.2.2或更高版本 |
监控字段:
新增字段:
|
|
Cisco ASA - 异常数据传输V2 |
该检测监控Cisco ASA设备报告的流量。按网络连接执行异常分析;事件通过字段
|
|
1. 配置并启用Cisco ASA设备并将日志发送至 安全数据湖 服务器 2. 启用Cisco ASA技术包和异常检测附加包的Illuminate 2.2.2或更高版本 |
监控字段:
新增字段:
|
|
Palo Alto - 数据外泄检测 V2 |
本检测通过监控Palo Alto日志,追踪主机间异常数据传输行为。基于主机维度进行异常分析;事件通过字段
|
|
1. 运行9.1.x或更高版本的Palo Alto设备需将日志发送至 安全数据湖 服务器 2. 启用Palo Alto处理包及异常检测附加包的Illuminate 2.2.2版本 |
监控字段:
新增字段:
|
|
Palo Alto - 认证失败检测 V2 |
本检测监控与Palo Alto GlobalProtect客户端相关的失败登录尝试认证活动量。基于用户维度进行异常分析;事件通过字段
|
|
1. 需配置支持代理并将日志发送至 安全数据湖 :(a)Winlogbeat将日志发送至 安全数据湖 服务器Beats输入端,(b)NXlog将日志发送至 安全数据湖 服务器GELF输入端 2. Illuminate 2.2.2或更高版本,需启用Windows技术包及异常检测附加包 3. 配置为审计文件写入活动的Windows系统 |
监控字段:
新增字段:
|
异常事件消息字段
所有由 异常检测 功能生成的异常事件消息均包含通用字段及根据检测器来源的特定字段。这些异常字段详见 异常检测器索引 (具体字段取决于启用的检测器)。所有异常事件消息共有的通用字段如下表所示。
通用字段
|
字段名称 |
取值 |
说明 |
示例 |
|---|---|---|---|
|
|
时间戳 |
异常发生的近似时间。若客户使用OpenSearch 1.2及以上版本,该值直接来自OpenSearch;在OpenSearch 1.1中,该值为
|
2025-10-09 15:23:28 |
|
|
数值 0.00 - 1.00 |
反映
|
0.5 |
|
|
时间戳 |
聚合数据检测范围的结束时间。 |
2025-10-09 15:25:28 |
|
|
时间戳 |
聚合数据检测范围的开始时间。 |
2025-10-09 15:21:20 |
|
|
字符串 |
异常检测器的唯一标识符。非人类可读,仅在直接使用OpenSearch API时有用。 |
xBcAin8BhVrcFRn8vhUX |
|
|
字符串 |
异常检测器的名称。这些名称由 安全数据湖 控制,是一个有限且明确定义的集合。 |
|
|
|
时间戳 |
生成异常结果的特定检测器运行的实际结束时间。 |
2025-10-09 15:26:28 |
|
|
时间戳 |
生成异常结果的特定检测器运行的实际开始时间。 |
2025-10-09 15:23:28 |
|
|
字符串 |
异常检测引擎分析的字段名称(可能对用户无用)。 |
|
|
|
数值 0.00 - 1.00 |
0到1之间的数值,表示数据点的异常程度。0表示“非异常”,非零值表示异常的相对严重程度。这是
|
0.5 |
|
|
数值 |
表示异常的相对严重程度。分数越高,数据点越异常。 |
3.875 |
|
|
字符串 |
用于识别异常消息以进行标识和管道路由。(与字段source的值相同) |
cell |
|
|
字符串 |
所有 安全数据湖 消息中的标准消息字段。默认格式为[<detector_name>] Anomaly - - <anomaly_score> |
|
|
|
字符串 |
所有
安全数据湖
消息中的标准源字段。始终设置为
|
|
|
|
时间戳 |
所有 安全数据湖 消息中的标准时间戳字段。该字段将被设置为 安全数据湖 从OpenSearch提取异常数据的时间,与异常发生的实际时间无直接关联。 |
2025-10-09 15:31:52 |