异常检测内容
异常检测附加技术包及配套的异常检测聚焦模块,提供了利用 异常检测 功能时所需的组件,该功能属于 安全数据湖 安全体系。异常检测聚焦模块提供预定义的异常检测规则,可与不同Illuminate套件配合使用。
异常检测附加组件
该附加组件提供 异常检测规则 所需的流和索引集,是使用异常检测聚焦模块所提供规则的必要条件。若启用异常检测功能,即使不使用Illuminate异常检测聚焦模块提供的规则,也应启用此附加组件。
异常特征字段
异常检测附加组件包含的流水线会添加特征字段,这些字段被异常检测聚焦模块中的规则所使用。这些通常是产品特定字段,用于指示特定类型事件的发生(例如登录失败),其字段名前缀为
anomdet_
.
流配置
该技术包包含一个数据流:
-
" 安全数据湖 异常检测消息"
索引集配置
该技术包包含一个索引集定义:
-
" 安全数据湖 异常检测消息"
异常检测聚焦内容包
异常检测规则
异常检测聚焦提供预定义的异常检测规则,这些规则设计用于与现有Illuminate处理包协同工作。有关包含规则的详细列表,请参阅 相关文档 .
异常检测规则更新
警告
请完整阅读以下说明 后再更新异常检测规则!
Illuminate 5.2.0及后续版本包含一个新的异常检测聚焦包,其中含有先前在Illuminate 5.2.0之前版本中规则的更新版本。
原先的异常检测聚焦包已重命名为"核心:异常检测聚焦(旧版)",更新后的规则位于名为"核心:异常检测聚焦"的Illuminate包中。
有关先前实现规则及其更新版本的完整列表,请参阅更新后的规则矩阵。
更新异常检测规则
如果您已启用并正在运行来自Illuminate 5.2.0之前版本的任何异常检测规则,请完成以下步骤以启用此内容包中包含的新发布规则:
-
导航至 企业 菜单下的Illuminate安装程序页面 安全数据湖 网页界面。
-
若尚未安装,请下载并安装最新版本的Illuminate。
-
启用Illuminate包"Core:Anomaly Detection Spotlight",但 不要禁用 "Core:Anomaly Detection Spotlight (Legacy)"包。
-
导航至 异常 页面,位于 安全 菜单下的 安全数据湖 网页界面。注意此处会列出新的异常检测规则集。
-
记录当前正在运行的异常检测规则。
-
随后,参考更新后的规则列表,确定每条旧规则对应的更新规则。
-
每次处理一条规则,针对当前运行的每条旧规则:
-
启用对应规则的更新版本。
-
等待新启用的规则完成训练(此过程可能至少需要24小时)。
-
禁用旧规则(部分更新后的单一规则会替代多个旧规则)。
-
-
重复此流程,直至所有旧版异常检测规则均完成更新并禁用
-
当所有旧规则均已禁用且对应更新规则启用后,返回Illuminate安装页面,禁用"Core:Anomaly Detection Spotlight (Legacy)"包。
异常检测器
本文包含 异常检测 功能中所有可用检测器的完整列表。
关于异常检测生成的每条事件日志消息中填充的通用字段完整索引,请参阅 对应指南 .
检测器索引
|
检测器名称 |
描述 |
索引模式 |
前提条件 |
异常专属字段 |
|---|---|---|---|---|
|
Linux Auditbeat - 文件删除 V2 |
本检测规则用于监控Linux主机环境中异常的文件删除活动。 |
|
1. 已配置系统模块(非Beats OSS组件)并启用Sockets数据集的Linux Auditbeat,且日志正发送至 安全数据湖 服务器的Beats输入接口 2. 已启用Linux Auditbeat技术包和异常检测附加包的Illuminate 2.2.2或更高版本 |
监控字段:
新增字段:
|
|
Windows安全事件日志 - 认证失败 v2 |
该检测规则通过用户维度统计认证失败次数的异常情况。 |
|
1. 已配置支持代理并将日志发送至 安全数据湖 :(a)Winlogbeat将日志发送至 安全数据湖 服务器的Beats输入接口;(b)NXlog将日志发送至 安全数据湖 服务器的GELF输入接口 2. 已启用Windows技术包和异常检测附加包的Illuminate 2.2.2或更高版本 3. 已配置审计用户认证失败的Windows系统 |
监控字段:
新增字段:
|
|
Windows安全事件日志 - 用户文件活动 |
该检测通过监控Windows事件ID 4663,监测环境中Windows主机上异常数量的文件活动(读取、写入、删除)。 |
|
1. 配置并支持将日志发送至 安全数据湖 的代理:(a)Winlogbeat将日志发送至 安全数据湖 服务器Beats输入,(b)NXlog将日志发送至 安全数据湖 服务器GELF输入 2. 启用Windows技术包和异常检测附加包的Illuminate 2.2.2或更高版本 3. 配置为审计对象访问的Windows系统 |
监控字段:
新增字段:
监控字段:
新增字段:
监控字段:
新增字段:
|
|
Windows安全事件日志 - 对象权限变更V2 |
该检测通过监控Windows事件ID 4670,监测环境中Windows主机上的对象权限变更活动。 |
|
1. 配置并支持将日志发送至 安全数据湖 :(a)Winlogbeat将日志发送至 安全数据湖 服务器Beats输入端,(b)NXlog将日志发送至 安全数据湖 服务器GELF输入端 2. 启用Illuminate 2.2.2或更高版本,并加载Windows技术包及异常检测附加包 3. 配置为监控对象权限变更的Windows系统 |
功能:
字段名称:
聚合类型:
监控字段:
新增字段:
|
|
Linux Auditbeat - 认证失败V2 |
该检测通过监控失败登录事件,监测Linux主机环境中异常的登录活动 |
|
1. 配置Linux Auditbeat系统模块(非Beats OSS组件)并启用套接字数据集,将日志发送至 安全数据湖 服务器Beats输入端 2. 启用Illuminate 2.2.2或更高版本,并加载Linux Auditbeat技术包及异常检测附加包 |
功能:
字段名称:
聚合类型:
监控字段:
新增字段:
|
|
Linux Auditbeat - 异常数据传输 V2 |
该检测通过监控网络流量总量,监测环境中Linux主机的异常网络活动。 |
|
1. 配置系统模块(非Beats OSS组件)并启用Sockets数据集的Linux Auditbeat,将日志发送至 安全数据湖 服务器Beats输入端 2. 启用Linux Auditbeat技术包和异常检测附加包的Illuminate 2.2.2或更高版本 |
监控字段:
新增字段:
|
|
Office 365 - 认证活动 V2 |
该检测监测Microsoft 365用户的异常认证或认证失败模式。 |
|
1. 安全数据湖 已配置为从Microsoft 365服务收集日志 2. 启用O365处理包和异常检测附加包的Illuminate 2.2.2版本 |
监控字段:
新增字段:
监控字段:
新增字段:
|
|
Okta - 认证失败 V2 |
该检测监控Okta事件中异常用户认证失败模式。 |
|
1. 配置支持代理并将日志发送至 安全数据湖 :(a)Winlogbeat将日志发送至 安全数据湖 服务器Beats输入,(b)NXlog将日志发送至 安全数据湖 服务器GELF输入 2. 启用Illuminate 2.2.2或更高版本(含Windows技术包及异常检测附加包) 3. 配置Windows系统审计文件写入活动 |
监控字段:
新增字段:
|
|
Symantec ProxySG - 数据外泄 V2 |
该检测监控Bluecoat ProxySG日志中主机间异常数据传输。按用户进行异常分析;事件通过分类字段
|
|
1. Bluecoat ProxySG将日志发送至 安全数据湖 服务器 2. 启用Illuminate 2.2.2或更高版本(含Symantec ProxySG技术包及异常检测附加包) |
监控字段:
新增字段:
|
|
Fortigate - 异常数据传输 V2 |
该检测监控与Fortinet Fortigate防火墙相关的流量。按主机执行异常分析;事件按分类字段
|
|
1. 配置Fortinet Fortigate并将日志发送至 安全数据湖 服务器 2. 安装Illuminate 2.2.2或更高版本,并启用Fortinet Fortigate技术包和异常检测附加包 |
监控字段:
新增字段:
|
|
Cisco ASA - 异常数据传输 V2 |
该检测监控Cisco ASA设备报告的流量。按网络连接执行异常分析;事件按字段
|
|
1. 配置并启用Cisco ASA设备,并将日志发送至 安全数据湖 服务器 2. 安装Illuminate 2.2.2或更高版本,并启用Cisco ASA技术包和异常检测附加包 |
监控字段:
新增字段:
|
|
Palo Alto - 数据外泄 V2 |
该检测监控Palo Alto日志中主机间任何异常的数据传输。按主机执行异常分析;事件按字段
|
|
1. 运行9.1.x或更高版本的Palo Alto设备将日志发送至 安全数据湖 服务器 2. 启用Palo Alto处理包及异常检测附加包的Illuminate 2.2.2系统 |
监控字段:
新增字段:
|
|
Palo Alto - 认证失败V2 |
本检测监控与Palo Alto GlobalProtect客户端相关的失败登录尝试的认证活动量。按用户进行异常分析;事件通过字段
|
|
1. 配置并发送日志至 安全数据湖 的支持代理:( a.) Winlogbeat将日志发送至 安全数据湖 服务器Beats输入端,( b.) NXlog将日志发送至 安全数据湖 服务器GELF输入端 2. 启用Windows技术包及异常检测附加包的Illuminate 2.2.2或更高版本 3. 配置审计文件写入活动的Windows系统 |
监控字段:
新增字段:
|
异常事件消息字段
所有由 异常检测 功能生成的异常事件消息都包含通用字段和额外的检测器特定字段,具体取决于消息来源的检测器。这些异常字段的描述请参阅 异常检测器索引 (具体字段取决于启用的检测器)。所有异常事件消息中填充的通用消息字段如下列索引所述。
通用字段
|
字段名称 |
取值 |
备注 |
示例 |
|---|---|---|---|
|
|
时间戳 |
异常发生的大致时间。若客户使用OpenSearch 1.2或更高版本,该值直接来自OpenSearch。在OpenSearch 1.1中,该值为
|
2025-10-09 15:23:28 |
|
|
数值 0.00 - 1.00 |
表示
|
0.5 |
|
|
时间戳 |
聚合数据检测范围的结束时间。 |
2025-10-09 15:25:28 |
|
|
时间戳 |
聚合数据检测范围的起始时间。 |
2025-10-09 15:21:20 |
|
|
字符串 |
异常检测器的唯一标识符。非人类可读,仅适用于直接使用OpenSearch API的场景。 |
xBcAin8BhVrcFRn8vhUX |
|
|
字符串 |
异常检测器的名称。这些名称由 安全数据湖 控制,属于有限且明确定义的集合。 |
|
|
|
时间戳 |
生成异常结果的特定检测器运行的实际结束时间。 |
2025-10-09 15:26:28 |
|
|
时间戳 |
生成异常结果的特定检测器运行的实际开始时间。 |
2025-10-09 15:23:28 |
|
|
字符串 |
异常检测引擎分析的字段名称(可能对用户无直接意义)。 |
|
|
|
数值 0.00 - 1.00 |
介于0到1之间的数值,表示数据点的异常程度。0表示“非异常”,非零值表示异常的相对严重程度。此为
|
0.5 |
|
|
数值型 |
表示异常的相对严重程度。分数越高,数据点的异常程度越高。 |
3.875 |
|
|
字符串型 |
用于标识异常消息以便识别和管道路由。(与字段source值相同) |
单元格 |
|
|
字符串型 |
所有 安全数据湖 消息中的标准消息字段。默认格式为[<检测器名称>] 异常 - - <异常分数> |
|
|
|
字符串型 |
所有
安全数据湖
消息中的标准来源字段。始终设置为
|
|
|
|
时间戳类型 |
所有 安全数据湖 消息。将被设置为从OpenSearch提取异常数据的时间,与异常发生的实际时间无直接关联。 安全数据湖 从OpenSearch提取异常数据的时间,与异常发生的实际时间无直接关联。 |
2025-10-09 15:31:52 |