生成威胁情报

限制与说明

• 对于SLB、OSS、PolarDB-X 1.0等支持区域化存储的云产品，必须开启中心化存储功能后，才支持威胁情报功能。如何开启中心化存储功能，请参见首次配置。
• 对于RDS、操作审计等仅支持中心化存储的云产品，开启威胁情报功能后，系统将在日志审计中心Project下自动创建transit_log Logstore及威胁情报富化的加工任务。关于威胁情报富化的加工任务的更多信息，请参见增值内容函数。
• 日志审计服务中的威胁情报功能是基于阿里云威胁情报服务提供最近30天的威胁情报信息，每天更新一次。如果您需要详细的威胁情报信息，请开通阿里云威胁情报服务进行查询。具体操作，请参见开通免费试用。
• 威胁情报功能所支持的云产品以控制台实际显示为准。

关闭威胁情报

1. 登录日志服务控制台。
2. 在日志应用区域，单击日志审计服务。
3. 在云产品接入 > 全局配置页面，单击修改。
4. 在云产品列表中，找到目标云产品，关闭威胁情报开关。
5. 单击确定。

威胁情报字段

开启威胁情报功能后，当云产品存在潜在威胁时，对应的云产品日志中将生成威胁情报相关的字段。

• IP地址威胁情报

  表 1. IP地址威胁情报

  字段	说明
  confidence	威胁情报数据置信度。取值范围为[0, 100]之间的整数值，值越大置信度越高。
  severity	威胁级别。包括： 0：无威胁 1：低危险 2：中危险 3：高危险 4：严重威胁
  family	恶意家族，固定取值为空。
  ioc_type	IP地址类型，目前仅支持IPv4类型。
  ioc_raw	威胁情报信息的IP地址
  intel_type	风险标签类型。包括： web_attack：网络攻击的IP地址 tor：TOR（Top of Rack）节点的IP地址 mining：挖矿的IP地址 c2：C2 IP地址 malicious：恶意下载源的IP地址 exploit：发起Exploit攻击的IP地址 webshell：发起Webshell攻击的IP地址 scan：网络服务扫描的IP地址 标签之间使用半角分号（;）分隔。
  country	IP地址所属的国家
  province	IP地址所属的省份
  city	IP地址所属的城市
  isp	IP地址所属网络的电信运营商

• 域名威胁情报

  表 2. 域名威胁情报

  字段	说明
  confidence	威胁情报数据置信度，取值范围为[0, 100]之间的整数值，值越大置信度越高。
  severity	威胁级别。包括： 0：无威胁 1：低危险 2：中危险 3：高危险 4：严重威胁
  family	恶意家族，固定取值为空。
  ioc_type	域名，固定取值为domain。
  ioc_raw	获取威胁情报信息的域名
  intel_type	风险标签类型，标签之间使用半角分号（;）分隔。更多信息，请参见域名风险标签。
  root_domain	扫描域名所属的根域名

  表 3. 域名风险标签

  风险标签	说明
  malware	恶意软件
  spy_trojan	间谍木马
  worm	蠕虫
  ransomware	勒索
  backdoor_trojan	后门木马
  hacktool	黑客工具
  infected_virus	感染型病毒
  trojan_dropper	木马释放器
  riskware	风险软件
  apt	APT
  rat_trojan	远控木马
  hijack	劫持
  macro_virus	宏病毒
  porn	色情网站
  js_miner	网页挖矿
  compromised_host	失陷主机
  gamble	博彩网站
  dnslog_attack	DNSLOG攻击
  infostealer	信息盗取
  malicious	恶意站点
  dga	DGA
  botnet	僵尸网络
  trojan	木马
  bank_trojan	银行木马
  adware	广告软件
  exploit	漏洞利用
  malicious_doc	恶意文档
  bootkit_trojan	BootKit木马
  script_trojan	脚本木马
  virus	病毒
  trojan_downloader	木马下载器
  rat	远控
  ddos_trojan	DDos木马
  spam_email	垃圾邮件
  miner_pool	矿池
  rootkit_trojan	Rootkit木马
  private_server	外挂私服
  c2	中控
  miner	挖矿
  malicious_group	恶意团伙
  sinkhole	Sinkhole