使用日志类型

日志类型表示安全分析中用于威胁检测的不同数据源。日志类型对于在从源创建检测器时对检测规则进行分类或预填充非常有用。

安全分析支持以下日志类型：

• 标准日志类型：安全分析根据从每个源索引的数据自动生成数据源列表及其字段映射和规则。
• 自定义日志类型：当您的数据不能归类为标准日志类型时，您可以创建用户定义的日志类型。为了增强威胁检测，安全分析支持集成自定义日志类型。

要导航到“**日志类型**”页面，请在“**安全分析**”导航菜单中选择“**检测器**”>“**日志类型**”。

页面操作

以下图像显示了“**日志类型**”UI 的主要功能和操作。这些功能将在图像后的列表中进行描述。

1. 搜索“**标准**”和“**自定义**”日志类型。
   • 有关“**标准**”日志类型的列表，请参阅支持的日志类型。
2. 创建自定义日志类型。
3. 选择日志类型“**名称**”以打开详细信息页面。“**详细信息**”选项卡默认显示。此选项卡包含日志类型的 ID。您还可以选择“**检测规则**”选项卡以显示与该日志类型关联的所有检测规则。
4. 选择“**类别**”或“**源**”下拉菜单以按日志类型类别或源排序。
5. 在“**操作**”列中，选择图标以删除自定义日志类型（您无法删除标准 OpenSearch 定义的日志类型）。然后按照提示确认并删除它。

标准日志类型

自 OpenSearch 2.11 起，所有标准日志类型均按以下类别分组：

• “**访问管理**”包括 AD/LDAP、Apache Access 和 Okta。
• “**应用程序**”包括 GitHub、Google Workspace 和 Microsoft 365。
• “**云服务**”包括 Azure、AWS CloudTrail 和 Amazon S3。
• “**网络活动**”包括 DNS、网络、NetFlow 和 VPC Flow。
• “**安全**”包括 WAF。
• “**系统活动**”包括 Linux 和 Windows。
• “**其他**”包括不属于特定类别的日志类型。欲了解更多信息，请参阅其他日志类型。

创建自定义日志类型

连接到标准日志类型不支持的数据源时，请按照以下步骤创建自定义日志类型：

1. 在 OpenSearch Dashboards 中，选择“**OpenSearch 插件**”>“**安全分析**”，然后选择“**检测器**”>“**日志类型**”。
2. 选择“**创建日志类型**”。

3. 输入日志类型的名称，可选地添加描述。

   日志类型名称支持字符 a-z（小写）、0-9、连字符和下划线。

4. 选择一个类别。类别列在支持的日志类型文档中。
5. 选择屏幕右下角的“**创建日志类型**”。屏幕将返回“**日志类型**”页面。新的日志类型将出现在列表中。请注意，新日志类型的源显示为“**自定义**”。

关于字段映射

在创建检测器时指定的日志类型决定了哪些字段可用于映射。例如，当选择“**Windows 日志**”时，此参数和特定的检测规则决定了可用于映射的检测字段名称列表。类似地，所选数据源决定了可用于映射的日志源字段名称列表。

安全分析使用预打包的 Sigma 规则进行检测器创建。它可以自动将特定日志类型的重要字段映射到 Sigma 规则中的相关字段。“**字段映射**”部分显示了已自动映射的字段。在此部分中，您可以自定义、更改或添加新的字段映射。当检测器包含自定义规则时，您可以手动将检测器规则字段名称映射到日志源字段名称。

由于系统可以自动映射字段名称，因此当文档中存在 ecs 字段时，手动映射字段是可选的。然而，检测器规则需要某些映射才能运行。这些映射取决于检测器规则。检测器字段和日志源字段之间可以映射的字段越多，生成结果的准确性就越高。

日志类型 API

使用日志类型 API 通过 REST API 执行自定义日志类型操作。欲了解更多信息，请参阅日志类型 API 文档。