日志服务依托全球白帽子共享安全资产库,提供安全检测函数。您只需要将日志中的IP地址、域名或者URL传给安全检测函数,即可检测是否安全。
应用场景
安全检测函数适用如下场景:
- 针对服务运维有较强需求的企业和机构(例如互联网、游戏、咨询等),其IT人员和安全运维人员可及时发现可疑访问、攻击及侵入网站等行为,并及时采取措施。
- 针对内部资产保护有较强需求的企业和机构(例如银行、证券、电商等),其IT人员和安全运维人员可及时发现内部访问危险网站及下载木马等行为,并及时采取行动。
功能特点
安全检测函数具备如下功能特点:
- 可靠:依托全球共享的白帽子安全资产库,并及时更新。
- 快速:检测百万IP地址、域名或URL仅需几秒钟。
- 简单:无缝支持任意网络日志,调用3个SQL函数security_check_ip、security_check_domain、security_check_url即可获得结果。
- 灵活:交互式查询及可视化展示,还可以创建告警。
函数列表
| 函数名 | 说明 | 查询分析语句示例 |
|---|---|---|
| security_check_ip | 检查IP地址是否安全,包括如下返回信息:
|
select security_check_ip(real_client_ip) |
| security_check_domain | 检查域名是否安全,包括如下返回信息:
|
select security_check_domain(site) |
| security_check_url | 检查URL是否安全,包括如下返回信息:
|
select security_check_domain(concat(host, url)) |
示例
- 检查外部可疑访问行为
例如某电商采集其运营的Ngnix服务器的日志,想要对其访问的客户端进行扫描,确认是否存在不安全的客户端IP地址。该电商可以将Ngnix日志中的ClientIP字段传给security_check_ip函数,筛选出其返回值为1的IP地址,并使用地图可视化展示该IP地址所在国家、网络运营商等信息。
* | select ClientIP, ip_to_country(ClientIP) as country, ip_to_provider(ClientIP) as provider, count(1) as PV where security_check_ip(ClientIP) = 1 group by ClientIP order by PV desc
- 检查内部可疑访问行为
例如某证券运营商采集其内部设备通过网关代理访问外网的网络流量的日志,并需要检查是否有人员访问了可疑网站,可执行如下查询分析语句。还可以将此语句另存为快速查询,并创建告警,当有客户端频繁访问危险网站时触发告警。
* | select client_ip, count(1) as PV where security_check_ip(remote_addr) = 1 or security_check_site(site) = 1 or security_check_url(concat(site, url)) = 1 group by client_ip order by PV desc
