[{"data":1,"prerenderedAt":241},["ShallowReactive",2],{"chat-scenes-all-zh":3,"scene-detail-13-zh":148,"chat-cases-0-zh":151},[4,18,32,44,54,65,75,84,91,98,106,113,120,127,134],{"agentName":5,"description":6,"displayOrder":7,"id":7,"isAgent":8,"longDescription":9,"promptTitle":10,"prompts":11,"title":5},"查询语句生成助理","自然语言转查询语句，支持 SQL/ES/SPL 三种格式",1,true,"面向 SOC/SOAR 运营场景，根据您提供的威胁检测需求，自动转化为适配 SIEM/SOAR 平台、威胁狩猎工具的标准化专业查询语句，精准覆盖异常行为检测、跨平台 IOC 匹配等核心场景","能把你的自然语言需求转成 SQL/ES/SPL 查询语句，",[12,14,16],{"text":13,"html":13},"帮我把 \"检测近一周的异常登录行为\" 转成 ES 查询语句",{"text":15,"html":15},"要查已知的勒索软件 IOC，生成对应的 SPL 查询",{"text":17,"html":17},"如何用SQL语句筛选APT攻击告警数据",{"agentName":19,"description":20,"displayOrder":21,"id":21,"isAgent":22,"longDescription":19,"promptTitle":23,"prompts":24,"title":31},null,"为你解析数据质量，提供数据质量报告并改进说明",2,false,"专门检查安全数据质量，确保数据能用、准确，请提供你的数据样本，",[25,28],{"text":26,"html":27},"帮我检查下这份安全数据的关键分析字段是否有遗漏？{{DATA}}{\"eventCount\":\"1\",\"srcPort\":\"60763\",\"deviceReceiptTime\":\"2025-12-22 23:11:33\",\"deviceName\":\"XXX防火墙TGFW\",\"destAddress\":\"10.50.1.1\",\"srcGeoLongitude\":\"-95.71289\",\"srcGeoLatitude\":\"37.09024\",\"eventId\":\"6876678387820761089\",\"srcGeoCity\":\"未知\",\"machineCode\":\"b359dfd0-b5fc-4c06-b5c1-ad2ab9223fe5-171071009\",\"srcAddress\":\"100.20.1.1\",\"srcGeoCountry\":\"美国\",\"productVendorName\":\"XX信息\",\"transProtocol\":\"TCP\",\"deviceSendProductName\":\"XXX防火墙TGFW\",\"destGeoAddress\":\"局域网\",\"name\":\"访问控制\",\"destGeoRegion\":\"局域网\",\"catOutcome\":\"OK\",\"collectorReceiptTime\":\"2025-12-23 00:12:25\",\"appProtocol\":\"https\",\"deviceAddress\":\"10.50.1.2\",\"destPort\":\"443\",\"destGeoCountry\":\"局域网\",\"startTime\":\"2025-12-22 23:11:33\",\"srcGeoAddress\":\"美国verizon.com\",\"bytesIn\":\"878\",\"bytesOut\":\"1491\",\"direction\":\"10\",\"severity\":\"2\",\"message\":\"访问控制：来源地址/端口：100.20.1.1/60763，目的地址/端口：10.50.1.1/443，设备动作：permit。\",\"deviceAssetSubTypeId\":\"12\",\"endTime\":\"2025-12-22 23:11:33\",\"srcGeoRegion\":\"未知\"}{{/DATA}}","帮我检查下这份安全数据的关键分析字段是否有遗漏？",{"text":29,"html":30},"当前校验数据中枚举值映射是否准确?{{DATA}}{\"eventCount\":\"1\",\"srcPort\":\"60763\",\"deviceReceiptTime\":\"2025-12-22 23:11:33\",\"deviceName\":\"XXX防火墙TGFW\",\"destAddress\":\"10.50.1.1\",\"srcGeoLongitude\":\"-95.71289\",\"srcGeoLatitude\":\"37.09024\",\"eventId\":\"6876678387820761089\",\"srcGeoCity\":\"未知\",\"machineCode\":\"b359dfd0-b5fc-4c06-b5c1-ad2ab9223fe5-171071009\",\"srcAddress\":\"100.20.1.1\",\"srcGeoCountry\":\"美国\",\"productVendorName\":\"XX信息\",\"transProtocol\":\"TCP\",\"deviceSendProductName\":\"XXX防火墙TGFW\",\"destGeoAddress\":\"局域网\",\"name\":\"访问控制\",\"destGeoRegion\":\"局域网\",\"catOutcome\":\"OK\",\"collectorReceiptTime\":\"2025-12-23 00:12:25\",\"appProtocol\":\"https\",\"deviceAddress\":\"10.50.1.2\",\"destPort\":\"443\",\"destGeoCountry\":\"局域网\",\"startTime\":\"2025-12-22 23:11:33\",\"srcGeoAddress\":\"美国verizon.com\",\"bytesIn\":\"878\",\"bytesOut\":\"1491\",\"direction\":\"10\",\"severity\":\"2\",\"message\":\"访问控制：来源地址/端口：100.20.1.1/60763，目的地址/端口：10.50.1.1/443，设备动作：permit。\",\"deviceAssetSubTypeId\":\"12\",\"endTime\":\"2025-12-22 23:11:33\",\"srcGeoRegion\":\"未知\"}{{/DATA}}","当前校验数据中枚举值映射是否准确?","数据质量校验",{"agentName":19,"description":33,"displayOrder":34,"id":35,"isAgent":22,"longDescription":19,"promptTitle":36,"prompts":37,"title":43},"对日志进行规范化映射，识别并修正时间戳、原始值转化等问题",4,3,"我可以帮你把字段统一成 OSIM 标准格式（支持SQL、SPL、ESQL等格式），请提供你的字段信息，",[38,40],{"text":39,"html":39},"我可以帮你把现有日志中不合理的内容进行映射并优化，解决业务字段不规范问题，请提供你的日志信息",{"text":41,"html":42},"帮我做好字段映射，时间戳转换成标准 ISO 格式，另外\"queryStatus\"不变，并把queryStatus的0/1转换成success/fail：{{DATA}}\n{\n    \"startTime\": 1776391206029,\n    \"queryStatus\": \"1\",\n    \"deviceReceiptTime\": \"1776391206000\",\n\"machineCode\": \"EE4C882EAF4F4CD39126385A78367CAD\",\n    \"netId\": \"7effcbb7-0c7a-4da9-bde1-32d06166acae\",\n    \"dataType\": \"traffic\",\n    \"transProtocol\": \"TCP\",\n    \"deviceSendProductName\": \"ASICSAM\",\n    \"name\": \"ENIP通信\",\n    \"logSessionId\": \"1213085933437085\",\n    \"destGeoRegion\": \"局域网\",\n    \"catOutcome\": \"Attempt\",\n    \"logType\": \"enip\",\n    \"commandType\": \"Send Unit Data\",\n    \"collectorReceiptTime\": \"2026-04-17 10:00:06\",\n    \"appProtocol\": \"enip\",\n    \"dataSubType\": \"enipTraffic\",\n    \"destSecurityZone\": \"inner_886da035-c033-46b8-8ce8-b31e03db7ab2_1537173568979\",\n    \"destMacAddress\": \"00-0C-29-09-13-9A\",\n    \"baas_src_asset_uptime\": 1776391206000,\n    \"destPort\": \"44818\",\n    \"destGeoCountry\": \"局域网\",\n    \"deviceProductType\": \"入侵检测系统\",\n    \"destHostAssetId\": \"asset_397b97b0-2c0d-44e9-8015-e67d33c43706_1776045049869\",\n    \"startTime\": \"2026-04-17 10:00:06\",\n    \"interfaceName\": \"enp4s0\",\n    \"direction\": \"00\",\n    \"severity\": \"1\",\n    \"destOrgId\": \"7effcbb7-0c7a-4da9-bde1-32d06166acae\",\n    \"srcSecurityZone\": \"inner_886da035-c033-46b8-8ce8-b31e03db7ab2_1537173568979\",\n    \"deviceVersion\": \"V3.0R25C03SPC158\",\n    \"@timestamp\": \"2026-04-17T02:00:06.000Z\",\n    \"baas_engineInfo\": \"info:172.24.0.94,flink-ailpha-etl-taskmanager-1-1\",\n    \"endTime\": \"2026-04-17 10:00:06\",\n    \"srcMacAddress\": \"00-0C-29-DF-7C-B8\",\n    \"srcGeoRegion\": \"局域网\"\n}{{/DATA}}","帮我做好字段映射，时间戳转换成标准 ISO 格式，另外\"queryStatus\"不变，并把queryStatus的0/1转换成success/fail：","日志数据优化",{"agentName":19,"description":45,"displayOrder":46,"id":34,"isAgent":22,"longDescription":19,"promptTitle":47,"prompts":48,"title":53},"围绕网端关联，梳理网络和终端安全事件的内在联系",5,"帮你理清网络和终端安全事件的关联关系，请提供相关事件数据，",[49,51],{"text":50,"html":50},"通过SMB投递恶意文件并添加注册表启动项，需要哪些日志数据进行关联分析",{"text":52,"html":52},"dnslog信息外带如何根据网络日志关联终端定位恶意进程","网端关联分析",{"agentName":19,"description":55,"displayOrder":56,"id":46,"isAgent":22,"longDescription":19,"promptTitle":57,"prompts":58,"title":64},"统计关联分析，让撞库、暴力破解等高危事件无处可藏",6,"分析撞库、暴力破解等高危事件，定位攻击源头，请提供事件数据，",[59,62],{"text":60,"html":61},"帮我分析下这段{{DATA}}本地提权{{/DATA}}事件的攻击源头？{{DATA}}{\"parentProcessName\":\"bash\",\"parentProcessMd5\":\"c432ba408abefb607ed0c1d3b64f08e0\",\"opType\":\"proc_operate\",\"eventCount\":\"1\",\"deviceReceiptTime\":\"2025-11-14 07:02:35\",\"deviceName\":\"XXXEDR\",\"processName\":\"sudo\",\"destAddress\":\"10.59.1.1\",\"parentImage\":\"/usr/bin/bash\",\"image\":\"/usr/bin/sudo\",\"eventId\":\"915633017756600393|17aa9e3e-202f-47c4-b0b7-95417cac4369\",\"machineCode\":\"1gzakdyuy4fcxj0y4al4b9jaj-171070995\",\"srcGeoCity\":\"局域网\",\"processMd5\":\"58b3a9fe0693abe40d2853d0c1b7f30e\",\"srcAddress\":\"10.59.1.1\",\"srcGeoCountry\":\"局域网\",\"productVendorName\":\"XXX信\",\"processUserName\":\"root\",\"attackerAddress\":\"10.59.1.1\",\"deviceSendProductName\":\"XXXEDR\",\"name\":\"本地提权\",\"destGeoRegion\":\"局域网\",\"catOutcome\":\"Attempt\",\"killChain\":\"KC_CommandControl\",\"logType\":\"alert\",\"hostName\":\"公共数据平台\",\"collectorReceiptTime\":\"2025-12-01 15:58:43\",\"deviceAddress\":\"172.16.0.1\",\"destGeoCountry\":\"局域网\",\"ruleType\":\"本地提权\",\"startTime\":\"2025-11-14 07:02:35\",\"destGeoCity\":\"局域网\",\"direction\":\"00\",\"severity\":\"7\",\"message\":\"威胁感知事件：本地提权 动作：用户sdm通过进程sudo进行本地提权\",\"hostAddress\":\"10.59.1.1\",\"endTime\":\"2025-11-14 07:02:35\",\"deviceAssetSubTypeId\":\"56\",\"srcGeoRegion\":\"局域网\",\"parentProcessUserName\":\"sdm\"}{{/DATA}}","帮我分析下这段本地提权事件的攻击源头？",{"text":63,"html":63},"针对勒索软件攻击，如何开展全链路溯源侦查？","高危事件智能侦查",{"agentName":19,"description":66,"displayOrder":67,"id":56,"isAgent":22,"longDescription":19,"promptTitle":68,"prompts":69,"title":74},"支持一键生成 Sigma规则，快速检测安全威胁",7,"我能够一键生成 Sigma或ES|QL规则，快速检测威胁，请提供你的威胁诉求，",[70,72],{"text":71,"html":71},"帮我生成一个检测使用CMD命令获取域内所有用户SID的 Sigma 规则",{"text":73,"html":73},"基于ES|QL语法生成一条检测规则，检测堡垒机用户从历史(如30天)未使用的IP地址登录堡垒机的行为","威胁规则生成",{"agentName":19,"description":76,"displayOrder":77,"id":67,"isAgent":22,"longDescription":19,"promptTitle":78,"prompts":79,"title":83},"把原始日志转化为符合OSIM标准的json格式",8,"我可以帮你把字段统一成 OSIM 标准格式，请提供你的字段信息，",[80],{"text":81,"html":82},"帮我把这份字段，对应到 OSIM 的标准字段上，并输出标准的字段格式{{DATA}}\u003C46>2025-12-22T23:11:33+08:00 tgfw /opt/security/bin/vpp-agent[3436]: {\"type\":13,\"time_begin\":\"1766416231000000000\",\"sip\":\"100.20.1.1\",\"dip\":\"10.50.1.1\",\"sport\":\"60763\",\"dport\":\"443\",\"szone\":\"-\",\"dzone\":\"G3-1706776845\",\"action\":\"permit\",\"app_name\":\"TCP应用\",\"proto\":\"TCP\",\"rx_intf\":\"GE0_6\",\"tx_intf\":\"GE0_3\",\"up\":\"878\",\"down\":\"1491\",\"up_pkg\":\"6\",\"down_pkg\":\"4\",\"time_end\":\"1766416293064449624\"}{{/DATA}}","帮我把这份字段，对应到 OSIM 的标准字段上，并输出标准的字段格式","字段映射",{"agentName":19,"description":85,"displayOrder":86,"id":77,"isAgent":22,"longDescription":19,"promptTitle":36,"prompts":87,"title":90},"OSIM标准下恶意软件告警的核心必填字段枚举，提升信息的分析价值",9,[88],{"text":89,"html":89},"SOC（安全运营中心）分析师在处理一起安全事件时，需要填写标准化的工单或报告。新手分析师往往不知道需要收集哪些关键信息。我正在处理一起勒索软件感染事件，需要通过 API 上报给总部的态势感知平台。请问根据 OSIM 标准，‘恶意软件’类告警有哪些必填字段是我必须收集的？","恶意软件类告警必填字段枚举",{"agentName":19,"description":92,"displayOrder":93,"id":86,"isAgent":22,"longDescription":19,"promptTitle":36,"prompts":94,"title":97},"分析勒索软件感染事件报告需要包含哪些关键信息，枚举工单或报告的关键信息",10,[95],{"text":96,"html":96},"请根据 OSIM 标准，帮我生成一份针对勒索软件感染事件的工单或报告，需要包含哪些关键信息？","勒索软件感染事件关键字段枚举",{"agentName":19,"description":99,"displayOrder":100,"id":93,"isAgent":22,"longDescription":19,"promptTitle":36,"prompts":101,"title":105},"将 Nginx 原生访问日志，按 OSIM 审计日志格式完成字段映射与格式转换",11,[102],{"text":103,"html":104},"我有一段 Nginx 的访问日志样例。请帮我写一个 Python 脚本，将其解析并映射为 OSIM 的 HTTP 审计日志格式：{{DATA}}192.168.1.100 - - [17/Apr/2026:10:35:22 +0800] \"GET /index.html HTTP/1.1\" 200 1258 \"https://www.example.com/\" \"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36\"{{/DATA}}","我有一段 Nginx 的访问日志样例。请帮我写一个 Python 脚本，将其解析并映射为 OSIM 的 HTTP 审计日志格式：","Nginx日志解析并输出python脚本",{"agentName":19,"description":107,"displayOrder":108,"id":100,"isAgent":22,"longDescription":19,"promptTitle":36,"prompts":109,"title":112},"查询网络会话审计场景下网络连接记录，同时生成对应多种系统的查询语句",12,[110],{"text":111,"html":111},"Threat Hunter发现了一个新的 IOC(例如某黑客团伙使用的特定 User-Agent 和端口)。他需要在 Splunk、Elasticsearch 和 ClickHouse 三个不同的系统中进行检索。我想查询所有内部主机发起的,目标端口为 445,且进程名为 'powershell.exe' 的网络连接记录。请根据 OSIM 标准字段生成对应的 SQL (ClickHouse) 、 SPL (Splunk) 、ES Query(Elasticsearch)查询语句。","生成针对特定威胁的查询语句",{"agentName":19,"description":114,"displayOrder":115,"id":108,"isAgent":22,"longDescription":19,"promptTitle":36,"prompts":116,"title":119},"编写 IP 地址校验代码，编写符合 OSIM 定义的IP 地址格式",13,[117],{"text":118,"html":118},"在 SOAR（安全编排自动化响应）剧本中，一旦上游（如防火墙告警）传递给下游（如封禁 IP 接口）的数据格式不对（例如 IP 字段为空，或者包含了掩码），整个剧本就会报错中断。我正在编写一个‘自动封禁’剧本。请帮我写一段 Python 校验代码。在调用封禁 API 之前，检查传入的数据对象是否符合 asset.ip_address 的 OSIM 定义，特别是校验 IP 格式是否合法，如果不合法抛出具体错误。","SOAR剧本IP数据校验代码",{"agentName":19,"description":121,"displayOrder":122,"id":115,"isAgent":22,"longDescription":19,"promptTitle":36,"prompts":123,"title":126},"提取 APT29 攻击相关指标，并完成指标格式的标准化转换",14,[124],{"text":125,"html":125},"这是一篇关于 APT29 最新活动的分析文章全文（https://www.10100.com/article/29746254）。请提取其中所有的攻击指标（IoC），并将其整理为符合 OSIM threat_intelligence 相关 schema 的 JSON 格式。","APT29 攻击指标提取与转换",{"agentName":19,"description":128,"displayOrder":129,"id":122,"isAgent":22,"longDescription":19,"promptTitle":36,"prompts":130,"title":133},"定义图谱中的节点（Node）和边（Edge）",16,[131],{"text":132,"html":132},"现代安全运营正在从“日志搜索”向“图谱分析”演进。但是，如何定义图谱中的节点（Node）和边（Edge）是一个巨大的难题。OSIM 天生就是一个完美的图数据库 Schema 定义书。我们正在用 Neo4j 构建威胁猎杀图谱。请读取 OSIM 的 asset 和 alert 相关定义，帮我设计图谱的 Schema（节点标签和关系）。例如，‘主机’和‘IP’是什么关系？‘进程’和‘文件’是什么关系？","威胁图谱schema设计",{"agentName":135,"description":136,"displayOrder":137,"id":138,"isAgent":8,"longDescription":139,"promptTitle":140,"prompts":141,"title":135},"Schema数据导师","通过自然、高效的对话交互，针对性的解答用户提出的问题，提供解决",17,15,"具备OSIM Schema（数据模式 / 架构） 为核心知识体系，集数据结构规划、Schema 设计指导、合规校验、问题诊断与知识赋能于一体的智能交互系统，答疑解惑，帮助您更好的理解OSIM数据","能帮你校验 Schema 相关问题、解答 Schema 知识，",[142,144,146],{"text":143,"html":143},"帮我检查这段 MySQL 建表 SQL 的语法有没有问题",{"text":145,"html":145},"我这组 JSON 数据和对应的 Schema 对不上，能自动校验并给对齐方案吗",{"text":147,"html":147},"前端请求参数和后端 Schema 的字段名不一致，怎么解决",{"agentName":19,"description":121,"displayOrder":122,"id":115,"isAgent":22,"longDescription":19,"promptTitle":36,"prompts":149,"title":126},[150],{"text":125,"html":125},[152,162,169,176,183,189,197,204,211,219,226,234],{"id":108,"title":153,"description":154,"tags":155,"viewCount":157,"useCount":157,"markdownContent":158,"markdownPath":159,"createdAt":160,"updatedAt":160,"creator":161},"网端日志关联：Webshell 成功上传检测方法","如何关联网络侧和终端侧的安全设备日志，实现对Webshell成功上传的检测？",[53,156],"不依赖数据",123,"如何关联网络侧和终端侧的安全设备日志，实现对Webshell成功上传的检测？\n\n标签：网端关联分析 / 不依赖数据\n\n---\n我来帮您分析Webshell成功上传的网端关联检测需求。这个场景涉及Web应用攻击中的恶意文件上传，需要关联分析网络侧的Web攻击日志和终端侧的文件系统日志。\n\n# 一、基础信息\n适配Schema：Web攻击审计、文件审计、进程审计、网络通信审计\n\n数据类型：HTTP审计日志、Web攻击日志、终端文件操作审计日志、进程操作审计日志、网络连接审计日志\n\n# 二、网端关联分析结论\n## （一）攻击链路还原 (attack_chain)\n网络攻击阶段：攻击者通过网络发起HTTP POST请求，上传Webshell文件\n文件落地阶段：Web服务器接收并写入Webshell文件到Web目录\n文件访问阶段：攻击者通过HTTP GET/POST请求访问Webshell文件\n命令执行阶段：Webshell被执行，创建恶意进程执行系统命令\n后通信阶段：恶意进程建立网络连接，进行C2通信或横向移动\n## （二）所需数据源 (data_sources)\n网络侧：\n\nHTTP审计日志（记录HTTP请求响应详情，特别是文件上传）\nWeb攻击审计日志（记录Webshell特征、SQL注入等Web攻击行为）\nIPS/WAF日志（记录被拦截的Webshell上传尝试）\n终端侧：\n\n文件审计日志（记录Web目录下文件的创建、写入、修改操作）\n进程审计日志（记录Webshell执行创建的进程）\n网络通信审计日志（记录恶意进程的网络连接行为）\nWeb服务器日志（记录HTTP访问日志，特别是对Webshell文件的访问）\n## （三）核心关联字段 (log_fields)\n源IP地址：用于连接网络侧的攻击者IP和终端侧的访问者IP\n目标IP地址：用于连接网络侧的Web服务器IP和终端侧的主机IP\n时间戳：用于验证文件上传时间和文件创建时间的一致性\n文件名/路径：用于关联HTTP上传的文件名与终端创建的文件名\nHTTP请求方法：POST（上传）和GET/POST（访问Webshell）\nHTTP响应状态码：200（上传成功）、403/404（访问失败）等\n用户代理/User-Agent：用于识别攻击工具特征\n请求体大小/内容：用于匹配文件上传内容和最终文件内容\nWeb目录路径：用于确认文件是否写入可访问的Web目录\n进程ID/名称：用于关联Webshell执行的系统命令进程\n## （四）关联逻辑 (correlation_logic)\n时间关联：通过时间戳建立攻击链的时间线，HTTP上传时间应在文件创建时间之后或相近（网络传输时间差）\nIP关联：网络侧的源IP（攻击者）应匹配终端侧的外部连接IP；网络侧的目标IP应匹配终端侧的Web服务器IP\n文件关联：\nHTTP上传请求中的文件名/内容应匹配终端创建的文件名/内容\nHTTP请求体中的文件哈希（如MD5）应匹配终端文件的哈希值\n路径关联：HTTP上传的目标路径应匹配终端文件创建的Web目录路径\n访问关联：\nHTTP上传成功后应有对应的文件创建记录\n文件创建后应有HTTP访问该文件的记录\n文件访问后应有进程创建记录（Webshell执行）\n异常特征关联：\n网络侧检测到Webshell特征（如eval(、system(等PHP函数）\n终端侧检测到Webshell文件包含危险函数\n进程创建记录中包含Webshell执行的不安全系统命令\n## （五）检测策略 (detection_strategies)\n成功上传检测：\n\nHTTP 200响应 + 文件创建记录（同文件名、同路径）\nHTTP POST请求体包含Webshell特征 + 文件创建记录包含相同特征\nWebshell执行检测：\n\nHTTP GET/POST访问Webshell文件 + 进程创建记录（如cmd.exe、bash、sh等）\nWeb目录下异常文件创建 + 进程执行系统命令\n时间窗口检测：\n\n设置合理的时间窗口（如30秒），查找HTTP上传和文件创建的时序关系\n设置访问-执行时间窗口（如5秒），查找文件访问和进程创建的时序关系\n","cases/zh/网端日志关联：Webshell 成功上传检测方法.md","2026-05-10T21:58:15.519614","system",{"id":100,"title":163,"description":164,"tags":165,"viewCount":157,"useCount":157,"markdownContent":166,"markdownPath":167,"createdAt":168,"updatedAt":168,"creator":161},"网端关联分析：DNSLog 信息外带利用行为确认","如何通过网端关联确认攻击者成功利用dnslog实现信息外带？",[53,156],"如何通过网端关联确认攻击者成功利用dnslog实现信息外带？\n\n标签：网端关联分析 / 不依赖数据\n\n---\n我来帮您分析DNSlog信息外带的网端关联检测需求。这个场景涉及DNS隧道和DNS外带数据攻击，需要关联分析网络侧的DNS请求日志和终端侧的命令执行日志。\n\n# 一、基础信息\n适配Schema：DNS审计、进程审计、命令执行审计、网络通信审计\n\n数据类型：DNS请求审计日志、终端进程操作审计日志、命令执行审计日志、网络连接审计日志\n\n# 二、网端关联分析结论\n## （一）攻击链路还原 (attack_chain)\n信息获取阶段：攻击者在受害者主机上获取敏感信息（如文件内容、系统信息、凭证等）\n数据编码阶段：敏感信息被编码为DNS可传输的格式（如Base32、Hex编码）\n域名构造阶段：编码后的数据被构造为子域名，拼接在攻击者控制的域名前\nDNS查询阶段：通过命令执行触发DNS查询，将数据作为子域名发送到DNS服务器\nDNS解析阶段：DNS服务器将查询转发到攻击者控制的DNS服务器，数据被外带\n信息接收阶段：攻击者在DNS服务器端接收并解码外带数据\n## （二）所需数据源 (data_sources)\n网络侧：\n\nDNS审计日志（记录DNS查询详情，特别是查询的域名、类型、响应）\n流量会话审计日志（记录DNS会话的元数据信息）\n防火墙/IDS日志（记录异常的DNS流量模式）\n终端侧：\n\n进程审计日志（记录执行DNS隧道工具或相关命令的进程）\n命令执行审计日志（记录包含敏感信息获取和域名拼接的命令）\n文件审计日志（记录敏感文件的读取操作）\n网络通信审计日志（记录进程的网络连接行为）\n## （三）核心关联字段 (log_fields)\n源IP地址：终端主机的IP地址，作为DNS查询的源\nDNS查询域名：包含外带数据的完整域名（如data.secret.example.com）\nDNS查询类型：通常为A、AAAA、TXT记录\nDNS响应代码：查询成功（NOERROR）或失败（NXDOMAIN等）\n时间戳：用于验证命令执行时间和DNS查询时间的时序关系\n进程ID/名称：执行DNS查询的进程（如nslookup、dig、curl等）\n命令内容：包含敏感信息获取和域名拼接的完整命令\n敏感数据标识：被外带的数据特征（如文件名、系统信息关键字）\nDNS服务器IP：被查询的DNS服务器IP地址\n数据长度：DNS查询域名的长度（异常长的域名可能包含外带数据）\n## （四）关联逻辑 (correlation_logic)\n时间关联：通过时间戳建立攻击链的时间线\n\n敏感信息读取时间 → 命令执行时间 → DNS查询时间\n通常命令执行和DNS查询时间差应在秒级范围内\n进程-命令关联：\n\n进程审计中的进程ID应匹配命令执行审计中的进程ID\n进程名称应包含DNS查询工具特征\n命令-DNS关联：\n\n命令执行内容中的域名应匹配DNS查询日志中的域名\n命令中的敏感数据特征应出现在DNS查询域名中\n数据编码关联：\n\n命令中的敏感信息经过编码（如Base32、Hex）\n编码后的数据出现在DNS查询的子域名部分\n异常特征关联：\n\nDNS查询域名长度异常（远超正常域名长度）\nDNS查询频率异常（高频查询）\n域名格式异常（包含特殊字符、编码数据特征）\n查询的DNS服务器异常（非内部DNS服务器）\n## （五）检测策略 (detection_strategies)\n成功外带检测：\n\n命令执行记录包含敏感信息获取 + DNS查询记录包含相同信息的编码形式\n进程创建DNS工具进程 + DNS查询到攻击者控制的域名\nDNS隧道特征检测：\n\n异常长的DNS查询域名（如超过100字符）\n高频DNS查询（如每秒多次查询）\nDNS TXT记录查询包含可疑数据\n查询的DNS服务器为公网已知DNS隧道服务域名\n时间窗口关联检测：\n\n设置合理的时间窗口（如5秒），查找命令执行和DNS查询的时序关系\n敏感文件读取后短时间内出现DNS查询到可疑域名\n数据流关联检测：\n\n文件读取操作 → 命令执行（包含文件内容处理） → DNS查询（包含处理后的数据）\n系统命令执行（获取系统信息） → DNS查询（包含系统信息编码）","cases/zh/网端关联分析：DNSLog 信息外带利用行为确认.md","2026-05-10T21:58:15.516108",{"id":93,"title":170,"description":171,"tags":172,"viewCount":157,"useCount":157,"markdownContent":173,"markdownPath":174,"createdAt":175,"updatedAt":175,"creator":161},"Sigma 规则生成：Windows 安全日志 RDP 暴力破解检测（高风险 + MITRE ATT&CK）","帮我生成一条检测 RDP 暴力破解的 Sigma 规则，适配 Windows 安全日志，告警等级设为高，带 MITRE ATT&CK 标签",[74,156],"帮我生成一条检测 RDP 暴力破解的 Sigma 规则，适配 Windows 安全日志，告警等级设为高，带 MITRE ATT&CK 标签\n\n标签：威胁规则生成 / 不依赖数据\n\n---\n\n# 一、基础信息\n该Sigma规则用于检测针对RDP（Remote Desktop Protocol）的暴力破解攻击，属于凭据攻击场景。适配的威胁场景为凭据攻击，通过监控Windows安全日志中的登录失败事件，检测短时间内来自同一源IP对同一用户名的多次RDP登录失败尝试。\n\n# 二、威胁规则方案\n## （一）完整版\ntitle: RDP Brute Force Attack Detection\nid: f8a5c6d7-9e1f-4a3c-8b2d-3c7d8e9f0a12\nstatus: experimental\ndescription: Detects RDP brute force attacks by monitoring failed login attempts from the same source IP to the same username\nreferences:\n  - https://attack.mitre.org/techniques/T1110/\n  - https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4625\nauthor: OSIM Security Team\ndate: 2024-01-15\nmodified: 2024-01-15\ntags:\n  - attack.credential_access\n  - attack.t1110\n  - attack.initial_access\nlogsource:\n  category: windows_eventlog\n  product: windows\n  service: security\ndetection:\n  selection:\n    EventID: 4625\n    LogonType: '10'\n    WorkstationName|contains:\n      - 'TERMSRV'\n      - 'RDP'\n    AuthenticationPackageName: 'Negotiate'\n  timeframe: 5m\n  condition: selection and (count(selection) by SourceIpAddress, TargetUserName) >= 10\nfields:\n  - EventID\n  - LogonType\n  - WorkstationName\n  - SourceIpAddress\n  - TargetUserName\n  - TargetDomainName\n  - AuthenticationPackageName\n  - FailureReason\n  - SubStatus\n  - ProcessName\nfalsepositives:\n  - Legitimate users forgetting passwords\n  - Penetration testing activities\n  - Automated backup systems\nlevel: high\n## （二）简单版\ntitle: RDP Brute Force Detection - Basic\nid: b2c3d4e5-f6a7-4b8c-9d0e-1f2a3b4c5d67\nstatus: experimental\ndescription: Basic detection for RDP brute force attacks based on failed logon events\nlogsource:\n  category: windows_eventlog\n  product: windows\n  service: security\ndetection:\n  selection:\n    EventID: 4625\n    LogonType: '10'\n  timeframe: 10m\n  condition: selection and (count(selection) by SourceIpAddress) >= 15\nlevel: high\n# 三、简要说明\n【威胁规则说明】\n\n语法适配性：该Sigma规则严格遵循Sigma官方语法规范，适配Windows安全日志事件ID 4625，兼容SIEM/SOC平台如Splunk、Elastic SIEM、ArcSight等。\n\n条件说明：\n\nEventID: 4625：Windows登录失败事件\nLogonType: '10'：远程交互式登录（RDP协议）\nWorkstationName|contains: 'TERMSRV'：RDP服务器标识\ntimeframe: 5m：检测时间窗口为5分钟\ncount(selection) by SourceIpAddress, TargetUserName) >= 10：同一源IP对同一用户名在5分钟内失败10次以上\n执行建议：\n\n建议部署在域控制器和RDP服务器上\n可根据网络环境调整阈值（完整版10次/5分钟，简单版15次/10分钟）\n建议结合账户锁定策略，减少误报\n可添加IP信誉库，对已知恶意IP降低阈值\nMITRE ATT&CK映射：\n\nTactic: Initial Access, Credential Access\nTechnique: T1110 - Brute Force\nSub-technique: T1110.001 - Password Guessing","cases/zh/Sigma 规则生成：Windows 安全日志 RDP 暴力破解检测（高风险 + MITRE ATT&CK）.md","2026-05-10T21:58:15.513106",{"id":86,"title":177,"description":178,"tags":179,"viewCount":157,"useCount":157,"markdownContent":180,"markdownPath":181,"createdAt":182,"updatedAt":182,"creator":161},"Sigma 规则生成：Sysmon 日志 rundll32 加载可疑 DLL 检测（含检测逻辑注释）","生成一条检测rundll32加载可疑 DLL 的 Sigma 规则，适配 Sysmon 日志，规则里要加注释说明检测逻辑",[74,156],"生成一条检测rundll32加载可疑 DLL 的 Sigma 规则，适配 Sysmon 日志，规则里要加注释说明检测逻辑\n\n标签：威胁规则生成 / 不依赖数据\n\n---\n\n# 一、基础信息\n该Sigma规则用于检测rundll32.exe进程加载可疑DLL的行为，属于防御规避和命令与控制攻击场景。适配的威胁场景为进程注入，通过监控Sysmon的镜像加载事件，检测rundll32加载临时目录或互联网下载目录中的可疑DLL。\n\n# 二、威胁规则方案\ntitle: Suspicious DLL Loading via Rundll32\nid: a8b7c6d5-4e3f-4a2c-9d1e-2f3a4b5c6d78\nstatus: experimental\ndescription: Detects suspicious DLL loading via rundll32.exe process, often used for defense evasion and code execution\nreferences:\n  - https://attack.mitre.org/techniques/T1218/\n  - https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon\n  - https://github.com/SigmaHQ/sigma/blob/master/rules/windows/process_creation/win_rundll32_suspicious_dll_load.yml\nauthor: OSIM Security Team\ndate: 2024-01-15\nmodified: 2024-01-15\ntags:\n  - attack.defense_evasion\n  - attack.t1218\n  - attack.command_and_control\nlogsource:\n  category: image_load\n  product: windows\n  service: sysmon\ndetection:\n  selection:\n    EventID: 7\n    # 检测条件1：父进程为rundll32.exe\n    ParentImage|endswith: '\\rundll32.exe'\n    # 检测条件2：可疑的DLL加载路径\n    # 临时目录路径 - 常见恶意软件执行位置\n    ImageLoaded|contains:\n      - '\\Temp\\'\n      - '\\TEMP\\'\n      - '\\AppData\\Local\\Temp\\'\n      - '\\AppData\\LocalLow\\Temp\\'\n      - '\\Users\\Public\\'\n      - '\\Windows\\Temp\\'\n    # 检测条件3：从互联网下载目录加载（可选）\n    # ImageLoaded|contains|optional:\n    #   - '\\Downloads\\'\n    #   - '\\$Recycle.Bin\\'\n    #   - '\\Recent\\'\n  selection_file_names:\n    EventID: 7\n    ParentImage|endswith: '\\rundll32.exe'\n    # 检测条件4：可疑的DLL文件名\n    # 包含常见恶意DLL命名模式\n    ImageLoaded|contains:\n      - 'payload'\n      - 'malware'\n      - 'backdoor'\n      - 'exploit'\n      - 'shellcode'\n      - 'meterpreter'\n      - 'beacon'\n      - 'inject'\n      - 'bypass'\n      - 'evil'\n      - 'suspicious'\n      - 'trojan'\n  condition: selection or selection_file_names\nfields:\n  - EventID\n  - UtcTime\n  - ProcessGuid\n  - ProcessId\n  - Image\n  - ImageLoaded\n  - FileVersion\n  - Description\n  - Product\n  - Company\n  - OriginalFileName\n  - ParentProcessGuid\n  - ParentProcessId\n  - ParentImage\n  - ParentCommandLine\nfalsepositives:\n  - Legitimate software updates that use rundll32.exe to load DLLs from temp directories\n  - Development and testing activities\n  - Some legitimate utilities may load DLLs from unusual locations\nlevel: high\n# 三、规则逻辑说明\n【威胁规则说明】\n\n1. 检测逻辑详解\n核心检测条件：\n\n条件1：ParentImage|endswith: '\\rundll32.exe' - 确保父进程是rundll32.exe\n条件2：ImageLoaded|contains - 检测DLL路径包含可疑位置\n条件3：ImageLoaded|contains - 检测DLL文件名包含可疑关键词\n可疑路径检测（主要逻辑）：\n\n检测临时目录路径：%TEMP%、%APPDATA%\\Local\\Temp\\等\n检测公共目录：\\Users\\Public\\（权限较低，便于攻击者写入）\n检测Windows临时目录：\\Windows\\Temp\\\n可疑文件名检测（补充逻辑）：\n\n检测常见恶意软件命名模式\n包含攻击性词汇：payload、malware、backdoor、exploit等\n检测C2框架组件：meterpreter、beacon等\n2. 语法适配性\n适配Sysmon事件ID 7（镜像加载）\n兼容SIEM平台：Splunk、Elastic、Azure Sentinel等\n基于进程链分析，检测合法进程加载恶意代码\n3. 执行建议\n在终端设备上部署Sysmon并启用事件ID 7\n可结合进程命令行参数分析（如果Sysmon配置了命令行记录）\n建议与其他恶意行为规则关联，如进程创建、网络连接等\n可调整阈值，减少开发环境误报\n4. MITRE ATT&CK映射\nTactic: Defense Evasion, Execution\nTechnique: T1218 - Signed Binary Proxy Execution\nSub-technique: T1218.011 - Rundll32","cases/zh/Sigma 规则生成：Sysmon 日志 rundll32 加载可疑 DLL 检测（含检测逻辑注释）.md","2026-05-10T21:58:15.510107",{"id":77,"title":184,"description":71,"tags":185,"viewCount":157,"useCount":157,"markdownContent":186,"markdownPath":187,"createdAt":188,"updatedAt":188,"creator":161},"Sigma 规则生成：CMD 获取域内所有用户 SID 行为检测",[74,156],"帮我生成一个检测使用CMD命令获取域内所有用户SID的 Sigma 规则\n\n标签：威胁规则生成 / 不依赖数据\n\n---\n\n# 一、基础信息\n该Sigma规则用于检测通过CMD命令获取域内所有用户SID（安全标识符）的攻击行为，属于横向移动和侦察阶段的操作。适配的威胁场景为凭据攻击，通过枚举域用户信息为后续攻击做准备。\n\n# 二、威胁规则方案\n## （一）完整版\ntitle: CMD Command to Enumerate Domain User SIDs\nid: 7db7a8f3-9f4a-4c23-8d2a-1b5e6f8c9a12\nstatus: experimental\ndescription: Detects attempts to enumerate domain user SIDs using Windows command-line tools\nreferences:\n  - https://attack.mitre.org/techniques/T1087/\n  - https://attack.mitre.org/techniques/T1069/\nauthor: OSIM Security Team\ndate: 2024-01-15\nmodified: 2024-01-15\ntags:\n  - attack.discovery\n  - attack.t1087\n  - attack.credential_access\nlogsource:\n  category: process_creation\n  product: windows\ndetection:\n  selection_cmd:\n    Image|endswith: '\\cmd.exe'\n    CommandLine|contains:\n      - 'wmic useraccount get'\n      - 'dsquery user'\n      - 'net user /domain'\n      - 'net group \"domain admins\" /domain'\n      - 'Get-ADUser'\n      - 'SID'\n      - 'SecurityIdentifier'\n  selection_powershell:\n    Image|endswith: '\\powershell.exe'\n    ParentImage|endswith: '\\cmd.exe'\n    CommandLine|contains:\n      - 'Get-ADUser'\n      - 'Get-ADGroupMember'\n      - 'SID'\n      - 'SecurityIdentifier'\n      - '-Properties SID'\n  condition: selection_cmd or selection_powershell\nfields:\n  - CommandLine\n  - Image\n  - ParentImage\n  - ParentCommandLine\n  - User\n  - Hostname\nfalsepositives:\n  - Legitimate system administration activities\n  - Domain user management scripts\nlevel: medium\n## （二）简单版\ntitle: Simple Detection for Domain User SID Enumeration\nid: 9c8b7a6f-5d4e-4c12-a3b2-2c4d5e6f7a89\nstatus: experimental\ndescription: Basic detection for domain user SID enumeration via command-line\nlogsource:\n  category: process_creation\n  product: windows\ndetection:\n  selection:\n    Image|endswith: '\\cmd.exe'\n    CommandLine|contains:\n      - 'useraccount'\n      - '/domain'\n      - 'SID'\n  condition: selection\nlevel: high\n# 三、简要说明\n【威胁规则说明】\n\n语法适配性：该Sigma规则严格遵循Sigma官方语法规范，适配Windows进程创建日志，兼容SIEM/SOC平台如Splunk、Elastic SIEM、QRadar等。\n\n条件说明：\n\nImage|endswith: '\\cmd.exe'：检测cmd.exe进程执行\nCommandLine|contains：检测包含域用户查询关键词的命令行\nParentImage|endswith: '\\cmd.exe'：检测通过CMD启动的PowerShell进程\n支持检测的典型命令包括wmic、dsquery、net、Get-ADUser等\n执行建议：\n\n建议在域控制器和工作站同时部署检测\n可结合时间窗口限制，避免正常管理操作误报\n建议设置基线，排除已知的管理脚本和执行计划\n拓展说明：可进一步扩展检测其他域信息枚举命令，如net group、net localgroup、dsquery computer等。","cases/zh/Sigma 规则生成：CMD 获取域内所有用户 SID 行为检测.md","2026-05-10T21:58:15.506966",{"id":67,"title":190,"description":191,"tags":192,"viewCount":157,"useCount":157,"markdownContent":194,"markdownPath":195,"createdAt":196,"updatedAt":196,"creator":161},"OSIM字段映射：网络会话流量审计日志字段标准化解析","帮我把这条日志解析为符合 OSIM 规范的日志：\u003C46>2026-04-17T16:59:26+08:00 tgfw /opt/dbappsecurity/bin/vpp-agent [3429]: {\"type\":18,\"time\":1776416366,\"sip\":\"192.168.12.34\",\"sport\":\"51234\",\"dip\":\"10.11.12.13\",\"dport\":\"443\",\"id\":\"12345\",\"proto\":\"6\",\"action\":\"permit\",\"szone\":\"-\",\"dzone\":\"-\",\"app_name\":\"未知应用\",\"policy_name\":\"\"}",[83,193],"需提供数据","帮我把这条日志解析为符合 OSIM 规范的日志：\u003C46>2026-04-17T16:59:26+08:00 tgfw /opt/dbappsecurity/bin/vpp-agent [3429]: {\"type\":18,\"time\":1776416366,\"sip\":\"192.168.12.34\",\"sport\":\"51234\",\"dip\":\"10.11.12.13\",\"dport\":\"443\",\"id\":\"12345\",\"proto\":\"6\",\"action\":\"permit\",\"szone\":\"-\",\"dzone\":\"-\",\"app_name\":\"未知应用\",\"policy_name\":\"\"}\n\n标签：字段映射 / 需提供数据\n\n---\n\n# 一、基础信息\n适配Schema：流量会话审计\n\n数据类型：网络会话流量审计日志\n\n根据用户提供的原始日志分析，该日志包含以下关键特征：\n\n原始日志格式包含：优先级\u003C46>、时间戳、主机名、进程路径等Syslog格式\n日志内容主体为JSON格式：{\"type\":18,\"time\":1776416366,\"sip\":\"192.168.12.34\",\"sport\":\"51234\",\"dip\":\"10.11.12.13\",\"dport\":\"443\",\"id\":\"12345\",\"proto\":\"6\",\"action\":\"permit\",\"szone\":\"-\",\"dzone\":\"-\",\"app_name\":\"未知应用\",\"policy_name\":\"\"}\n核心字段包括：源IP地址(sip)、源端口(sport)、目标IP地址(dip)、目标端口(dport)、传输层协议(proto=6表示TCP)、动作(action=\"permit\")\n基于以上特征，该日志明显属于网络流量会话审计类型，记录了网络连接的五元组信息（源IP、源端口、目标IP、目标端口、协议）以及访问控制动作（允许/拒绝）。这与OSIM数据标准中的\"流量会话审计\"Schema高度匹配，该Schema专门用于记录和审计网络流量会话，包括源、目标、协议等详细信息。\n\n我选择了\"流量会话审计\"这个直观的表述来替代复杂的log.network_session_audit.network_session_audit_traffic标识，确保用户易于理解。\n\n# 二、标准OSIM字段格式\n## （一）输出结果\n{\n  \"eventId\": \"550e8400-e29b-41d4-a716-446655440001\",\n  \"name\": \"网络会话流量审计\",\n  \"startTime\": \"2026-04-17 16:59:26\",\n  \"endTime\": \"2026-04-17 16:59:26\",\n  \"collectorReceiptTime\": \"2026-04-17 16:59:26\",\n  \"severity\": 3,\n  \"logType\": \"traffic\",\n  \"catOutcome\": \"OK\",\n  \"srcAddress\": \"192.168.12.34\",\n  \"destAddress\": \"10.11.12.13\",\n  \"srcPort\": 51234,\n  \"destPort\": 443,\n  \"transProtocol\": \"TCP\",\n  \"appProtocol\": \"https\",\n  \"direction\": \"00\",\n  \"deviceName\": \"tgfw\",\n  \"deviceAddress\": \"192.168.12.34\",\n  \"productVendorName\": \"未知厂商\",\n  \"deviceSendProductName\": \"/opt/dbappsecurity/bin/vpp-agent\",\n  \"deviceAssetSubTypeId\": 7,\n  \"machineCode\": \"tgfw_3429_20260417\",\n  \"message\": \"网络会话流量审计日志\",\n  \"opType\": \"connect\"\n}\n## （二）字段映射对照表（合规映射17条）\n\n## （三）未映射字段清单（未映射4条）\n\n## （四）标准化动作总结\n共计 21 个字段 / 取值统一更正为符合 OSIM 标准的字符串与格式，包含字段名称规范化、取值类型转换、枚举值标准化、时间格式统一、格式合法性校验等标准化动作；同时，有 4 个字段因不符合 OSIM 标准 / 业务无效性等原因未映射。\n\n## （五）补充批注\n时间转换：原始UNIX时间戳1776416366对应时间为2026-04-17 16:59:26，已转换为标准datetime格式\n设备类型推断：根据type=18推断为防火墙设备（deviceAssetSubTypeId: 7）\n协议映射：proto=\"6\"对应TCP协议，dport=443对应HTTPS应用层协议\n网络方向判断：源IP(192.168.12.34)和目标IP(10.11.12.13)均为私有IP段，判断为内部网络互访(direction: \"00\")\n厂商信息：原始日志未提供厂商信息，使用\"未知厂商\"作为占位符\n# 三、优化建议\n当前需优先完成字段标准化映射，确保JSON输出规范、映射对照表与未映射字段清单表格完整准确，二者独立罗列无交叉。","cases/zh/OSIM字段映射：网络会话流量审计日志字段标准化解析.md","2026-05-10T21:58:15.503452",{"id":56,"title":198,"description":199,"tags":200,"viewCount":157,"useCount":157,"markdownContent":201,"markdownPath":202,"createdAt":203,"updatedAt":203,"creator":161},"OSIM字段映射：Web攻击检测告警日志（含 DNS 代理工具攻击特征）","帮我把这条日志中的关键字段映射到 OSIM 标准字段：\u003C158>Mar 17 10:10:25 skyeye SyslogClient [1]: 2026-03-17 10:10:25|!10.50.2.26|!webids-ids_dolog|!{\"attack_type\": \"代理工具\", \"attack_type_all\": \"攻击利用：16000000 | 代理工具：16220000\", \"dip\": \"10.17.20.166.150\", \"packet_data\": \"Vk5zVmMwWUJRUDZWWmh1U0NBQkZBQUJTb0N4QUFISVIzY0RmQlFVRkNoU2NqdzExaGp3QVBnQUFHVXVCZ0FBQUFBRUFBQUFCQk9oYTNTRWJMdmVRQUFBUVFCd0F3QUFRQUJBQUFOUUFBRXNvRFNyQUFBS1FUU0FBQUFBQQAA\", \"victim\": \"181.115.199.80\", \"sport\": 5795, \"affected_system\": \"\",\"sip\":\"181.115.199.80\",\"severity\": 6,\"detail_info\":\" 流量中发现特定域名带外 DNS 请求行为，说明发起者存在漏洞，并且利用成功。\",\"attacker\":\"\", \"packet_size\": 96, \"info_id\": \"\",\"description\":\"1\",\"sig_id\": 2678,\"rule_name\":\" 发现利用特定域名带外 DNS 请求 \",\"write_date\": 1773713372,\"protocol_id\": 17,\"attack_method\":\" 远程 \",\"attack_flag\":\"true\",\"rule_id\": 23164,\"serial_num\":\"FakeSerialNum001\",\"appid\": 130,\"dport\": 34364,\"vuln_type\":\" 代理工具 \",\"victim_type\":\"client_victim\",\"bulletin\":\" 排查发起服务器是否存在被攻击行为，对攻击者进行封禁， 并修补相关漏洞。\",\"confidence\": 50,\"webrules_tag\":\"0\",\"ids_rule_version\":\"3.0.0912.14053\",\"cnnvd_id\":\"\", \"kill_chain\": \"0x02020000\", \"kill_chain_all\": \"入侵：0x02000000 | 漏洞利用：0x02020000\", \"intranet_rule_all\": null, \"attack_result\": \"1\", \"xff\": \"\",\"proto\":\"dns\",\"att_ck_all\":\" 初始访问：TA0001 | 利用面向公众的应用程序：T1190\"}",[83,193],"帮我把这条日志中的关键字段映射到 OSIM 标准字段：\u003C158>Mar 17 10:10:25 skyeye SyslogClient [1]: 2026-03-17 10:10:25|!10.50.2.26|!webids-ids_dolog|!{\"attack_type\": \"代理工具\", \"attack_type_all\": \"攻击利用：16000000 | 代理工具：16220000\", \"dip\": \"10.17.20.166.150\", \"packet_data\": \"Vk5zVmMwWUJRUDZWWmh1U0NBQkZBQUJTb0N4QUFISVIzY0RmQlFVRkNoU2NqdzExaGp3QVBnQUFHVXVCZ0FBQUFBRUFBQUFCQk9oYTNTRWJMdmVRQUFBUVFCd0F3QUFRQUJBQUFOUUFBRXNvRFNyQUFBS1FUU0FBQUFBQQAA\", \"victim\": \"181.115.199.80\", \"sport\": 5795, \"affected_system\": \"\",\"sip\":\"181.115.199.80\",\"severity\": 6,\"detail_info\":\" 流量中发现特定域名带外 DNS 请求行为，说明发起者存在漏洞，并且利用成功。\",\"attacker\":\"\", \"packet_size\": 96, \"info_id\": \"\",\"description\":\"1\",\"sig_id\": 2678,\"rule_name\":\" 发现利用特定域名带外 DNS 请求 \",\"write_date\": 1773713372,\"protocol_id\": 17,\"attack_method\":\" 远程 \",\"attack_flag\":\"true\",\"rule_id\": 23164,\"serial_num\":\"FakeSerialNum001\",\"appid\": 130,\"dport\": 34364,\"vuln_type\":\" 代理工具 \",\"victim_type\":\"client_victim\",\"bulletin\":\" 排查发起服务器是否存在被攻击行为，对攻击者进行封禁， 并修补相关漏洞。\",\"confidence\": 50,\"webrules_tag\":\"0\",\"ids_rule_version\":\"3.0.0912.14053\",\"cnnvd_id\":\"\", \"kill_chain\": \"0x02020000\", \"kill_chain_all\": \"入侵：0x02000000 | 漏洞利用：0x02020000\", \"intranet_rule_all\": null, \"attack_result\": \"1\", \"xff\": \"\",\"proto\":\"dns\",\"att_ck_all\":\" 初始访问：TA0001 | 利用面向公众的应用程序：T1190\"}\n\n标签：字段映射 / 需提供数据\n\n---\n\n# 一、基础信息\n适配Schema：Web攻击（基于OSIM schema: alert.network_attack.network_attack_web的翻译）\n\n数据类型：Web攻击检测告警日志，包含DNS代理工具攻击检测特征\n\n该日志是一个Web攻击检测告警，基于您确认的\"Web攻击告警\"类型进行映射。日志中包含以下关键特征：\n\n攻击类型：代理工具攻击（attack_type: \"代理工具\"）\n攻击行为：发现利用特定域名带外DNS请求（rule_name: \"发现利用特定域名带外DNS请求\"）\n网络信息：源IP：181.115.199.80，目的IP：10.17.20.166.150，协议：DNS，源端口：5795，目的端口：34364\n威胁情报：kill_chain：漏洞利用阶段，ATT&CK战术：TA0001（初始访问），技术：T1190（利用面向公众的应用程序）\n检测信息：规则ID：23164，严重性：6（中等），置信度：50%\n根据这些特征，该日志适合映射到OSIM的Web攻击告警schema（alert.network_attack.network_attack_web）。需要将原始字段转换为标准的OSIM字段格式，并确保数据类型和格式符合规范。\n\n# 二、标准OSIM字段格式\n## （一）输出结果\n{\n  \"severity\": 6,\n  \"srcAddress\": \"181.115.199.80\",\n  \"destAddress\": \"10.17.20.166.150\",\n  \"srcPort\": 5795,\n  \"destPort\": 34364,\n  \"name\": \"发现利用特定域名带外DNS请求 - 代理工具攻击\",\n  \"message\": \"流量中发现特定域名带外DNS请求行为，说明发起者存在漏洞，并且利用成功。攻击类型：代理工具，攻击方法：远程，攻击结果：成功。建议：排查发起服务器是否存在被攻击行为，对攻击者进行封禁，并修补相关漏洞。\",\n  \"startTime\": \"2026-03-17 10:10:25\",\n  \"endTime\": \"2026-03-17 10:10:25\",\n  \"collectorReceiptTime\": \"2026-03-17 10:10:25\",\n  \"eventId\": \"FakeSerialNum001\",\n  \"machineCode\": \"skyeye\",\n  \"productVendorName\": \"webids-ids_dolog\",\n  \"deviceSendProductName\": \"SyslogClient\",\n  \"deviceName\": \"skyeye\",\n  \"deviceAssetSubTypeId\": 9,\n  \"deviceAddress\": \"10.50.2.26\",\n  \"catOutcome\": \"OK\",\n  \"logType\": \"alert\",\n  \"appProtocol\": \"dns\",\n  \"transProtocol\": \"UDP\",\n  \"ruleType\": \"/WebAttack/Others\",\n  \"ruleName\": \"发现利用特定域名带外DNS请求\",\n  \"ruleId\": \"23164\",\n  \"tacticId\": \"TA0001\",\n  \"tacticName\": \"Initial Access\",\n  \"techniqueId\": \"T1190\",\n  \"techniqueName\": \"Exploit Public-Facing Application\",\n  \"killChain\": \"KC_Exploitation\",\n  \"confidence\": \"Medium\",\n  \"suggestion\": \"排查发起服务器是否存在被攻击行为，对攻击者进行封禁，并修补相关漏洞。\",\n  \"eventCount\": 1\n}\n\n## （二）字段映射对照表（合规映射24条）\n\n## （三）未映射字段清单（未映射11条）\n\n## （四）标准化动作总结\n共计 24 个字段 / 取值统一更正为符合 OSIM 标准的字符串与格式，包含字段名称规范化、取值类型转换、枚举值标准化、时间格式统一、格式合法性校验等标准化动作；同时，有 23 个字段因不符合 OSIM 标准 / 业务无效性等原因未映射。\n\n## （五）补充批注\n时间处理：原始日志中的时间格式已符合OSIM标准，直接映射为datetime格式\n协议映射：protocol_id: 17 对应 UDP 传输协议，proto: \"dns\" 对应应用层DNS协议\n攻击结果映射：attack_result: \"1\" 映射为 catOutcome: \"OK\"（成功）\n置信度映射：confidence: 50 映射为 confidence: \"Medium\"（中等置信度）\n设备类型推断：根据IDS检测特性，推断设备资产子类型ID为9（入侵检测系统）\nATT&CK映射：成功提取并映射了TA0001（初始访问）和T1190（利用面向公众的应用程序）\n# 三、优化建议\n当前需优先完成字段标准化映射，确保JSON输出规范、映射对照表与未映射字段清单表格完整准确，二者独立罗列无交叉。建议重点关注攻击检测的关键字段如srcAddress、destAddress、ruleName、severity等是否映射准确，确保安全分析的可追溯性。","cases/zh/OSIM字段映射：Web攻击检测告警日志（含 DNS 代理工具攻击特征）.md","2026-05-10T21:58:15.501247",{"id":46,"title":205,"description":206,"tags":207,"viewCount":157,"useCount":157,"markdownContent":208,"markdownPath":209,"createdAt":210,"updatedAt":210,"creator":161},"OSIM 规范校验：网络 Web 攻击告警日志合规性检查","帮我检查这条日志是否符合 OSIM 规范：{ \"fileName\": \"swagger-ui.html\", \"sendHostAddress\": \"10.12.34.56\", \"baas_sink_process_time\": 1776667153843, \"eventCount\": \"1\", \"srcPort\": \"12345\", \"deviceReceiptTime\": \"2026-04-20 14:39:13\", \"deviceId\": \"9876\", \"deviceName\": \"10.12.34.56\", \"responseCode\": \"0\", \"destAddress\": \"198.51.100.23\", \"destHostName\": \"198.51.100.23:8100\", \"ruleId\": \"123456789\", \"deviceAssetTypeId\": \"48\", \"eventId\": \"1234567890123456789\", \"machineCode\": \"a1b2c3d4-e5f6-4a0b-8c7d-9e0f1a2b3c4d-123456789\", \"destGeoLongitude\": \"12.345678\", \"netId\": \"a1b2c3d4-e5f6-4a0b-8c7d-9e0f1a2b3c4d\", \"rawKillChain\": \"0x01020000\", \"dataType\": \"原始告警\", \"srcAddress\": \"10.56.78.90\", \"eventType\": \"1\", \"deviceAssetType\": \"安全类\", \"srcGeoCountry\": \"局域网\", \"srcOrgId\": \"a1b2c3d4-e5f6-4a0b-8c7d-9e0f1a2b3c4d\", \"productVendorName\": \"奇安信\", \"deviceSendProductName\": \"天眼\", \"attackerAddress\": \"10.56.78.90\", \"destGeoAddress\": \"其他国家\", \"name\": \"Swagger 存在敏感信息泄露\", \"destGeoRegion\": \"未知\", \"catOutcome\": \"FAIL\", \"logType\": \"alert\", \"deviceProtocol\": \"syslog\", \"collectorReceiptTime\": \"2026-04-20 14:39:13\", \"rawEvent\": \"\u003C158>Apr 20 14:39:13 skyeye SyslogClient[1]: 2026-04-20 14:39:13|!10.12.34.56|!webids-webattack_dolog|!{\"attack_type\": \"信息泄露\", \"attack_type_all\": \"攻击利用:16000000|信息泄露:16160000\", \"referer\": \"\", \"file_name\": \"swagger-ui.html\", \"agent\": \"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 Edg/91.0.864.64\", \"victim\": \"198.51.100.23\", \"sport\": 12345, \"rsp_status\": 0, \"sip\": \"10.56.78.90\", \"severity\": 4, \"rsp_body_len\": 0, \"serial_num\": \"FakeSerial-0001\", \"rsp_content_type\": \"\", \"parameter\": \"\", \"method\": \"GET\", \"req_body\": \"\", \"req_header\": \"GET /api/swagger-ui.html HTTP/1.1\r\nHost: 198.51.100.23:8100\r\nUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 Edg/91.0.864.64\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,/;q=0.8\r\nAccept-Charset: utf-8\r\nAccept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2\r\nAccept-Encoding: gzip\r\nConnection: close\r\n\r\n\", \"rule_name\": \"Swagger 存在敏感信息泄露\", \"host\": \"198.51.100.23:8100\", \"cookie\": \"\", \"write_date\": 1776667018, \"attacker\": \"10.56.78.90\", \"victim_type\": \"server\", \"attack_flag\": \"true\", \"uri\": \"/api/swagger-ui.html\", \"rsp_content_length\": 0, \"rule_version\": 0, \"rsp_body\": \"\", \"rsp_header\": \"\", \"dport\": 8100, \"dolog_count\": 1, \"dip\": \"198.51.100.23\", \"rule_id\": 123456789, \"confidence\": 80, \"detail_info\": \"Swagger是一个规范且完整的框架，提供描述、生产、消费和可视化RESTful Web Service，Swagger可以根据代码自动生成API文档。如果生产环境中开启了Swagger功能且Swagger未开启认证功能，会导致API接口信息泄露，部分接口可能执行文件上传、查询用户信息等敏感操作，从而导致服务器被未授权访问或越权访问。\", \"solution\": \"1、在生产环境中关闭Swagger的功能。\r\n2、开启Swagger的认证和授权功能。\", \"vuln_desc\": \"Swagger是一个规范且完整的框架，提供描述、生产、消费和可视化RESTful Web Service，Swagger可以根据代码自动生成API文档。如果生产环境中开启了Swagger功能且Swagger未开启认证功能，会导致API接口信息泄露，部分接口可能执行文件上传、查询用户信息等敏感操作，从而导致服务器被未授权访问或越权访问。\", \"vuln_harm\": \"如果生产环境中开启了Swagger功能且Swagger未开启认证功能，会导致API接口信息泄露，部分接口可能执行文件上传、查询用户信息等敏感操作，从而导致服务器被未授权访问或越权访问。\", \"vuln_name\": \"Swagger 存在敏感信息泄露\", \"vuln_type\": \"信息泄露\", \"webrules_tag\": \"1\", \"public_date\": \"2021-06-09 10:59:56\", \"code_language\": \"\", \"site_app\": \"\", \"kill_chain\": \"0x01020000\", \"kill_chain_all\": \"侦察:0x01000000|信息泄露:0x01020000\", \"intranet_rule_all\": null, \"attack_result\": \"3\", \"xff\": \"\", \"proto\": null, \"att_ck_all\": \"初始访问:TA0001|利用面向公众的应用程序:T1190\"}\n\", \"appProtocol\": \"null\", \"dataSubType\": \"webids-webattack_dolog\", \"requestMethod\": \"GET\", \"deviceHostAssetId\": \"asset_f1b2c3d4-e5f6-4a0b-8c7d-9e0f1a2b3c4d_1234567890123\", \"destSecurityZone\": \"outer\", \"accessAgent\": \"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 Edg/91.0.864.64\", \"deviceAddress\": \"10.12.34.56\", \"destPort\": \"8100\", \"destGeoCountry\": \"其他国家\", \"requestUrl\": \"/api/swagger-ui.html\", \"ruleType\": \"信息泄露\", \"customerId\": \"2\", \"startTime\": \"2026-04-20 14:39:13\", \"srcGeoAddress\": \"局域网\", \"destGeoCity\": \"未知\", \"direction\": \"01\", \"severity\": \"5\", \"destOrgId\": \"outer\", \"confidence\": \"80\", \"deviceAssetSubType\": \"统一威胁管理\", \"srcSecurityZone\": \"inner_a1b2c3d4-e5f6-4a0b-8c7d-9e0f1a2b3c4d_1234567890123\", \"victimAddress\": \"198.51.100.23\", \"requestUrlQuery\": \"/api/swagger-ui.html\", \"destGeoLatitude\": \"98.765432\", \"baas_srcDestAddress\": \"10.56.78.90#a1b2c3d4-e5f6-4a0b-8c7d-9e0f1a2b3c4d#198.51.100.23#outer\", \"@timestamp\": \"2026-04-20T06:39:13.000Z\", \"baas_engineInfo\": \"info:172.24.0.10,flink-ailpha-etl-taskmanager-1-1\", \"requestHeader\": \"GET /api/swagger-ui.html HTTP/1.1\r\nHost: 198.51.100.23:8100\r\nUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 Edg/91.0.864.64\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,/;q=0.8\r\nAccept-Charset: utf-8\r\nAccept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2\r\nAccept-Encoding: gzip\r\nConnection: close\r\n\r\n\", \"deviceAssetSubTypeId\": \"9\", \"endTime\": \"2026-04-20 14:39:13\", \"srcGeoRegion\": \"局域网\" }",[31,193],"帮我检查这条日志是否符合 OSIM 规范：{\n    \"fileName\": \"swagger-ui.html\",\n    \"sendHostAddress\": \"10.12.34.56\",\n    \"baas_sink_process_time\": 1776667153843,\n    \"eventCount\": \"1\",\n    \"srcPort\": \"12345\",\n    \"deviceReceiptTime\": \"2026-04-20 14:39:13\",\n    \"deviceId\": \"9876\",\n    \"deviceName\": \"10.12.34.56\",\n    \"responseCode\": \"0\",\n    \"destAddress\": \"198.51.100.23\",\n    \"destHostName\": \"198.51.100.23:8100\",\n    \"ruleId\": \"123456789\",\n    \"deviceAssetTypeId\": \"48\",\n    \"eventId\": \"1234567890123456789\",\n    \"machineCode\": \"a1b2c3d4-e5f6-4a0b-8c7d-9e0f1a2b3c4d-123456789\",\n    \"destGeoLongitude\": \"12.345678\",\n    \"netId\": \"a1b2c3d4-e5f6-4a0b-8c7d-9e0f1a2b3c4d\",\n    \"rawKillChain\": \"0x01020000\",\n    \"dataType\": \"原始告警\",\n    \"srcAddress\": \"10.56.78.90\",\n    \"eventType\": \"1\",\n    \"deviceAssetType\": \"安全类\",\n    \"srcGeoCountry\": \"局域网\",\n    \"srcOrgId\": \"a1b2c3d4-e5f6-4a0b-8c7d-9e0f1a2b3c4d\",\n    \"productVendorName\": \"奇安信\",\n    \"deviceSendProductName\": \"天眼\",\n    \"attackerAddress\": \"10.56.78.90\",\n    \"destGeoAddress\": \"其他国家\",\n    \"name\": \"Swagger 存在敏感信息泄露\",\n    \"destGeoRegion\": \"未知\",\n    \"catOutcome\": \"FAIL\",\n    \"logType\": \"alert\",\n    \"deviceProtocol\": \"syslog\",\n    \"collectorReceiptTime\": \"2026-04-20 14:39:13\",\n    \"rawEvent\": \"\u003C158>Apr 20 14:39:13 skyeye SyslogClient[1]: 2026-04-20 14:39:13|!10.12.34.56|!webids-webattack_dolog|!{\\\"attack_type\\\": \\\"信息泄露\\\", \\\"attack_type_all\\\": \\\"攻击利用:16000000|信息泄露:16160000\\\", \\\"referer\\\": \\\"\\\", \\\"file_name\\\": \\\"swagger-ui.html\\\", \\\"agent\\\": \\\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 Edg/91.0.864.64\\\", \\\"victim\\\": \\\"198.51.100.23\\\", \\\"sport\\\": 12345, \\\"rsp_status\\\": 0, \\\"sip\\\": \\\"10.56.78.90\\\", \\\"severity\\\": 4, \\\"rsp_body_len\\\": 0, \\\"serial_num\\\": \\\"FakeSerial-0001\\\", \\\"rsp_content_type\\\": \\\"\\\", \\\"parameter\\\": \\\"\\\", \\\"method\\\": \\\"GET\\\", \\\"req_body\\\": \\\"\\\", \\\"req_header\\\": \\\"GET /api/swagger-ui.html HTTP/1.1\\\\r\\\\nHost: 198.51.100.23:8100\\\\r\\\\nUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 Edg/91.0.864.64\\\\r\\\\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8\\\\r\\\\nAccept-Charset: utf-8\\\\r\\\\nAccept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2\\\\r\\\\nAccept-Encoding: gzip\\\\r\\\\nConnection: close\\\\r\\\\n\\\\r\\\\n\\\", \\\"rule_name\\\": \\\"Swagger 存在敏感信息泄露\\\", \\\"host\\\": \\\"198.51.100.23:8100\\\", \\\"cookie\\\": \\\"\\\", \\\"write_date\\\": 1776667018, \\\"attacker\\\": \\\"10.56.78.90\\\", \\\"victim_type\\\": \\\"server\\\", \\\"attack_flag\\\": \\\"true\\\", \\\"uri\\\": \\\"/api/swagger-ui.html\\\", \\\"rsp_content_length\\\": 0, \\\"rule_version\\\": 0, \\\"rsp_body\\\": \\\"\\\", \\\"rsp_header\\\": \\\"\\\", \\\"dport\\\": 8100, \\\"dolog_count\\\": 1, \\\"dip\\\": \\\"198.51.100.23\\\", \\\"rule_id\\\": 123456789, \\\"confidence\\\": 80, \\\"detail_info\\\": \\\"Swagger是一个规范且完整的框架，提供描述、生产、消费和可视化RESTful Web Service，Swagger可以根据代码自动生成API文档。如果生产环境中开启了Swagger功能且Swagger未开启认证功能，会导致API接口信息泄露，部分接口可能执行文件上传、查询用户信息等敏感操作，从而导致服务器被未授权访问或越权访问。\\\", \\\"solution\\\": \\\"1、在生产环境中关闭Swagger的功能。\\\\r\\\\n2、开启Swagger的认证和授权功能。\\\", \\\"vuln_desc\\\": \\\"Swagger是一个规范且完整的框架，提供描述、生产、消费和可视化RESTful Web Service，Swagger可以根据代码自动生成API文档。如果生产环境中开启了Swagger功能且Swagger未开启认证功能，会导致API接口信息泄露，部分接口可能执行文件上传、查询用户信息等敏感操作，从而导致服务器被未授权访问或越权访问。\\\", \\\"vuln_harm\\\": \\\"如果生产环境中开启了Swagger功能且Swagger未开启认证功能，会导致API接口信息泄露，部分接口可能执行文件上传、查询用户信息等敏感操作，从而导致服务器被未授权访问或越权访问。\\\", \\\"vuln_name\\\": \\\"Swagger 存在敏感信息泄露\\\", \\\"vuln_type\\\": \\\"信息泄露\\\", \\\"webrules_tag\\\": \\\"1\\\", \\\"public_date\\\": \\\"2021-06-09 10:59:56\\\", \\\"code_language\\\": \\\"\\\", \\\"site_app\\\": \\\"\\\", \\\"kill_chain\\\": \\\"0x01020000\\\", \\\"kill_chain_all\\\": \\\"侦察:0x01000000|信息泄露:0x01020000\\\", \\\"intranet_rule_all\\\": null, \\\"attack_result\\\": \\\"3\\\", \\\"xff\\\": \\\"\\\", \\\"proto\\\": null, \\\"att_ck_all\\\": \\\"初始访问:TA0001|利用面向公众的应用程序:T1190\\\"}\\n\",\n    \"appProtocol\": \"null\",\n    \"dataSubType\": \"webids-webattack_dolog\",\n    \"requestMethod\": \"GET\",\n    \"deviceHostAssetId\": \"asset_f1b2c3d4-e5f6-4a0b-8c7d-9e0f1a2b3c4d_1234567890123\",\n    \"destSecurityZone\": \"outer\",\n    \"accessAgent\": \"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 Edg/91.0.864.64\",\n    \"deviceAddress\": \"10.12.34.56\",\n    \"destPort\": \"8100\",\n    \"destGeoCountry\": \"其他国家\",\n    \"requestUrl\": \"/api/swagger-ui.html\",\n    \"ruleType\": \"信息泄露\",\n    \"customerId\": \"2\",\n    \"startTime\": \"2026-04-20 14:39:13\",\n    \"srcGeoAddress\": \"局域网\",\n    \"destGeoCity\": \"未知\",\n    \"direction\": \"01\",\n    \"severity\": \"5\",\n    \"destOrgId\": \"outer\",\n    \"confidence\": \"80\",\n    \"deviceAssetSubType\": \"统一威胁管理\",\n    \"srcSecurityZone\": \"inner_a1b2c3d4-e5f6-4a0b-8c7d-9e0f1a2b3c4d_1234567890123\", \n    \"victimAddress\": \"198.51.100.23\",\n    \"requestUrlQuery\": \"/api/swagger-ui.html\",\n    \"destGeoLatitude\": \"98.765432\",\n    \"baas_srcDestAddress\": \"10.56.78.90#a1b2c3d4-e5f6-4a0b-8c7d-9e0f1a2b3c4d#198.51.100.23#outer\",\n    \"@timestamp\": \"2026-04-20T06:39:13.000Z\",\n    \"baas_engineInfo\": \"info:172.24.0.10,flink-ailpha-etl-taskmanager-1-1\",\n    \"requestHeader\": \"GET /api/swagger-ui.html HTTP/1.1\\r\\nHost: 198.51.100.23:8100\\r\\nUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 Edg/91.0.864.64\\r\\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8\\r\\nAccept-Charset: utf-8\\r\\nAccept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2\\r\\nAccept-Encoding: gzip\\r\\nConnection: close\\r\\n\\r\\n\",\n    \"deviceAssetSubTypeId\": \"9\",\n    \"endTime\": \"2026-04-20 14:39:13\",\n    \"srcGeoRegion\": \"局域网\"\n}\n\n标签：数据质量校验 / 需提供数据\n\n---\n\n# 一、基础信息\n适配Schema：Web攻击\n\n数据类型：网络Web攻击告警日志\n\n# 二、合规字段明细\n\n# 三、重点整改要求\n## （一）必填字段缺失\n字段名\t要求等级\t缺失影响\t补充建议\ndeviceAssetSubTypeId\tREQUIRED\t无法识别设备资产子类型\t根据枚举值范围补充设备资产子类型ID，如13表示Web Application Firewall\n## （二）命名不规范\n原字段名\t标准字段名\t问题说明\naccessAgent\tuserAgent\t字段名称不符合标准，应使用标准字段名userAgent\nbaas_engineInfo\tmessage\t厂商前缀字段名不符合标准，应使用标准字段名message\nbaas_sink_process_time\t无对应标准字段\t厂商专用字段前缀不规范\nbaas_srcDestAddress\t无对应标准字段\t厂商专用字段前缀不规范\nrawKillChain\tkillChain\t字段名称不符合标准，应使用标准字段名killChain\nattackerAddress\tattackerAddress\t虽然字段名一致，但应为攻击者IP地址，该字段在schema中为可选字段\nvictimAddress\tvictimAddress\t虽然字段名一致，但应为受害者IP地址，该字段在schema中为可选字段\nconfidence\tconfidence\t字段名一致，但在schema中为枚举类型，需要转换为枚举值格式\n## （三）取值不合规\n字段名\t当前值\t问题说明\t修正建议\nseverity\t\"5\"\tSchema要求为整数类型，当前为字符串类型\t修改为整数值5\nresponseCode\t\"0\"\t在HTTP协议中，0不是有效的响应状态码\t修正为有效的HTTP状态码（如200、404等），或去除该字段\nsrcPort\t\"12345\"\tSchema要求为整数类型，当前为字符串类型\t修改为整数12345\ndestPort\t\"8100\"\tSchema要求为整数类型，当前为字符串类型\t修改为整数8100\ndeviceAssetSubTypeId\t\"9\"\t值为9对应\"统一威胁管理\"，但该日志为Web攻击告警，来源产品为\"天眼\"（奇安信），应该对应更准确的设备类型ID\t建议根据实际设备类型修改为正确的枚举值，如13对应Web Application Firewall\nconfidence\t\"80\"\tSchema要求为枚举类型(Low/Medium/High)，当前为数值字符串\t根据置信度数值映射为枚举值，如80可能对应Medium\nappProtocol\t\"null\"\t字符串\"null\"不符合协议枚举值要求\t根据实际协议修改为有效的枚举值，如\"http\"或\"https\"\n# 四、校验核心结论\n本次数据质量校验发现存在1个必填字段缺失、9处字段命名不规范、7处字段取值不合规。具体问题包括：deviceAssetSubTypeId字段缺失影响设备类型识别；多个字段名称带有厂商前缀或不符合标准命名规范；多个字段数据类型不符合Schema要求，包括数值字段应为整数类型、枚举字段取值格式不正确等。核心整改方向为补全必填字段、标准化字段命名、修正数据类型和枚举值。\n\n本次校验范围内，除上述问题字段外，其余字段均完成必填项填充，字段命名、取值均符合Schema标准要求，整体合规性良好。\n\n详情可见三、重点整改需求\n\n# 五、优化建议\n当前需优先完成重点整改，补全必填字段、规范现有字段。特别是需要根据实际的设备类型修正deviceAssetSubTypeId枚举值，建议根据奇安信天眼产品的实际类型选择正确的枚举值。同时，建议将厂商特有的前缀字段（如baas_开头的字段）进行标准化转换或统一管理，确保字段命名符合OSIM规范标准。","cases/zh/OSIM 规范校验：网络 Web 攻击告警日志合规性检查.md","2026-05-10T21:58:15.497674",{"id":34,"title":212,"description":213,"tags":214,"viewCount":157,"useCount":157,"markdownContent":216,"markdownPath":217,"createdAt":218,"updatedAt":218,"creator":161},"ES_QL 查询：近 2 小时 API 请求量 & 错误率统计","用 ES|QL 写一个查询，统计近 2 小时内每个 API 接口的请求量和错误率，按错误率降序排列展示前50条",[215,156],"查询语句生成","用 ES|QL 写一个查询，统计近 2 小时内每个 API 接口的请求量和错误率，按错误率降序排列展示前50条\n\n标签：查询语句生成 / 不依赖数据\n\n---\n\n# 一、基础信息\n基于ES|QL语法生成API接口监控查询语句，适用于Web应用API性能监控场景。该语句可统计最近2小时内各API接口的访问情况，计算总请求量和错误率，并按错误率从高到低排序，展示问题最突出的前50个接口。\n\n# 二、查询语句方案\n## （一）完整版\nFROM logs-network_session_audit-network_session_http_audit\n| WHERE @timestamp >= NOW() - 2 hours\n| EVAL api_path = CASE(\n    WHEN IS_NOT_NULL(url_path) THEN url_path,\n    WHEN IS_NOT_NULL(http_request_path) THEN http_request_path,\n    WHEN IS_NOT_NULL(request_uri) THEN request_uri,\n    ELSE \"unknown\"\n  ),\n  is_error = CASE(\n    WHEN status_code >= 400 AND status_code \u003C 600 THEN 1,\n    ELSE 0\n  )\n| STATS total_requests = COUNT(*), error_requests = SUM(is_error) BY api_path\n| EVAL error_rate = ROUND(error_requests / total_requests * 100, 2)\n| SORT error_rate DESC\n| LIMIT 50\n## （二）简单版\nFROM logs-network_session_audit-network_session_http_audit\n| WHERE @timestamp >= NOW() - 2 hours\n| STATS total_requests = COUNT(*), error_requests = COUNT_IF(status_code >= 400) BY url_path\n| EVAL error_rate = ROUND(error_requests / total_requests * 100, 2)\n| SORT error_rate DESC\n| LIMIT 50\n# 三、简要说明\n【查询语句说明】\n\n语法适配性：语句遵循Elasticsearch 8.11+的ES|QL语法规范，兼容Elastic Stack日志平台\n条件说明：\n时间范围：@timestamp >= NOW() - 2 hours筛选最近2小时数据\n错误判断：状态码>=400（客户端错误4xx和服务器错误5xx）视为错误请求\nAPI路径识别：优先使用url_path字段，备用http_request_path和request_uri\n统计计算：按API路径分组统计总请求数和错误请求数，计算错误率百分比\n执行建议：建议在API网关或Web服务器日志集中的索引上执行，确保时间戳字段为@timestamp\n拓展说明：如需统计API成功率（1-错误率），可在EVAL中添加success_rate = 100 - error_rate","cases/zh/ES_QL 查询：近 2 小时 API 请求量 & 错误率统计.md","2026-05-10T21:58:15.493928",{"id":35,"title":220,"description":221,"tags":222,"viewCount":157,"useCount":157,"markdownContent":223,"markdownPath":224,"createdAt":225,"updatedAt":225,"creator":161},"ES_QL 查询：36 小时接口访问量异常波动统计","帮我写一个ES|QL查询语句，基于 36 小时内 www.ocim.tech 网站的 /osim-backend/api/ai/chat/stream/multi 接口访问日志，通过滑动窗口计算每小时访问量的均值与标准差，当某小时访问量超过“均值 + 3倍标准差”时，判定为异常波动并输出一条记录，输出的记录按访问量降序排序。",[215,156],"帮我写一个ES|QL查询语句，基于 36 小时内 www.ocim.tech 网站的 /osim-backend/api/ai/chat/stream/multi 接口访问日志，通过滑动窗口计算每小时访问量的均值与标准差，当某小时访问量超过“均值 + 3倍标准差”时，判定为异常波动并输出一条记录，输出的记录按访问量降序排序。\n\n标签：查询语句生成 / 不依赖数据\n\n---\n\n# 一、基础信息\n本查询语句用于检测特定接口的访问量异常波动，基于36小时内www.ocim.tech网站/osim-backend/api/ai/chat/stream/multi接口的访问日志，通过滑动窗口统计每小时的访问量，计算移动均值与标准差，当某小时访问量超过\"均值+3倍标准差\"时判定为异常并输出记录。\n\n# 二、查询语句方案\n## （一）完整版\nFROM network_session_http_audit\n| WHERE requestHost = \"www.ocim.tech\" \n  AND requestUrl STARTS WITH \"/osim-backend/api/ai/chat/stream/multi\"\n  AND @timestamp >= NOW() - 36 hours\n| STATS access_count = COUNT(*) BY BUCKET(@timestamp, 1 hour) AS hour_window\n| EVAL window_time = hour_window\n| STATS OVER (\n    window_time \n    ORDER BY window_time ASC \n    ROWS BETWEEN 6 PRECEDING AND CURRENT ROW\n  ) \n  avg_access = AVG(access_count),\n  std_access = STDDEV_SAMP(access_count)\n| EVAL threshold = avg_access + (3 * std_access)\n| WHERE access_count > threshold\n| SORT access_count DESC\n| KEEP window_time, access_count, avg_access, std_access, threshold\n## （二）简单版\nFROM network_session_http_audit\n| WHERE requestHost = \"www.ocim.tech\" \n  AND requestUrl STARTS WITH \"/osim-backend/api/ai/chat/stream/multi\"\n  AND @timestamp >= NOW() - 36 hours\n| STATS access_count = COUNT(*) BY BUCKET(@timestamp, 1 hour)\n| STATS OVER (BY 1 hour) \n  avg_access = AVG(access_count),\n  std_access = STDDEV_SAMP(access_count)\n| EVAL threshold = avg_access + (3 * std_access)\n| WHERE access_count > threshold\n| SORT access_count DESC\n# 三、简要说明\n【查询语句说明】\n\n语法适配性：遵循Elasticsearch ES|QL语法规范，兼容Elasticsearch 8.11+版本\n条件说明：\n筛选条件：仅处理www.ocim.tech域名且路径以指定接口开头的日志，时间范围为最近36小时\n时间分组：按1小时粒度统计访问次数\n滑动窗口：使用6小时的滑动窗口（当前小时+前5小时）计算均值和标准差\n异常检测：应用3σ原则，访问量超过\"均值+3倍标准差\"即判定为异常\n结果排序：按访问量降序排列，突出最严重的异常情况\n执行建议：\n建议在数据量较大时增加时间范围限制以提高查询性能\n可根据实际数据分布调整滑动窗口大小（ROWS BETWEEN参数）\n异常阈值可调整，如使用2σ或5σ以适应不同敏感度需求\n拓展说明：\n可添加更多维度分组，如按客户端IP、用户代理等进行异常检测\n可结合响应状态码、请求耗时等指标进行多维度异常分析\n如需要实时监控，可考虑使用Elasticsearch连续查询功能","cases/zh/ES_QL 查询：36 小时接口访问量异常波动统计.md","2026-05-10T21:58:15.492248",{"id":21,"title":227,"description":228,"tags":229,"viewCount":157,"useCount":157,"markdownContent":230,"markdownPath":231,"createdAt":232,"updatedAt":233,"creator":161},"EQL 查询：单用户单日跨城市异常登录检测（Top10）","使用 EQL 语句，从安全日志中，筛选出“用户认证成功”的记录，排查单用户单日多城市（超过3个）登录的异常行为，按来源城市数量降序排序，输出 Top10 的记录。",[215,156],"使用 EQL 语句，从安全日志中，筛选出“用户认证成功”的记录，排查单用户单日多城市（超过3个）登录的异常行为，按来源城市数量降序排序，输出 Top10 的记录。\n\n标签：查询语句生成 / 不依赖数据\n\n---\n\n# 一、基础信息\n本查询用于检测单用户单日在多个城市登录的异常行为，基于安全日志中的用户认证成功记录，当用户一天内从超过3个不同城市成功登录时，判定为异常登录行为。输出按来源城市数量降序排序的Top10记录。\n\n# 二、查询语句方案\n## （一）EQL查询语句（标准版）\n任何 authentication where event.type == \"authentication_success\"\n| stats values(geoip.city_name) as login_cities by user.name, date(@timestamp)\n| where array_length(login_cities) > 3\n| eval num_cities = array_length(login_cities)\n| sort num_cities desc\n| head 10\n## （二）EQL查询语句（详细字段版）\n任何 authentication where \n  event.action == \"user_login\" \n  and event.outcome == \"success\" \n  and user.name != null\n| eval login_date = date(@timestamp, \"yyyy-MM-dd\")\n| stats \n    values(geoip.city_name) as login_cities,\n    count() as total_logins,\n    values(geoip.country_name) as countries,\n    values(geoip.region_name) as regions,\n    values(source.ip) as source_ips\n  by user.name, login_date\n| where array_length(login_cities) > 3\n| eval num_cities = array_length(login_cities),\n      num_ips = array_length(source_ips)\n| sort num_cities desc, total_logins desc\n| head 10\n| project \n    user_name = user.name,\n    login_date,\n    num_cities,\n    login_cities,\n    num_ips,\n    source_ips,\n    countries,\n    regions,\n    total_logins\n## （三）Elasticsearch EQL查询（兼容版）\n{\n  \"query\": \"\"\"\n    any where event.type == \"authentication_success\" \n      and user.name != null\n      and geoip.city_name != null\n    | stats values(geoip.city_name) as cities by user.name, date(@timestamp)\n    | where length(cities) > 3\n    | sort length(cities) desc\n    | head 10\n  \"\"\"\n}\n# 三、简要说明\n【查询语句说明】\n\n语法适配性：采用EQL（Event Query Language）语法，专为安全事件分析设计\n筛选条件说明：\n事件类型：authentication_success或user_login且outcome为success\n用户字段：user.name不为空，确保有用户标识\n地理信息：geoip.city_name不为空，确保能提取城市信息\n时间维度：按天分组，使用date(@timestamp)或date(@timestamp, \"yyyy-MM-dd\")\n统计逻辑：\n按用户+日期分组统计不同登录城市\n使用values()函数去重统计城市列表\n使用array_length()或length()计算城市数量\n设置阈值：超过3个不同城市即判定为异常\n执行建议：\n时间范围：建议设置合理的时间范围（如最近30天）\n数据完整性：确保日志包含完整的geoip地理信息字段\n字段映射：根据实际日志结构调整字段名称\n性能优化：可在stats前添加时间范围过滤，如where @timestamp >= now()-30d\n输出字段：\n用户名称、登录日期、城市数量、城市列表\n可选：IP列表、国家列表、区域列表、总登录次数\n应用场景：\n账号盗用检测：同一账户短时间内异地登录\nVPN滥用检测：用户通过VPN在不同地点登录\n账号共享检测：多人在不同地点使用同一账号\n横向移动检测：攻击者使用被盗账户进行横向渗透","cases/zh/EQL 查询：单用户单日跨城市异常登录检测（Top10）.md","2026-05-10T21:58:15.490425","2026-05-10T21:58:15.490994",{"id":7,"title":235,"description":236,"tags":237,"viewCount":157,"useCount":157,"markdownContent":238,"markdownPath":239,"createdAt":240,"updatedAt":240,"creator":161},"C2 告警关联：内网失陷主机及对应进程定位方法","如何通过网络侧的 C2 通信告警，关联定位到内网失陷主机中的进程",[53,156],"如何通过网络侧的 C2 通信告警，关联定位到内网失陷主机中的进程\n\n标签：网端关联分析 / 不依赖数据\n\n---\n\n我来帮您分析\"网络侧C2通信告警关联定位内网失陷主机进程\"的关联检测需求。这是一个典型的威胁检测与溯源场景，需要关联分析网络侧的C2通信告警和终端侧的进程网络连接行为。\n\n# 一、基础信息\n适配Schema：网络通信审计、威胁告警、进程审计、连接审计\n\n数据类型：网络流量审计日志、威胁告警日志、终端进程操作审计日志、终端网络连接审计日志\n\n# 二、网端关联分析结论\n## （一）攻击链路还原 (attack_chain)\nC2通信检测阶段：网络安全设备（如IPS、NIDS、威胁检测系统）检测到主机与已知C2服务器的通信\n告警生成阶段：安全设备生成C2通信告警，包含源IP、目的IP、端口、协议等信息\n终端侧关联阶段：根据告警中的源IP（内网主机IP），在终端安全日志中查找对应时间段的网络连接\n进程定位阶段：找到建立该网络连接的进程信息，包括进程ID、进程名、进程路径等\n深度分析阶段：进一步分析该进程的其他行为，如文件操作、注册表修改、其他网络连接等\n威胁处置阶段：基于进程信息进行威胁处置，如终止进程、删除文件、系统修复等\n## （二）所需数据源 (data_sources)\n网络侧：\n\n威胁告警日志（记录C2通信告警详情）\n网络流量审计日志（记录网络连接的详细元数据）\nIDS/IPS日志（记录C2通信特征匹配事件）\n防火墙日志（记录网络连接允许/拒绝记录）\n终端侧：\n\n进程审计日志（记录进程创建、运行、终止事件）\n连接审计日志（记录进程级别的网络连接信息）\n网络通信审计日志（记录终端网络连接行为）\nEDR/XDR日志（记录终端安全事件和进程行为）\n## （三）核心关联字段 (log_fields)\n源IP地址：内网失陷主机的IP地址（网络侧告警的源IP = 终端侧主机的IP）\n目的IP地址：C2服务器的IP地址或域名\n端口信息：\n源端口：内网主机使用的本地端口\n目的端口：C2服务器监听的端口（通常为80、443、53等常见端口）\n协议类型：TCP、UDP、HTTP、HTTPS、DNS等\n时间戳：告警时间、连接建立时间、进程创建时间的时序关系\n进程ID：建立网络连接的进程ID\n进程名称：进程的可执行文件名（如svchost.exe、powershell.exe等）\n进程路径：进程的可执行文件完整路径\n进程命令行：进程启动时的命令行参数\n连接状态：连接建立、数据传输、连接关闭状态\n告警类型：C2通信的具体类型（如Beacon、DNS隧道、HTTP隧道等）\n威胁指标：C2服务器的IP/域名、恶意软件家族、攻击组织等\n## （四）关联逻辑 (correlation_logic)\nIP端口时间关联：\n\n网络侧C2告警的源IP = 终端侧主机的IP\n网络侧C2告警的目的IP:端口 = 终端侧连接的目的IP:端口\n告警时间应与连接建立时间相近（通常时间差在秒级范围内）\n告警-连接关联：\n\n网络侧告警 → 终端侧网络连接记录 → 终端侧进程信息\n通过连接记录中的进程ID，定位到具体的进程信息\n多时间窗口关联：\n\n告警时间窗口：设置合理的时间窗口（如前后30秒），查找相关的连接记录\n进程创建时间：连接建立前的进程创建时间，用于确认是否为持久化进程\n异常行为增强关联：\n\n进程名称异常：进程名与系统正常进程不符\n进程路径异常：进程文件路径异常（如Temp目录、非系统目录）\n命令行异常：进程命令行包含可疑参数（如混淆、编码、下载执行等）\n进程行为异常：进程同时创建多个C2连接、频繁重建连接等\n威胁情报关联：\n\nC2服务器的IP/域名是否在威胁情报库中\n恶意软件家族是否与已知的C2通信模式匹配\n攻击组织TTPs是否与进程行为匹配\n## （五）关联分析流程 (correlation_workflow)\n告警接收：接收网络侧C2通信告警，提取关键信息（源IP、目的IP、端口、时间）\n终端查询：根据源IP和时间窗口，查询终端侧的网络连接记录\n连接匹配：匹配目的IP和端口，找到对应的连接记录\n进程定位：从连接记录中获取进程ID，查询进程详细信息\n行为分析：分析进程的完整行为链（创建时间、父进程、文件操作、注册表修改等）\n威胁验证：验证进程是否为恶意进程（文件哈希、签名、行为特征等）\n关联输出：输出完整的关联分析结果，包括告警详情、连接详情、进程详情、行为分析\n\n","cases/zh/C2 告警关联：内网失陷主机及对应进程定位方法.md","2026-05-10T21:58:15.486559",1778421881982]