# OSIM使用的进阶技巧 ## OSIM.Schema使用指南 # 进阶实践 ### 📚 深化你的 OSIM 全流程落地能力 _熟练掌握 OSIM 从数据标准化处理到安全场景闭环落地的进阶技巧 —— 基于初阶基础,实现复杂场景实战应用_ 重要前提:请确保已完全掌握《OSIM 指南 - 初阶说明》中的核心能力(数据规范认知、基础字段检索、简单场景功能使用),再开展本进阶指南的操作,避免因基础操作不熟悉影响实践效果。 让我们通过完整进阶流程,提升 OSIM 应用水平: > 案例一:“解决日志标准化解析、校验与关键字段保障问题” > 案例二:“解决安全场景从需求到响应的全流程标准化构建问题” 你可以根据步骤逐步上手这些基础操作👇 --- ## 案例一:日志解析并反向校验 我们将通过3个步骤,完成案例一:“日志解析映射→正则表达式生成→数据质量校验”,输入具体日志数据,输出 OSIM 标准字段映射、适配正则及数据质量建议。 ![image.png](/images/markdown/OSIM使用的进阶技巧-1.png) ### Step1. 日志字段 OSIM 标准映射 提供详细字段有利于字段映射功能为你生成更高准确率的结果。例如: > “请帮我将下述数据按照 OSIM 标准进行字段映射 > \u003c11\u003eApr 7 09:39:03 localhost waf: tag:waf\_log\_websec site\_id:1592578825 protect\_id:2606135794 dst\_ip:2408:862e:4:1::2 dst\_port:80 src\_ip:2a05:d01c:b43:8a10:6d6:eac6:cc5c:8c8b src\_port:41780 method:UNKNOWN domain:None uri:None alertlevel:MEDIUM event\_type:HTTP\_Protocol\_Validation stat\_time:2024-04-07 09:39:02 policy\_id:1 rule\_id:0 action:Forward block:No block\_info:None http:FgMBALEBAACtAwNACozhjrPnB8JS7e1cxbP4LUrX70wL8WvCQ1byklrNEAAAUMAvwCvAEcAHwBPACcAUwAoABQAvADXAEgAKwCTAI8AIAJ4AnQCcwCjAJ8ypzKjMqgBrAGcAOQAzABYAPQA8AAQAFACfABXALMAwAAgABgADAQAANAAFAAUBAAAAAAAKAAgABgAXABgAGQALAAIBAAANABAADgQBBAMCAQIDBAEFAQYB/wEAAQA\u003d alertinfo:cmVxdWVzdCBtZXRob2QgYmVnaW4gd2l0aCBub24tY2FwaXRhbCBsZXR0ZXJzIG9yIG92ZXIgbG9hZCBjb250ZW50LWxlbmd0aA\u003d\u003d proxy\_info:None characters:Tm9uZQ\u003d\u003d count\_num:1 protocol\_type:HTTP wci:Tm9uZQ\u003d\u003d wsi:Tm9uZQ\u003d\u003d country:Other Country correlation\_id:0 site\_name:2408:862e:4:1::2 vsite\_name:None raw\_client\_ip:2a05:d01c:0b43:8a10:06d6:eac6:cc5c:8c8b ” 具体操作: 1. 在场景中,点击功能「字段映射」 2. 提交日志数据外,补充说明字段映射诉求,提交问题 * OSIM助手将自动完成以下步骤: ● 深度解析日志原始结构,区分系统字段、业务字段及扩展字段 ● 严格匹配 OSIM 数据类型约束(含正则格式、最大长度等) ● 生成包含 “**原始字段-OSIM字段-映射说明-要求等级-类型-映射后示例**” 的**逐字段映射表** ● 标记字段补全说明并提供优化方案 ### Step2. 日志解析正则表达式生成(追问) 无需退出当前场景对话,用自然语言即可对当前生成结果进行追问。例如: > “请帮我按照 OSIM 标准对上述日志数据进行解析,确保正则表达式能够解析上述数据再输出完整的正则表达式” 具体操作: 在输入框中输入指令明确需求 "**基于 OSIM 标准生成可解析该日志的完整正则表达式**",提交追问 * OSIM助手将自动完成以下步骤: ● 基于场景行为逻辑及 OSIM 字段规范进行匹配和检索 ● 定义规则触发条件、关联维度、阈值设置 ● 生成结构化的场景关联规则,包含规则描述、触发条件、字段关联关系等 ● 生成某一编程语言的示例(若无特定要求则默认生成Python 示例) ### Step3. 质量校验及优化建议(追问) 无需退出当前场景对话,用自然语言即可对当前生成结果进行追问。例如: > “帮我检查下这份数据的质量如何,关键分析字段是否遗漏并提供建议” 具体操作: 在输入框中输入指令明确需求 "**检查数据质量 + 验证关键字段完整性**",提交追问 * OSIM助手将自动完成以下步骤: ● 原始日志的数据清洗,并基于OSIM 数据类型要求校验日志数据格式规范性 ● 核查安全分析关键字段是否缺失 ● 输出**数据质量评估报告** ● 提供**字段补充、格式优化**等实操建议 ## 案例二:安全场景建设全流程 我们将通过4个步骤,完成案例二:“安全场景需求定义→场景规则生成→数据检索查询→响应处置剧本设计”,输入特定安全场景需求,输出数据源字段要求、检测规则、检索语句及应急剧本。 ![image.png](/images/markdown/OSIM使用的进阶技巧-2.png) ### Step1. 安全场景建设 用自然语言描述你的问题,需要包含具体的“场景描述”,有利于AI场景功能为你生成更高准确率的结果,例如: > 假设我需要完成“SMB投递恶意文件并创建注册表启动项”场景,此时需要什么数据源及数据源字段要求是什么 具体操作: 1. 在场景中,点击功能「网端关联分析」 2. 输入具体的场景描述及输出需求,提交问题 * OSIM 助手将自动完成以下步骤: ● 拆解场景核心行为特征(SMB 文件传输、注册表操作) ● 匹配所需数据源类型(如终端日志、网络日志、注册表审计日志等) ● 明确各数据源的 OSIM 标准字段要求,生成**字段清单及说明** ### Step2. 场景规则关联规则(追问) 无需退出当前场景对话,用自然语言即可对当前生成结果进行追问。例如: > “请帮我编写检测此事件的关联规则” 具体操作: 在输入框中输入指令明确指令 "**关联检测规则**",提交追问 * OSIM助手将自动完成以下步骤: ● 基于场景行为逻辑及 OSIM 字段规范 ● 定义规则触发条件、关联维度、阈值设置 ● 生成结构化的场景关联规则,包含**关联检测逻辑、可部署规则、配套使用建议**等 ### Step3. 数据查询语句生成(追问) 无需退出当前场景对话,用自然语言即可对当前生成结果进行追问。例如: > “请帮我用splunk查询语句来检索此事件” 具体操作: 在输入框中输入指令明确需求 "**检索语句的类别(如Splunk、SQL)**",提交追问 * OSIM助手将自动完成以下步骤: ● 映射 OSIM 字段与 Splunk 数据字段 ● 结合关联规则逻辑,输出不同需求下的**Splunk查询语句及使用说明** ### Step4. 响应处置剧本生成(追问) 无需退出当前场景对话,用自然语言即可对当前生成结果进行追问。例如: > “帮我针对上述事件设计一份应急响应剧本逻辑” 具体操作: 在输入框中输入指令明确指令 "**响应剧本逻辑**",提交追问 * OSIM助手将自动完成以下步骤: ● 结合场景技术特征及指令诉求,设计各阶段核心操作 ● 生成符合“**检测确认→遏制隔离→根除恢复→总结改进**”流程思路的应急响应剧本 --- [《OSIM指南-初阶说明》](/guide/basic-tips-for-using-osim)⬅️初阶指南,点击回顾