[{"data":1,"prerenderedAt":4},["ShallowReactive",2],{"markdown-content-advanced-tips-for-using-osim":3},"# OSIM使用的进阶技巧\r\n\r\n## OSIM.Schema使用指南\r\n\r\n# 进阶实践\r\n\r\n### 📚 深化你的 OSIM 全流程落地能力\r\n\r\n_熟练掌握 OSIM 从数据标准化处理到安全场景闭环落地的进阶技巧 —— 基于初阶基础，实现复杂场景实战应用_\r\n\r\n重要前提：请确保已完全掌握《OSIM 指南 - 初阶说明》中的核心能力（数据规范认知、基础字段检索、简单场景功能使用），再开展本进阶指南的操作，避免因基础操作不熟悉影响实践效果。\r\n\r\n让我们通过完整进阶流程，提升 OSIM 应用水平：\r\n\r\n> 案例一：“解决日志标准化解析、校验与关键字段保障问题”\r\n\r\n> 案例二：“解决安全场景从需求到响应的全流程标准化构建问题”\r\n\r\n你可以根据步骤逐步上手这些基础操作👇\r\n\r\n---\r\n\r\n## 案例一：日志解析并反向校验\r\n\r\n我们将通过3个步骤，完成案例一：“日志解析映射→正则表达式生成→数据质量校验”，输入具体日志数据，输出 OSIM 标准字段映射、适配正则及数据质量建议。\r\n\r\n![image.png](/images/markdown/OSIM使用的进阶技巧-1.png)\r\n\r\n### Step1. 日志字段 OSIM 标准映射\r\n\r\n提供详细字段有利于字段映射功能为你生成更高准确率的结果。例如：\r\n\r\n> “请帮我将下述数据按照 OSIM 标准进行字段映射\r\n\r\n> \\u003c11\\u003eApr 7 09:39:03 localhost waf: tag:waf\\_log\\_websec site\\_id:1592578825 protect\\_id:2606135794 dst\\_ip:2408:862e:4:1::2 dst\\_port:80 src\\_ip:2a05:d01c:b43:8a10:6d6:eac6:cc5c:8c8b src\\_port:41780 method:UNKNOWN domain:None uri:None alertlevel:MEDIUM event\\_type:HTTP\\_Protocol\\_Validation stat\\_time:2024-04-07 09:39:02 policy\\_id:1 rule\\_id:0 action:Forward block:No block\\_info:None http:FgMBALEBAACtAwNACozhjrPnB8JS7e1cxbP4LUrX70wL8WvCQ1byklrNEAAAUMAvwCvAEcAHwBPACcAUwAoABQAvADXAEgAKwCTAI8AIAJ4AnQCcwCjAJ8ypzKjMqgBrAGcAOQAzABYAPQA8AAQAFACfABXALMAwAAgABgADAQAANAAFAAUBAAAAAAAKAAgABgAXABgAGQALAAIBAAANABAADgQBBAMCAQIDBAEFAQYB/wEAAQA\\u003d alertinfo:cmVxdWVzdCBtZXRob2QgYmVnaW4gd2l0aCBub24tY2FwaXRhbCBsZXR0ZXJzIG9yIG92ZXIgbG9hZCBjb250ZW50LWxlbmd0aA\\u003d\\u003d proxy\\_info:None characters:Tm9uZQ\\u003d\\u003d count\\_num:1 protocol\\_type:HTTP wci:Tm9uZQ\\u003d\\u003d wsi:Tm9uZQ\\u003d\\u003d country:Other Country correlation\\_id:0 site\\_name:2408:862e:4:1::2 vsite\\_name:None raw\\_client\\_ip:2a05:d01c:0b43:8a10:06d6:eac6:cc5c:8c8b ”\r\n\r\n具体操作：\r\n\r\n1. 在场景中，点击功能「字段映射」\r\n\r\n2. 提交日志数据外，补充说明字段映射诉求，提交问题\r\n\r\n*   OSIM助手将自动完成以下步骤：\r\n    \r\n\r\n● 深度解析日志原始结构，区分系统字段、业务字段及扩展字段\r\n\r\n● 严格匹配 OSIM 数据类型约束（含正则格式、最大长度等）\r\n\r\n● 生成包含 “**原始字段-OSIM字段-映射说明-要求等级-类型-映射后示例**” 的**逐字段映射表**\r\n\r\n● 标记字段补全说明并提供优化方案\r\n\r\n### Step2. 日志解析正则表达式生成（追问）\r\n\r\n无需退出当前场景对话，用自然语言即可对当前生成结果进行追问。例如：\r\n\r\n> “请帮我按照 OSIM 标准对上述日志数据进行解析，确保正则表达式能够解析上述数据再输出完整的正则表达式”\r\n\r\n具体操作：\r\n\r\n在输入框中输入指令明确需求 \"**基于 OSIM 标准生成可解析该日志的完整正则表达式**\"，提交追问\r\n\r\n*   OSIM助手将自动完成以下步骤：\r\n    \r\n\r\n● 基于场景行为逻辑及 OSIM 字段规范进行匹配和检索\r\n\r\n● 定义规则触发条件、关联维度、阈值设置\r\n\r\n● 生成结构化的场景关联规则，包含规则描述、触发条件、字段关联关系等\r\n\r\n● 生成某一编程语言的示例（若无特定要求则默认生成Python 示例）\r\n\r\n### Step3. 质量校验及优化建议（追问）\r\n\r\n无需退出当前场景对话，用自然语言即可对当前生成结果进行追问。例如：\r\n\r\n> “帮我检查下这份数据的质量如何，关键分析字段是否遗漏并提供建议”\r\n\r\n具体操作：\r\n\r\n在输入框中输入指令明确需求 \"**检查数据质量 + 验证关键字段完整性**\"，提交追问\r\n\r\n*   OSIM助手将自动完成以下步骤：\r\n    \r\n\r\n● 原始日志的数据清洗，并基于OSIM 数据类型要求校验日志数据格式规范性\r\n\r\n● 核查安全分析关键字段是否缺失\r\n\r\n● 输出**数据质量评估报告**\r\n\r\n● 提供**字段补充、格式优化**等实操建议\r\n\r\n## 案例二：安全场景建设全流程\r\n\r\n我们将通过4个步骤，完成案例二：“安全场景需求定义→场景规则生成→数据检索查询→响应处置剧本设计”，输入特定安全场景需求，输出数据源字段要求、检测规则、检索语句及应急剧本。\r\n\r\n![image.png](/images/markdown/OSIM使用的进阶技巧-2.png)\r\n\r\n### Step1. 安全场景建设\r\n\r\n用自然语言描述你的问题，需要包含具体的“场景描述”，有利于AI场景功能为你生成更高准确率的结果，例如：\r\n\r\n> 假设我需要完成“SMB投递恶意文件并创建注册表启动项”场景，此时需要什么数据源及数据源字段要求是什么\r\n\r\n具体操作：\r\n\r\n1. 在场景中，点击功能「网端关联分析」\r\n\r\n2. 输入具体的场景描述及输出需求，提交问题\r\n\r\n*   OSIM 助手将自动完成以下步骤：\r\n    \r\n\r\n● 拆解场景核心行为特征（SMB 文件传输、注册表操作）\r\n\r\n● 匹配所需数据源类型（如终端日志、网络日志、注册表审计日志等）\r\n\r\n● 明确各数据源的 OSIM 标准字段要求，生成**字段清单及说明**\r\n\r\n### Step2. 场景规则关联规则（追问）\r\n\r\n无需退出当前场景对话，用自然语言即可对当前生成结果进行追问。例如：\r\n\r\n> “请帮我编写检测此事件的关联规则”\r\n\r\n具体操作：\r\n\r\n在输入框中输入指令明确指令 \"**关联检测规则**\"，提交追问\r\n\r\n*   OSIM助手将自动完成以下步骤：\r\n    \r\n\r\n● 基于场景行为逻辑及 OSIM 字段规范\r\n\r\n● 定义规则触发条件、关联维度、阈值设置\r\n\r\n● 生成结构化的场景关联规则，包含**关联检测逻辑、可部署规则、配套使用建议**等\r\n\r\n### Step3. 数据查询语句生成（追问）\r\n\r\n无需退出当前场景对话，用自然语言即可对当前生成结果进行追问。例如：\r\n\r\n> “请帮我用splunk查询语句来检索此事件”\r\n\r\n具体操作：\r\n\r\n在输入框中输入指令明确需求 \"**检索语句的类别（如Splunk、SQL）**\"，提交追问\r\n\r\n*   OSIM助手将自动完成以下步骤：\r\n    \r\n\r\n● 映射 OSIM 字段与 Splunk 数据字段\r\n\r\n● 结合关联规则逻辑，输出不同需求下的**Splunk查询语句及使用说明**\r\n\r\n### Step4. 响应处置剧本生成（追问）\r\n\r\n无需退出当前场景对话，用自然语言即可对当前生成结果进行追问。例如：\r\n\r\n> “帮我针对上述事件设计一份应急响应剧本逻辑”\r\n\r\n具体操作：\r\n\r\n在输入框中输入指令明确指令 \"**响应剧本逻辑**\"，提交追问\r\n\r\n*   OSIM助手将自动完成以下步骤：\r\n    \r\n\r\n● 结合场景技术特征及指令诉求，设计各阶段核心操作\r\n\r\n● 生成符合“**检测确认→遏制隔离→根除恢复→总结改进**”流程思路的应急响应剧本\r\n\r\n---\r\n\r\n[《OSIM指南-初阶说明》](/guide/basic-tips-for-using-osim)⬅️初阶指南，点击回顾",1776842477671]