OSIM使用的进阶技巧

OSIM.Schema使用指南

进阶实践

📚 深化你的 OSIM 全流程落地能力

熟练掌握 OSIM 从数据标准化处理到安全场景闭环落地的进阶技巧 —— 基于初阶基础,实现复杂场景实战应用

重要前提:请确保已完全掌握《OSIM 指南 - 初阶说明》中的核心能力(数据规范认知、基础字段检索、简单场景功能使用),再开展本进阶指南的操作,避免因基础操作不熟悉影响实践效果。

让我们通过完整进阶流程,提升 OSIM 应用水平:

案例一:“解决日志标准化解析、校验与关键字段保障问题”

案例二:“解决安全场景从需求到响应的全流程标准化构建问题”

你可以根据步骤逐步上手这些基础操作👇

案例一:日志解析并反向校验

我们将通过3个步骤,完成案例一:“日志解析映射→正则表达式生成→数据质量校验”,输入具体日志数据,输出 OSIM 标准字段映射、适配正则及数据质量建议。

image.png

Step1. 日志字段 OSIM 标准映射

提供详细字段有利于字段映射功能为你生成更高准确率的结果。例如:

“请帮我将下述数据按照 OSIM 标准进行字段映射

\u003c11\u003eApr 7 09:39:03 localhost waf: tag:waf_log_websec site_id:1592578825 protect_id:2606135794 dst_ip:2408:862e:4:1::2 dst_port:80 src_ip:2a05:d01c:b43:8a10:6d6:eac6:cc5c:8c8b src_port:41780 method:UNKNOWN domain:None uri:None alertlevel:MEDIUM event_type:HTTP_Protocol_Validation stat_time:2024-04-07 09:39:02 policy_id:1 rule_id:0 action:Forward block:No block_info:None http:FgMBALEBAACtAwNACozhjrPnB8JS7e1cxbP4LUrX70wL8WvCQ1byklrNEAAAUMAvwCvAEcAHwBPACcAUwAoABQAvADXAEgAKwCTAI8AIAJ4AnQCcwCjAJ8ypzKjMqgBrAGcAOQAzABYAPQA8AAQAFACfABXALMAwAAgABgADAQAANAAFAAUBAAAAAAAKAAgABgAXABgAGQALAAIBAAANABAADgQBBAMCAQIDBAEFAQYB/wEAAQA\u003d alertinfo:cmVxdWVzdCBtZXRob2QgYmVnaW4gd2l0aCBub24tY2FwaXRhbCBsZXR0ZXJzIG9yIG92ZXIgbG9hZCBjb250ZW50LWxlbmd0aA\u003d\u003d proxy_info:None characters:Tm9uZQ\u003d\u003d count_num:1 protocol_type:HTTP wci:Tm9uZQ\u003d\u003d wsi:Tm9uZQ\u003d\u003d country:Other Country correlation_id:0 site_name:2408:862e:4:1::2 vsite_name:None raw_client_ip:2a05:d01c:0b43:8a10:06d6:eac6:cc5c:8c8b ”

具体操作:

1. 在场景中,点击功能「字段映射」

2. 提交日志数据外,补充说明字段映射诉求,提交问题

  • OSIM助手将自动完成以下步骤:

● 深度解析日志原始结构,区分系统字段、业务字段及扩展字段

● 严格匹配 OSIM 数据类型约束(含正则格式、最大长度等)

● 生成包含 “原始字段-OSIM字段-映射说明-要求等级-类型-映射后示例” 的逐字段映射表

● 标记字段补全说明并提供优化方案

Step2. 日志解析正则表达式生成(追问)

无需退出当前场景对话,用自然语言即可对当前生成结果进行追问。例如:

“请帮我按照 OSIM 标准对上述日志数据进行解析,确保正则表达式能够解析上述数据再输出完整的正则表达式”

具体操作:

在输入框中输入指令明确需求 "基于 OSIM 标准生成可解析该日志的完整正则表达式",提交追问

  • OSIM助手将自动完成以下步骤:

● 基于场景行为逻辑及 OSIM 字段规范进行匹配和检索

● 定义规则触发条件、关联维度、阈值设置

● 生成结构化的场景关联规则,包含规则描述、触发条件、字段关联关系等

● 生成某一编程语言的示例(若无特定要求则默认生成Python 示例)

Step3. 质量校验及优化建议(追问)

无需退出当前场景对话,用自然语言即可对当前生成结果进行追问。例如:

“帮我检查下这份数据的质量如何,关键分析字段是否遗漏并提供建议”

具体操作:

在输入框中输入指令明确需求 "检查数据质量 + 验证关键字段完整性",提交追问

  • OSIM助手将自动完成以下步骤:

● 原始日志的数据清洗,并基于OSIM 数据类型要求校验日志数据格式规范性

● 核查安全分析关键字段是否缺失

● 输出数据质量评估报告

● 提供字段补充、格式优化等实操建议

案例二:安全场景建设全流程

我们将通过4个步骤,完成案例二:“安全场景需求定义→场景规则生成→数据检索查询→响应处置剧本设计”,输入特定安全场景需求,输出数据源字段要求、检测规则、检索语句及应急剧本。

image.png

Step1. 安全场景建设

用自然语言描述你的问题,需要包含具体的“场景描述”,有利于AI场景功能为你生成更高准确率的结果,例如:

假设我需要完成“SMB投递恶意文件并创建注册表启动项”场景,此时需要什么数据源及数据源字段要求是什么

具体操作:

1. 在场景中,点击功能「网端关联分析」

2. 输入具体的场景描述及输出需求,提交问题

  • OSIM 助手将自动完成以下步骤:

● 拆解场景核心行为特征(SMB 文件传输、注册表操作)

● 匹配所需数据源类型(如终端日志、网络日志、注册表审计日志等)

● 明确各数据源的 OSIM 标准字段要求,生成字段清单及说明

Step2. 场景规则关联规则(追问)

无需退出当前场景对话,用自然语言即可对当前生成结果进行追问。例如:

“请帮我编写检测此事件的关联规则”

具体操作:

在输入框中输入指令明确指令 "关联检测规则",提交追问

  • OSIM助手将自动完成以下步骤:

● 基于场景行为逻辑及 OSIM 字段规范

● 定义规则触发条件、关联维度、阈值设置

● 生成结构化的场景关联规则,包含关联检测逻辑、可部署规则、配套使用建议

Step3. 数据查询语句生成(追问)

无需退出当前场景对话,用自然语言即可对当前生成结果进行追问。例如:

“请帮我用splunk查询语句来检索此事件”

具体操作:

在输入框中输入指令明确需求 "检索语句的类别(如Splunk、SQL)",提交追问

  • OSIM助手将自动完成以下步骤:

● 映射 OSIM 字段与 Splunk 数据字段

● 结合关联规则逻辑,输出不同需求下的Splunk查询语句及使用说明

Step4. 响应处置剧本生成(追问)

无需退出当前场景对话,用自然语言即可对当前生成结果进行追问。例如:

“帮我针对上述事件设计一份应急响应剧本逻辑”

具体操作:

在输入框中输入指令明确指令 "响应剧本逻辑",提交追问

  • OSIM助手将自动完成以下步骤:

● 结合场景技术特征及指令诉求,设计各阶段核心操作

● 生成符合“检测确认→遏制隔离→根除恢复→总结改进”流程思路的应急响应剧本

《OSIM指南-初阶说明》⬅️初阶指南,点击回顾