新建/编辑模型

操作场景

安全云脑支持利用模型对管道中的日志数据进行监控，如果检测到有满足模型中设置触发条件的内容时，将产生告警提示。

本章节将介绍如何创建并编辑告警模型。

使用已有模板创建告警模型
自定义新建告警模型
编辑模型

使用已有模板创建告警模型

登录管理控制台。
单击页面左上方的，选择“安全 > 安全云脑 SecMaster”，进入安全云脑管理页面。
在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
在左侧导航栏选择“威胁运营 > 智能建模”，进入智能建模页面后，选择“模型模板”页签，进入模型模板页面。
在模型模板列表中，单击目标模型模板所在行“操作”列的“详情”，右侧弹出模板详情页面。
在模型模板详情页面，单击右下角“创建模型”，进入新建告警模型页面。

在新增告警模型页面中，配置告警模型基础信息，参数说明如表1所示。

表1 告警模型基础配置
参数名称	参数说明
管道名称	选择该告警模型的执行管道。
模型名称	自定义该条告警模型的名称。
严重程度	设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。
告警类型	选择该条告警模型触发后，提示的告警类型。
模型类型	默认为规则模型。
描述	该告警模型的描述信息。
启用状态	设置该告警模型的启用状态。此处设置的状态，可在整个告警模型设置成功后进行更改。

设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。

设置模型逻辑，参数说明如表2所示。

表2 设置模型逻辑
参数名称	参数说明
查询规则	设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。查询分析语句由查询语句和分析语句构成，格式为查询语句\|分析语句，查询分析语句语法详细内容请参见查询与分析语法-SQL语法。说明：如果筛留字段为text类型时，默认会使用MATCH_QUERY进行分词查询。
查询计划	设置告警查询计划。运行查询间隔：xx分钟/小时/天。当运行查询间隔为分钟时，可设置为5-59分钟；当运行查询为小时时，可设置为1-23小时；当运行查询为天时，可设置为1-14天。时间窗口：xx分钟/小时/天。当时间窗口为分钟时，可设置为5-59分钟；当时间窗口为小时时，可设置为1-23小时；当时间窗口为天时，可设置为1-14天。延迟执行时间：xx分钟，可以设置为0-5分钟。
告警扩充	自定义信息：自定义告警扩充信息。单击“添加”，并设置key+value信息，完成新增。告警详细信息：自定义填写告警名称、描述和处置建议。
触发条件	设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。如有多条触发条件，可以单击“添加”按钮进行添加，最多可添加5个触发条件。当设置了多个触发条件时，在日志数据扫描检测中，系统将按照从上到下的校验逻辑，如果有满足此处设置的触发条件被检测到时，系统都将展示不同类型的告警。
告警分组	配置将规则查询结果分组到告警的方式。可选择以下方式：将所有查询结果分组到一个告警中将每条查询结果独立触发告警
调试模式	设置是否生成调试类告警。
抑制	设置生产告警后是否停止运行查询。如果设置为抑制，即生成告警后停止运行查询。如果设置为不抑制，即生成告警后不停止运行查询。

设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。
预览确认无误后，单击页面右下角“确定”。

自定义新建告警模型

登录管理控制台。
单击页面左上方的，选择“安全 > 安全云脑 SecMaster”，进入安全云脑管理页面。
在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
在左侧导航栏选择“威胁运营 > 智能建模”，进入智能建模的可用模型页面。
在可用模型列表左上角单击“新建模型”，进入新建告警模型页面。

在新增告警模型页面中，配置告警模型基础信息，参数说明如表3所示。

表3 告警模型基础配置
参数名称	参数说明
管道名称	选择该告警模型的执行管道。
模型名称	自定义该条告警模型的名称。
严重程度	设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。
告警类型	选择该条告警模型触发后，提示的告警类型。
模型类型	默认为规则模型。
描述	该告警模型的描述信息。
启用状态	设置该告警模型的启用状态。此处设置的状态，可在整个告警模型设置成功后进行更改。

设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。

设置模型逻辑，参数说明如表4所示。

表4 设置模型逻辑
参数名称	参数说明
查询规则	设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。语法参考请参见查询与分析语法-SQL语法。
查询计划	设置告警查询计划。运行查询间隔：xx分钟/小时/天。当运行查询间隔为分钟时，可设置为5-59分钟；当运行查询为小时时，可设置为1-23小时；当运行查询为天时，可设置为1-14天。时间窗口：xx分钟/小时/天。当时间窗口为分钟时，可设置为5-59分钟；当时间窗口为小时时，可设置为1-23小时；当时间窗口为天时，可设置为1-14天。延迟执行时间：xx分钟，可以设置为0-5分钟。
告警扩充	自定义告警扩充信息。单击“添加”，并设置key+value信息，完成新增。告警详细信息：自定义填写告警名称、描述和处置建议。
触发条件	设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。如有多条触发条件，可以单击“添加”按钮进行添加，最多可添加5个触发条件。当设置了多个触发条件时，在日志数据扫描检测中，如果有满足此处设置的不同的触发条件被检测到时，系统都将展示不同类型的告警。
告警分组	配置将规则查询结果分组到告警的方式。可选择以下方式：将所有查询结果分组到一个告警中将每条查询结果独立触发告警
调试模式	设置是否生成调试类告警。
抑制	设置生产告警后是否停止运行查询。如果开启，则表示抑制，即生成告警后停止运行查询。如果关闭，表示不抑制，即生成告警后不停止运行查询。

设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。
预览确认无误后，单击页面右下角“确定”。

编辑模型

仅支持编辑自定义创建的模型。

登录管理控制台。
单击页面左上方的，选择“安全 > 安全云脑 SecMaster”，进入安全云脑管理页面。
在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
在左侧导航栏选择“威胁运营 > 智能建模”，进入智能建模的可用模型页面。
在可用模型列表中，单击目标模型所在行“操作”列的“编辑”，右侧弹出编辑告警模型页面。

在编辑告警模型页面中，配置告警模型基础信息，参数说明如表5所示。

表5 告警模型基础配置
参数名称	参数说明
管道名称	选择该告警模型的执行管道。暂不支持编辑。
模型名称	自定义该条告警模型的名称。
严重程度	设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。
告警类型	选择该条告警模型触发后，提示的告警类型。
模型类型	默认为规则模型。
描述	该告警模型的描述信息。

设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。

设置模型逻辑，参数说明如表6所示。

表6 设置模型逻辑
参数名称	参数说明
查询规则	设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。查询分析语句由查询语句和分析语句构成，格式为查询语句\|分析语句，查询分析语句语法详细内容请参见查询与分析语法-SQL语法。说明：如果筛留字段为text类型时，默认会使用MATCH_QUERY进行分词查询。
查询计划	设置告警查询计划。运行查询间隔：xx分钟/小时/天。当运行查询间隔为分钟时，可设置为5-59分钟；当运行查询为小时时，可设置为1-23小时；当运行查询为天时，可设置为1-14天。时间窗口：xx分钟/小时/天。当时间窗口为分钟时，可设置为5-59分钟；当时间窗口为小时时，可设置为1-23小时；当时间窗口为天时，可设置为1-14天。延迟执行时间：xx分钟，可以设置为0-5分钟。
告警扩充	自定义信息：自定义告警扩充信息。单击“添加”，并设置key+value信息，完成新增。告警详细信息：自定义填写告警名称、描述和处置建议。
触发条件	设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。如有多条触发条件，可以单击“添加”按钮进行添加，最多可添加5个触发条件。当设置了多个触发条件时，在日志数据扫描检测中，系统将按照从上到下的校验逻辑，如果有满足此处设置的触发条件被检测到时，系统都将展示不同类型的告警。
告警分组	配置将规则查询结果分组到告警的方式。可选择以下方式：将所有查询结果分组到一个告警中将每条查询结果独立触发告警
调试模式	设置是否生成调试类告警。
抑制	设置生产告警后是否停止运行查询。如果设置为抑制，即生成告警后停止运行查询。如果设置为不抑制，即生成告警后不停止运行查询。

设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。
预览确认无误后，单击页面右下角“确定”。

父主题： 智能建模

上一篇：查看已有模板

下一篇：查看已有模型

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消