文档首页/ 安全云脑 SecMaster/ 用户指南(吉隆坡区域)/ 威胁运营/ 智能建模/ 新建/编辑模型
更新时间:2024-10-29 GMT+08:00
查看PDF
分享

新建/编辑模型

操作场景

安全云脑支持利用模型对管道中的日志数据进行监控,如果检测到有满足模型中设置触发条件的内容时,将产生告警提示。

本章节将介绍如何创建并编辑告警模型。

使用已有模板创建告警模型

  1. 登录管理控制台。
  2. 单击页面左上方的,选择“安全 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
  4. 在左侧导航栏选择威胁运营 > 智能建模,进入智能建模页面后,选择“模型模板”页签,进入模型模板页面。
  5. 在模型模板列表中,单击目标模型模板所在行“操作”列的“详情”,右侧弹出模板详情页面。
  6. 在模型模板详情页面,单击右下角“创建模型”,进入新建告警模型页面。
  7. 在新增告警模型页面中,配置告警模型基础信息,参数说明如表1所示。

    表1 告警模型基础配置

    参数名称

    参数说明

    管道名称

    请根据此页面的“描述”中的“使用约束”中描述的管道来选择该告警模型的执行管道。

    模型名称

    自定义该条告警模型的名称。

    严重程度

    设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。

    告警类型

    选择该条告警模型触发后,提示的告警类型。

    模型类型

    默认为规则模型。

    描述

    该告警模型的描述信息。

    启用状态

    设置该告警模型的启用状态。

    此处设置的状态,可在整个告警模型设置成功后进行更改。

  8. 设置完成后,单击页面右下角“下一步”,进入设置模型逻辑页面。
  9. 设置模型逻辑,参数说明如表2所示。

    表2 设置模型逻辑

    参数名称

    参数说明

    查询规则

    设置告警的查询规则,设置完成后可以单击“运行”,查看当前运行结果。

    查询分析语句由查询语句和分析语句构成,格式为查询语句|分析语句,查询分析语句语法详细内容请参见查询与分析语法-SQL语法
    说明:

    如果筛留字段为text类型时,默认会使用MATCH_QUERY进行分词查询。

    查询计划

    设置告警查询计划。

    • 运行查询间隔:xx分钟/小时/天。

      当运行查询间隔为分钟时,可设置为5-59分钟;当运行查询为小时时,可设置为1-23小时;当运行查询为天时,可设置为1-14天。

    • 时间窗口:xx分钟/小时/天。

      当时间窗口为分钟时,可设置为5-59分钟;当时间窗口为小时时,可设置为1-23小时;当时间窗口为天时,可设置为1-14天。

    • 延迟执行时间:xx分钟,可以设置为0-5分钟。

    告警扩充
    • 自定义信息:自定义告警扩充信息。

      单击“添加”,并设置key+value信息,完成新增。

    • 告警详细信息:自定义填写告警名称、描述和处置建议。

    触发条件

    设置告警触发条件。可设置为:大于/等于/不等于/小于xx时,触发告警。

    如有多条触发条件,可以单击“添加”按钮进行添加,最多可添加5个触发条件。

    当设置了多个触发条件时,在日志数据扫描检测中,系统将按照从上到下的校验逻辑,如果有满足此处设置的触发条件被检测到时,系统都将展示不同类型的告警。

    告警分组

    配置将规则查询结果分组到告警的方式。可选择以下方式:

    • 将所有查询结果分组到一个告警中
    • 将每条查询结果独立触发告警

    调试模式

    设置是否生成调试类告警。

    抑制

    设置生产告警后是否停止运行查询。

    • 如果设置为抑制,即生成告警后停止运行查询。
    • 如果设置为不抑制,即生成告警后不停止运行查询。

  10. 设置完成后,单击页面右下角“下一步”,进入模型详情预览页面。
  11. 预览确认无误后,单击页面右下角“确定”

自定义新建告警模型

  1. 登录管理控制台。
  2. 单击页面左上方的,选择“安全 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
  4. 在左侧导航栏选择威胁运营 > 智能建模,进入智能建模的可用模型页面。
  5. 在可用模型列表左上角单击“新建模型”,进入新建告警模型页面。
  6. 在新增告警模型页面中,配置告警模型基础信息,参数说明如表3所示。

    表3 告警模型基础配置

    参数名称

    参数说明

    管道名称

    选择该告警模型的执行管道。

    模型名称

    自定义该条告警模型的名称。

    严重程度

    设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。

    告警类型

    选择该条告警模型触发后,提示的告警类型。

    模型类型

    默认为规则模型。

    描述

    该告警模型的描述信息。

    启用状态

    设置该告警模型的启用状态。

    此处设置的状态,可在整个告警模型设置成功后进行更改。

  7. 设置完成后,单击页面右下角“下一步”,进入设置模型逻辑页面。
  8. 设置模型逻辑,参数说明如表4所示。

    表4 设置模型逻辑

    参数名称

    参数说明

    查询规则

    设置告警的查询规则,设置完成后可以单击“运行”,查看当前运行结果。

    语法参考请参见查询与分析语法-SQL语法

    查询计划

    设置告警查询计划。

    • 运行查询间隔:xx分钟/小时/天。

      当运行查询间隔为分钟时,可设置为5-59分钟;当运行查询为小时时,可设置为1-23小时;当运行查询为天时,可设置为1-14天。

    • 时间窗口:xx分钟/小时/天。

      当时间窗口为分钟时,可设置为5-59分钟;当时间窗口为小时时,可设置为1-23小时;当时间窗口为天时,可设置为1-14天。

    • 延迟执行时间:xx分钟,可以设置为0-5分钟。

    告警扩充
    • 自定义告警扩充信息。

      单击“添加”,并设置key+value信息,完成新增。

    • 告警详细信息:自定义填写告警名称、描述和处置建议。

    触发条件

    设置告警触发条件。可设置为:大于/等于/不等于/小于xx时,触发告警。

    如有多条触发条件,可以单击“添加”按钮进行添加,最多可添加5个触发条件。

    当设置了多个触发条件时,在日志数据扫描检测中,如果有满足此处设置的不同的触发条件被检测到时,系统都将展示不同类型的告警。

    告警分组

    配置将规则查询结果分组到告警的方式。可选择以下方式:

    • 将所有查询结果分组到一个告警中
    • 将每条查询结果独立触发告警

    调试模式

    设置是否生成调试类告警。

    抑制

    设置生产告警后是否停止运行查询。

    • 如果开启,则表示抑制,即生成告警后停止运行查询。
    • 如果关闭,表示不抑制,即生成告警后不停止运行查询。

  9. 设置完成后,单击页面右下角“下一步”,进入模型详情预览页面。
  10. 预览确认无误后,单击页面右下角“确定”

编辑模型

仅支持编辑自定义创建的模型。

  1. 登录管理控制台。
  2. 单击页面左上方的,选择“安全 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
  4. 在左侧导航栏选择威胁运营 > 智能建模,进入智能建模的可用模型页面。
  5. 在可用模型列表中,单击目标模型所在行“操作”列的“编辑”,右侧弹出编辑告警模型页面。
  6. 在编辑告警模型页面中,配置告警模型基础信息,参数说明如表5所示。

    表5 告警模型基础配置

    参数名称

    参数说明

    管道名称

    选择该告警模型的执行管道。暂不支持编辑

    模型名称

    自定义该条告警模型的名称。

    严重程度

    设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。

    告警类型

    选择该条告警模型触发后,提示的告警类型。

    模型类型

    默认为规则模型。

    描述

    该告警模型的描述信息。

  7. 设置完成后,单击页面右下角“下一步”,进入设置模型逻辑页面。
  8. 设置模型逻辑,参数说明如表6所示。

    表6 设置模型逻辑

    参数名称

    参数说明

    查询规则

    设置告警的查询规则,设置完成后可以单击“运行”,查看当前运行结果。

    查询分析语句由查询语句和分析语句构成,格式为查询语句|分析语句,查询分析语句语法详细内容请参见查询与分析语法-SQL语法
    说明:

    如果筛留字段为text类型时,默认会使用MATCH_QUERY进行分词查询。

    查询计划

    设置告警查询计划。

    • 运行查询间隔:xx分钟/小时/天。

      当运行查询间隔为分钟时,可设置为5-59分钟;当运行查询为小时时,可设置为1-23小时;当运行查询为天时,可设置为1-14天。

    • 时间窗口:xx分钟/小时/天。

      当时间窗口为分钟时,可设置为5-59分钟;当时间窗口为小时时,可设置为1-23小时;当时间窗口为天时,可设置为1-14天。

    • 延迟执行时间:xx分钟,可以设置为0-5分钟。

    告警扩充
    • 自定义信息:自定义告警扩充信息。

      单击“添加”,并设置key+value信息,完成新增。

    • 告警详细信息:自定义填写告警名称、描述和处置建议。

    触发条件

    设置告警触发条件。可设置为:大于/等于/不等于/小于xx时,触发告警。

    如有多条触发条件,可以单击“添加”按钮进行添加,最多可添加5个触发条件。

    当设置了多个触发条件时,在日志数据扫描检测中,系统将按照从上到下的校验逻辑,如果有满足此处设置的触发条件被检测到时,系统都将展示不同类型的告警。

    告警分组

    配置将规则查询结果分组到告警的方式。可选择以下方式:

    • 将所有查询结果分组到一个告警中
    • 将每条查询结果独立触发告警

    调试模式

    设置是否生成调试类告警。

    抑制

    设置生产告警后是否停止运行查询。

    • 如果设置为抑制,即生成告警后停止运行查询。
    • 如果设置为不抑制,即生成告警后不停止运行查询。

  9. 设置完成后,单击页面右下角“下一步”,进入模型详情预览页面。
  10. 预览确认无误后,单击页面右下角“确定”
父主题: 智能建模