启用告警模型
数据接入后,可以利用模型对数据进行扫描,如果在模型设置范围内容,将产生告警提示。
需要使用以下内置的模板创建告警模型并启用模型:
应用-WAF关键攻击告警、主机-虚拟机横向连接、网络-高危端口对外暴露、网络-登录爆破告警、主机-疑似外联、网络-源ip对多个目标进行攻击、网络-命令注入告警、网络-恶意外联、主机-反弹shell、主机-恶意程序、应用-分布式url遍历攻击、应用-源ip进行url遍历、主机-高危命令检测、应用-源ip对域名进行爆破攻击、主机-暴力破解成功、主机-异常shell、主机-弱口令、主机-异地登录、主机-rootkit事件。
创建告警模型
- 登录管理控制台。
- 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
- 在左侧导航栏选择
,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。图1 进入目标工作空间管理页面
- 在左侧导航栏选择“模型模板”页签,进入模型模板页面。
,进入智能建模页面后,选择图2 模型模板页面
- 在模型模板列表中,单击目标模型模板所在行“操作”列的“详情”,右侧弹出模板详情页面。
图3 模型模板详情
- 在模型模板详情页面,单击右下角“创建模型”,进入新建告警模型页面。
- 在新增告警模型页面中,配置告警模型基础信息。
- 管道名称:选择该告警模型的执行管道。依赖的执行管道名称可根据描述中的“使用约束”选择。
图4 获取管道名称
- 其他参数建议保持默认值即可。
- 管道名称:选择该告警模型的执行管道。依赖的执行管道名称可根据描述中的“使用约束”选择。
- 设置完成后,单击页面右下角“下一步”,进入设置模型逻辑页面。
- 设置模型逻辑,建议保持默认即可。
如需进行配置,详细操作请参见新建告警模型。
- 设置完成后,单击页面右下角“下一步”,进入模型详情预览页面。
- 预览确认无误后,单击页面右下角“确定”。
- 重复5-11为其他模板创建告警模型。
启用告警模型
- 在左侧导航栏选择
,进入智能建模的可用模型页面。图5 可用模型页面
- 在模型列表中,勾选所有需要启动的模型,然后单击列表左上角的“启用”。
- 当模型状态更新为启用,则表示启动模型成功。