启用告警模型

数据接入后，可以利用模型对数据进行扫描，如果在模型设置范围内容，将产生告警提示。

需要使用以下内置的模板创建告警模型并启用模型：

应用-WAF关键攻击告警、主机-虚拟机横向连接、网络-高危端口对外暴露、网络-登录爆破告警、主机-疑似外联、网络-源ip对多个目标进行攻击、网络-命令注入告警、网络-恶意外联、主机-反弹shell、主机-恶意程序、应用-分布式url遍历攻击、应用-源ip进行url遍历、主机-高危命令检测、应用-源ip对域名进行爆破攻击、主机-暴力破解成功、主机-异常shell、主机-弱口令、主机-异地登录、主机-rootkit事件。

创建告警模型

登录管理控制台。
在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。

图1 进入目标工作空间管理页面
在左侧导航栏选择“威胁运营 > 智能建模”，进入智能建模页面后，选择“模型模板”页签，进入模型模板页面。

图2 模型模板页面
在模型模板列表中，单击目标模型模板所在行“操作”列的“详情”，右侧弹出模板详情页面。

图3 模型模板详情
在模型模板详情页面，单击右下角“创建模型”，进入新建告警模型页面。
在新增告警模型页面中，配置告警模型基础信息。
- 管道名称：选择该告警模型的执行管道。依赖的执行管道名称可根据描述中的“使用约束”选择。
  图4 获取管道名称
- 其他参数建议保持默认值即可。
设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。
设置模型逻辑，建议保持默认即可。
如需进行配置，详细操作请参见新建告警模型。
设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。
预览确认无误后，单击页面右下角“确定”。
重复5-11为其他模板创建告警模型。