文档首页/ 安全云脑 SecMaster/ 用户指南/ 威胁运营/ 智能建模/ 新建/编辑模型
更新时间:2024-11-19 GMT+08:00
查看PDF
分享

新建/编辑模型

操作场景

安全云脑支持利用模型对管道中的日志数据进行监控,如果检测到有满足模型中设置触发条件的内容时,将产生告警提示。

每个Region的首个工作空间可自动启用当前Region中推荐使用的预置模型。后续新增的用于自定义运营的工作空间,不会自动加载启用,需要用户自定义新建。

本章节将介绍如何创建并编辑告警模型。

约束与限制

  • 单账号单Region单workspace最多创建100个告警模型。
  • 一个告警模型的运行时间间隔须 ≥ 5分钟,查询数据的时间范围 ≤ 14天。

使用已有模板创建告警模型

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  5. 在左侧导航栏选择威胁运营 > 智能建模,进入智能建模页面后,选择“模型模板”页签,进入模型模板页面。

    图2 模型模板页面

  6. 在模型模板列表中,单击目标模型模板所在行“操作”列的“详情”,右侧弹出模板详情页面。
  7. 在模型模板详情页面,单击右下角“创建模型”,进入新建告警模型页面。
  8. 在新增告警模型页面中,配置告警模型基础信息,参数说明如表1所示。

    表1 告警模型基础配置

    参数名称

    参数说明

    管道名称

    请根据此页面的“描述”中的“使用约束”中描述的管道来选择该告警模型的执行管道。

    模型名称

    自定义该条告警模型的名称。

    严重程度

    设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。

    告警类型

    选择该条告警模型触发后,提示的告警类型。

    模型类型

    默认为规则模型。

    描述

    该告警模型的描述信息。

    启用状态

    设置该告警模型的启用状态。

    此处设置的状态,可在整个告警模型设置成功后进行更改。

  9. 设置完成后,单击页面右下角“下一步”,进入设置模型逻辑页面。
  10. 设置模型逻辑,参数说明如表2所示。

    表2 设置模型逻辑

    参数名称

    参数说明

    查询规则

    设置告警的查询规则,设置完成后可以单击“运行”,查看当前运行结果。

    查询分析语句由查询语句和分析语句构成,格式为查询语句|分析语句,查询分析语句语法详细内容请参见查询与分析语法概述
    说明:

    如果筛留字段为text类型时,默认会使用MATCH_QUERY进行分词查询。

    查询计划

    设置告警查询计划。

    • 运行查询间隔:xx分钟/小时/天。

      当运行查询间隔为分钟时,可设置为5-59分钟;当运行查询为小时时,可设置为1-23小时;当运行查询为天时,可设置为1-14天。

    • 时间窗口:xx分钟/小时/天。

      当时间窗口为分钟时,可设置为5-59分钟;当时间窗口为小时时,可设置为1-23小时;当时间窗口为天时,可设置为1-14天。

    • 延迟执行时间:xx分钟,可以设置为0-5分钟。

    告警扩充
    • 自定义信息:自定义告警扩充信息。

      单击“添加”,并设置key+value信息,完成新增。

    • 告警详细信息:自定义填写告警名称、描述和处置建议。

    触发条件

    设置告警触发条件。可设置为:大于/等于/不等于/小于xx时,触发告警。

    如有多条触发条件,可以单击“添加”按钮进行添加,最多可添加5个触发条件。

    当设置了多个触发条件时,在日志数据扫描检测中,系统将按照从上到下的校验逻辑,如果有满足此处设置的触发条件被检测到时,系统都将展示不同类型的告警。

    告警分组

    配置将规则查询结果分组到告警的方式。可选择以下方式:

    • 将所有查询结果分组到一个告警中
    • 将每条查询结果独立触发告警

    调试模式

    设置是否生成调试类告警。

    抑制

    设置生产告警后是否停止运行查询。

    • 如果设置为抑制,即生成告警后停止运行查询。
    • 如果设置为不抑制,即生成告警后不停止运行查询。

  11. 设置完成后,单击页面右下角“下一步”,进入模型详情预览页面。
  12. 预览确认无误后,单击页面右下角“确定”

自定义新建告警模型

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图3 进入目标工作空间管理页面

  5. 在左侧导航栏选择威胁运营 > 智能建模,进入智能建模的可用模型页面。

    图4 可用模型页面

  6. 在可用模型列表左上角单击“新建模型”,进入新建告警模型页面。
  7. 在新增告警模型页面中,配置告警模型基础信息,参数说明如表3所示。

    表3 告警模型基础配置

    参数名称

    参数说明

    管道名称

    选择该告警模型的执行管道。

    模型名称

    自定义该条告警模型的名称。

    严重程度

    设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。

    告警类型

    选择该条告警模型触发后,提示的告警类型。

    模型类型

    默认为规则模型。

    描述

    该告警模型的描述信息。

    启用状态

    设置该告警模型的启用状态。

    此处设置的状态,可在整个告警模型设置成功后进行更改。

  8. 设置完成后,单击页面右下角“下一步”,进入设置模型逻辑页面。
  9. 设置模型逻辑,参数说明如表4所示。

    表4 设置模型逻辑

    参数名称

    参数说明

    查询规则

    设置告警的查询规则,设置完成后可以单击“运行”,查看当前运行结果。

    语法参考请参见查询与分析语法概述

    查询计划

    设置告警查询计划。

    • 运行查询间隔:xx分钟/小时/天。

      当运行查询间隔为分钟时,可设置为5-59分钟;当运行查询为小时时,可设置为1-23小时;当运行查询为天时,可设置为1-14天。

    • 时间窗口:xx分钟/小时/天。

      当时间窗口为分钟时,可设置为5-59分钟;当时间窗口为小时时,可设置为1-23小时;当时间窗口为天时,可设置为1-14天。

    • 延迟执行时间:xx分钟,可以设置为0-5分钟。

    告警扩充
    • 自定义告警扩充信息。

      单击“添加”,并设置key+value信息,完成新增。

    • 告警详细信息:自定义填写告警名称、描述和处置建议。

    触发条件

    设置告警触发条件。可设置为:大于/等于/不等于/小于xx时,触发告警。

    如有多条触发条件,可以单击“添加”按钮进行添加,最多可添加5个触发条件。

    当设置了多个触发条件时,在日志数据扫描检测中,如果有满足此处设置的不同的触发条件被检测到时,系统都将展示不同类型的告警。

    告警分组

    配置将规则查询结果分组到告警的方式。可选择以下方式:

    • 将所有查询结果分组到一个告警中
    • 将每条查询结果独立触发告警

    调试模式

    设置是否生成调试类告警。

    抑制

    设置生产告警后是否停止运行查询。

    • 如果开启,则表示抑制,即生成告警后停止运行查询。
    • 如果关闭,表示不抑制,即生成告警后不停止运行查询。

  10. 设置完成后,单击页面右下角“下一步”,进入模型详情预览页面。
  11. 预览确认无误后,单击页面右下角“确定”

编辑模型

仅支持编辑自定义创建的模型。

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图5 进入目标工作空间管理页面

  5. 在左侧导航栏选择威胁运营 > 智能建模,进入智能建模的可用模型页面。

    图6 可用模型页面

  6. 在可用模型列表中,单击目标模型所在行“操作”列的“编辑”,右侧弹出编辑告警模型页面。
  7. 在编辑告警模型页面中,配置告警模型基础信息,参数说明如表5所示。

    表5 告警模型基础配置

    参数名称

    参数说明

    管道名称

    选择该告警模型的执行管道。暂不支持编辑

    模型名称

    自定义该条告警模型的名称。

    严重程度

    设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。

    告警类型

    选择该条告警模型触发后,提示的告警类型。

    模型类型

    默认为规则模型。

    描述

    该告警模型的描述信息。

  8. 设置完成后,单击页面右下角“下一步”,进入设置模型逻辑页面。
  9. 设置模型逻辑,参数说明如表6所示。

    表6 设置模型逻辑

    参数名称

    参数说明

    查询规则

    设置告警的查询规则,设置完成后可以单击“运行”,查看当前运行结果。

    查询分析语句由查询语句和分析语句构成,格式为查询语句|分析语句,查询分析语句语法详细内容请参见查询与分析语法概述
    说明:

    如果筛留字段为text类型时,默认会使用MATCH_QUERY进行分词查询。

    查询计划

    设置告警查询计划。

    • 运行查询间隔:xx分钟/小时/天。

      当运行查询间隔为分钟时,可设置为5-59分钟;当运行查询为小时时,可设置为1-23小时;当运行查询为天时,可设置为1-14天。

    • 时间窗口:xx分钟/小时/天。

      当时间窗口为分钟时,可设置为5-59分钟;当时间窗口为小时时,可设置为1-23小时;当时间窗口为天时,可设置为1-14天。

    • 延迟执行时间:xx分钟,可以设置为0-5分钟。

    告警扩充
    • 自定义信息:自定义告警扩充信息。

      单击“添加”,并设置key+value信息,完成新增。

    • 告警详细信息:自定义填写告警名称、描述和处置建议。

    触发条件

    设置告警触发条件。可设置为:大于/等于/不等于/小于xx时,触发告警。

    如有多条触发条件,可以单击“添加”按钮进行添加,最多可添加5个触发条件。

    当设置了多个触发条件时,在日志数据扫描检测中,系统将按照从上到下的校验逻辑,如果有满足此处设置的触发条件被检测到时,系统都将展示不同类型的告警。

    告警分组

    配置将规则查询结果分组到告警的方式。可选择以下方式:

    • 将所有查询结果分组到一个告警中
    • 将每条查询结果独立触发告警

    调试模式

    设置是否生成调试类告警。

    抑制

    设置生产告警后是否停止运行查询。

    • 如果设置为抑制,即生成告警后停止运行查询。
    • 如果设置为不抑制,即生成告警后不停止运行查询。

  10. 设置完成后,单击页面右下角“下一步”,进入模型详情预览页面。
  11. 预览确认无误后,单击页面右下角“确定”
父主题: 智能建模

相关文档