新建或编辑模型

操作场景

安全云脑支持利用模型对管道中的日志数据进行监控，如果检测到有满足模型中设置触发条件的内容时，将产生告警提示。

每个Region的首个工作空间可自动启用当前Region中推荐使用的预置模型。后续新增的用于自定义运营的工作空间，不会自动加载启用，需要用户自定义新建。

新建模型可以使用已有内置模型模板进行创建模型，同时，也支持自定义新建告警模型：

• 使用已有模型模板创建告警模型
• 自定义新建告警模型
• 编辑模型

约束与限制

• 单账号单Region单workspace最多创建100个告警模型。
• 一个告警模型的运行时间间隔须 ≥ 5分钟，查询数据的时间范围 ≤ 14天。

使用已有模型模板创建告警模型

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
4. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图1 进入目标工作空间管理页面
   

5. 在左侧导航栏选择“威胁管理 > 智能建模”，进入智能建模页面后，选择“模型模板”页签，进入模型模板页面。
   图2 模型模板页面
   

6. 在模型模板列表中，单击目标模型模板所在行“操作”列的“详情”，右侧弹出模板详情页面。
7. 在模型模板详情页面，单击右下角“创建模型”，进入新建告警模型页面。
8. 在新增告警模型页面中，配置告警模型基础信息，参数说明如表1所示。

   表1 告警模型基础配置

   参数名称	参数说明
   管道名称	请根据此页面的“描述”中的“使用约束”中描述的管道来选择该告警模型的执行管道。
   模型名称	自定义该条告警模型的名称。
   严重程度	设置该告警模型的严重程度。 可以设置致命、高危、中危、低危、提示级别。 致命：致命级别的告警表示系统已经受到严重的攻击，可能导致数据丢失、系统崩溃或者长时间的服务中断。例如，发现勒索加密行为或恶意程序感染。建议您立即处理，避免对系统造成更严重的损害。 高危：高危级别的告警表示系统可能正在受到攻击，但尚未造成严重的损害。例如，检测到未授权的登录尝试或执行了危险命令（如删除关键系统文件或修改系统设置的命令）。建议您及时调查并采取措施，以防止攻击蔓延。 中危：中危级别的告警表示系统存在潜在的安全威胁，但目前没有明显遭受攻击的迹象。例如，检测到文件或目录的异常修改，表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施，以确保系统的安全。 低危：低危级别的告警表示系统存在轻微的安全威胁，不会对系统的正常运行产生显著影响。例如，检测到一些端口扫描行为，这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理，不需要立即采取紧急措施。如果您的资产安全等级要求较高，可以关注该等级的安全告警。 提示：对应资源存在潜在的错误可能影响到业务。如果您对您的资产的安全等级要求较高，可以关注该等级的安全告警。
   告警类型	选择该条告警模型触发后，提示的告警类型。
   模型类型	默认为规则模型。
   描述	该告警模型的描述信息。
   启用状态	设置该告警模型的启用状态。 此处设置的状态，可在整个告警模型设置成功后进行更改。

9. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。
10. 设置模型逻辑，参数说明如表2所示。

    表2 设置模型逻辑

    参数名称	参数说明
    查询规则	设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。 查询分析语句由查询语句和分析语句构成，格式为查询语句|分析语句，查询分析语句语法详细内容请参见查询与分析语法概述。 说明： 如果筛留字段为text类型时，默认会使用MATCH_QUERY进行分词查询。
    查询计划	设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为5-59分钟；当运行查询为小时时，可设置为1-23小时；当运行查询为天时，可设置为1-14天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为5-59分钟；当时间窗口为小时时，可设置为1-23小时；当时间窗口为天时，可设置为1-14天。 延迟执行时间：xx分钟，可以设置为0-5分钟。
    告警扩充	自定义信息：自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。
    触发条件	设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 如有多条触发条件，可以单击“添加”按钮进行添加，最多可添加5个触发条件。 当设置了多个触发条件时，在日志数据扫描检测中，系统将按照从上到下的校验逻辑，如果有满足此处设置的触发条件被检测到时，系统都将展示不同类型的告警。
    告警分组	配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警
    调试模式	设置是否生成调试类告警。
    抑制	设置生产告警后是否停止运行查询。 如果设置为抑制，即生成告警后停止运行查询。 如果设置为不抑制，即生成告警后不停止运行查询。

11. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。
12. 预览确认无误后，单击页面右下角“确定”。

自定义新建告警模型

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
4. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图3 进入目标工作空间管理页面
   

5. 在左侧导航栏选择“威胁管理 > 智能建模”，进入智能建模的可用模型页面。
   图4 可用模型页面
   

6. 在可用模型列表左上角单击“新建模型”，进入新建告警模型页面。
7. 在新增告警模型页面中，配置告警模型基础信息，参数说明如表3所示。

   表3 告警模型基础配置

   参数名称	参数说明
   管道名称	选择该告警模型的执行管道。
   模型名称	自定义该条告警模型的名称。
   严重程度	设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。 致命：致命级别的告警表示系统已经受到严重的攻击，可能导致数据丢失、系统崩溃或者长时间的服务中断。例如，发现勒索加密行为或恶意程序感染。建议您立即处理，避免对系统造成更严重的损害。 高危：高危级别的告警表示系统可能正在受到攻击，但尚未造成严重的损害。例如，检测到未授权的登录尝试或执行了危险命令（如删除关键系统文件或修改系统设置的命令）。建议您及时调查并采取措施，以防止攻击蔓延。 中危：中危级别的告警表示系统存在潜在的安全威胁，但目前没有明显遭受攻击的迹象。例如，检测到文件或目录的异常修改，表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施，以确保系统的安全。 低危：低危级别的告警表示系统存在轻微的安全威胁，不会对系统的正常运行产生显著影响。例如，检测到一些端口扫描行为，这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理，不需要立即采取紧急措施。如果您的资产安全等级要求较高，可以关注该等级的安全告警。 提示：对应资源存在潜在的错误可能影响到业务。如果您对您的资产的安全等级要求较高，可以关注该等级的安全告警。
   告警类型	选择该条告警模型触发后，提示的告警类型。
   模型类型	默认为规则模型。
   描述	该告警模型的描述信息。
   启用状态	设置该告警模型的启用状态。 此处设置的状态，可在整个告警模型设置成功后进行更改。

8. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。
9. 设置模型逻辑，参数说明如表4所示。

   表4 设置模型逻辑

   参数名称	参数说明
   查询规则	设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。 语法参考请参见查询与分析语法概述。
   查询计划	设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为5-59分钟；当运行查询为小时时，可设置为1-23小时；当运行查询为天时，可设置为1-14天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为5-59分钟；当时间窗口为小时时，可设置为1-23小时；当时间窗口为天时，可设置为1-14天。 延迟执行时间：xx分钟，可以设置为0-5分钟。
   告警扩充	自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。
   触发条件	设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 如有多条触发条件，可以单击“添加”按钮进行添加，最多可添加5个触发条件。 当设置了多个触发条件时，在日志数据扫描检测中，如果有满足此处设置的不同的触发条件被检测到时，系统都将展示不同类型的告警。
   告警分组	配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警
   调试模式	设置是否生成调试类告警。
   抑制	设置生产告警后是否停止运行查询。 如果开启，则表示抑制，即生成告警后停止运行查询。 如果关闭，表示不抑制，即生成告警后不停止运行查询。

10. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。
11. 预览确认无误后，单击页面右下角“确定”。

编辑模型

仅支持编辑自定义创建的模型。

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
4. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图5 进入目标工作空间管理页面
   

5. 在左侧导航栏选择“威胁管理 > 智能建模”，进入智能建模的可用模型页面。
   图6 可用模型页面
   

6. 在可用模型列表中，单击目标模型所在行“操作”列的“编辑”，右侧弹出编辑告警模型页面。
7. 在编辑告警模型页面中，配置告警模型基础信息，参数说明如表5所示。

   表5 告警模型基础配置

   参数名称	参数说明
   管道名称	选择该告警模型的执行管道。暂不支持编辑。
   模型名称	自定义该条告警模型的名称。
   严重程度	设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。
   告警类型	选择该条告警模型触发后，提示的告警类型。
   模型类型	默认为规则模型。
   描述	该告警模型的描述信息。

8. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。
9. 设置模型逻辑，参数说明如表6所示。

   表6 设置模型逻辑

   参数名称	参数说明
   查询规则	设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。 查询分析语句由查询语句和分析语句构成，格式为查询语句|分析语句，查询分析语句语法详细内容请参见查询与分析语法概述。 说明： 如果筛留字段为text类型时，默认会使用MATCH_QUERY进行分词查询。
   查询计划	设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为5-59分钟；当运行查询为小时时，可设置为1-23小时；当运行查询为天时，可设置为1-14天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为5-59分钟；当时间窗口为小时时，可设置为1-23小时；当时间窗口为天时，可设置为1-14天。 延迟执行时间：xx分钟，可以设置为0-5分钟。
   告警扩充	自定义信息：自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。
   触发条件	设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 如有多条触发条件，可以单击“添加”按钮进行添加，最多可添加5个触发条件。 当设置了多个触发条件时，在日志数据扫描检测中，系统将按照从上到下的校验逻辑，如果有满足此处设置的触发条件被检测到时，系统都将展示不同类型的告警。
   告警分组	配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警
   调试模式	设置是否生成调试类告警。
   抑制	设置生产告警后是否停止运行查询。 如果设置为抑制，即生成告警后停止运行查询。 如果设置为不抑制，即生成告警后不停止运行查询。

10. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。
11. 预览确认无误后，单击页面右下角“确定”。