新建/编辑模型

操作场景

安全云脑支持利用模型对管道中的日志数据进行监控，如果数据信息在模型范围内容，将产生告警提示。

本章节将介绍如何创建并编辑告警模型。

• 使用已有模板创建告警模型
• 自定义新建告警模型
• 编辑模型

约束与限制

• 单账号单Region单workspace最多创建100个告警模型。
• 一个告警模型的运行时间间隔须 ≥ 5分钟，查询数据的时间范围 ≤ 14天。

使用已有模板创建告警模型

1. 登录管理控制台。
2. 在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图1 进入目标工作空间管理页面
   

4. 在左侧导航栏选择“威胁运营 > 智能建模”，进入智能建模页面后，选择“模型模板”页签，进入模型模板页面。
   图2 模型模板页面
   

5. 在模型模板列表中，单击目标模型模板所在行“操作”列的“详情”，右侧弹出模板详情页面。
6. 在模型模板详情页面，单击右下角“创建模型”，进入新建告警模型页面。
7. 在新增告警模型页面中，配置告警模型基础信息，参数说明如表1所示。

   表1 告警模型基础配置

   参数名称	参数说明
   管道名称	选择该告警模型的执行管道。
   模型名称	自定义该条告警模型的名称。
   严重程度	设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。
   告警类型	选择该条告警模型触发后，提示的告警类型。
   模型类型	默认为规则模型。
   描述	该告警模型的描述信息。
   启用状态	设置该告警模型的启用状态。 此处设置的状态，可在整个告警模型设置成功后进行更改。

8. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。
9. 设置模型逻辑，参数说明如表2所示。

   表2 设置模型逻辑

   参数名称	参数说明
   查询规则	设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。
   查询计划	设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为5-59分钟；当运行查询为小时时，可设置为1-23小时；当运行查询为天时，可设置为1-14天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为5-59分钟；当时间窗口为小时时，可设置为1-23小时；当时间窗口为天时，可设置为1-14天。 延迟执行时间：xx分钟，可以设置为0-5分钟。
   告警扩充	自定义信息：自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。
   触发条件	设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 如有多条触发条件，可以单击“添加”按钮进行添加。
   告警分组	配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警
   调试模式	设置是否生成调试类告警。
   抑制	设置生产告警后是否停止运行查询。 如果设置为抑制，即生成告警后停止运行查询。 如果设置为不抑制，即生成告警后不停止运行查询。

10. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。
11. 预览确认无误后，单击页面右下角“确定”。

自定义新建告警模型

1. 登录管理控制台。
2. 在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图3 进入目标工作空间管理页面
   

4. 在左侧导航栏选择“威胁运营 > 智能建模”，进入智能建模的可用模型页面。
   图4 可用模型页面
   

5. 在可用模型列表左上角单击“新建模型”，进入新建告警模型页面。
6. 在新增告警模型页面中，配置告警模型基础信息，参数说明如表3所示。

   表3 告警模型基础配置

   参数名称	参数说明
   管道名称	选择该告警模型的执行管道。
   模型名称	自定义该条告警模型的名称。
   严重程度	设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。
   告警类型	选择该条告警模型触发后，提示的告警类型。
   模型类型	默认为规则模型。
   描述	该告警模型的描述信息。
   启用状态	设置该告警模型的启用状态。 ：表示启用，默认为此状态。 ：表示未启用。 此处设置的状态，可在整个告警模型设置成功后进行更改。

7. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。
8. 设置模型逻辑，参数说明如表4所示。

   表4 设置模型逻辑

   参数名称	参数说明
   查询规则	设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。 语法参考请参见查询与分析语法-SQL语法。
   查询计划	设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为5-59分钟；当运行查询为小时时，可设置为1-23小时；当运行查询为天时，可设置为1-14天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为5-59分钟；当时间窗口为小时时，可设置为1-23小时；当时间窗口为天时，可设置为1-14天。 延迟执行时间：xx分钟，可以设置为0-5分钟。
   告警扩充	自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。
   触发条件	设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。
   告警分组	配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警
   调试模式	设置是否生成调试类告警。
   抑制	设置生产告警后是否停止运行查询。 ：表示抑制，即生成告警后停止运行查询。 ：表示不抑制，即生成告警后不停止运行查询。

9. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。
10. 预览确认无误后，单击页面右下角“确定”。

编辑模型

仅支持编辑自定义创建的模型。

1. 登录管理控制台。
2. 在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图5 进入目标工作空间管理页面
   

4. 在左侧导航栏选择“威胁运营 > 智能建模”，进入智能建模的可用模型页面。
   图6 可用模型页面
   

5. 在可用模型列表中，单击目标模型所在行“操作”列的“编辑”，右侧弹出编辑告警模型页面。
6. 在编辑告警模型页面中，配置告警模型基础信息，参数说明如表5所示。

   表5 告警模型基础配置

   参数名称	参数说明
   管道名称	选择该告警模型的执行管道。暂不支持编辑。
   模型名称	自定义该条告警模型的名称。
   严重程度	设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。
   告警类型	选择该条告警模型触发后，提示的告警类型。
   模型类型	默认为规则模型。
   描述	该告警模型的描述信息。

7. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。
8. 设置模型逻辑，参数说明如表6所示。

   表6 设置模型逻辑

   参数名称	参数说明
   查询规则	设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。
   查询计划	设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为5-59分钟；当运行查询为小时时，可设置为1-23小时；当运行查询为天时，可设置为1-14天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为5-59分钟；当时间窗口为小时时，可设置为1-23小时；当时间窗口为天时，可设置为1-14天。 延迟执行时间：xx分钟，可以设置为0-5分钟。
   告警扩充	自定义信息：自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。
   触发条件	设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 如有多条触发条件，可以单击“添加”按钮进行添加。
   告警分组	配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警
   调试模式	设置是否生成调试类告警。
   抑制	设置生产告警后是否停止运行查询。 如果设置为抑制，即生成告警后停止运行查询。 如果设置为不抑制，即生成告警后不停止运行查询。

9. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。
10. 预览确认无误后，单击页面右下角“确定”。