操作场景
态势感知(专业版)支持将查询分析结果设置告警模型,并在满足条件时触发告警。
前提条件
已完成数据接入,详细操作请参见云服务接入。
操作步骤
登录管理控制台。
单击页面左上方的
,选择“安全 > 态势感知(专业版)”,进入态势感知(专业版)管理页面。在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
在左侧导航栏选择“日志审计 > 安全数据”,进入安全分析页面。
在左侧数据空间导航栏中,单击数据空间名称,展开数据管道列后,再单击管道名称,右侧将显示管道数据的检索页面。
输入查询分析语句,设置时间范围,并单击“查询分析”,显示查询分析结果。
更多查询分析详细操作请参见查询与分析日志。
单击页面右上角“添加告警”,进入新建告警模型页面。
配置告警基础信息,参数说明如下表所示。
参数名称 参数说明 管道名称 该告警模型的执行管道,系统默认生成。 模型名称 自定义该条告警模型的名称。 严重程度 设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。 告警类型 选择该条告警模型触发后,提示的告警类型。 模型类型 默认为规则模型。 描述 填写该告警模型的描述信息。 启用状态 设置该告警模型的启用状态。
此处设置的状态,可在整个告警模型设置成功后进行更改。
设置完成后,单击页面右下角“下一步”,进入设置模型逻辑页面。
设置模型逻辑,参数说明如下表所示。
参数名称 参数说明 查询规则 设置告警的查询规则,设置完成后可以单击“运行”,查看当前运行结果。
说明
如果筛留字段为text类型时,默认会使用MATCH_QUERY进行分词查询。
查询计划 设置告警查询计划。
运行查询间隔:xx分钟/小时/天。
当运行查询间隔为分钟时,可设置为5-59分钟;当运行查询为小时时,可设置为1-23小时;当运行查询为天时,可设置为1-14天。
时间窗口:xx分钟/小时/天。
当时间窗口为分钟时,可设置为5-59分钟;当时间窗口为小时时,可设置为1-23小时;当时间窗口为天时,可设置为1-14天。
- 延迟执行时间:xx分钟,可以设置为0-5分钟。
告警扩充 自定义信息:自定义告警扩充信息。
单击“添加”,并设置key+value信息,完成新增。
- 告警详细信息:自定义填写告警名称、描述和处置建议。
触发条件 设置告警触发条件。可设置为:大于/等于/不等于/小于xx时,触发告警。
如有多条触发条件,可以单击“添加”按钮进行添加,最多可添加5个触发条件。
当设置了多个触发条件时,在日志数据扫描检测中,系统将按照从上到下的校验逻辑,如果有满足此处设置的触发条件被检测到时,系统都将展示不同类型的告警。
告警分组 配置将规则查询结果分组到告警的方式。可选择以下方式:
- 将所有查询结果分组到一个告警中
- 将每条查询结果独立触发告警
调试模式 设置是否生成调试类告警。 抑制 设置生产告警后是否停止运行查询。
如果设置为抑制,即生成告警后停止运行查询。
如果设置为不抑制,即生成告警后不停止运行查询。
设置完成后,单击页面右下角“下一步”,进入模型详情预览页面。
预览确认无误后,单击页面右下角“确定”。
