态势感知_自定义告警模型
1、登录管理控制台。
2、在页面左上角单击
,选择“安全与合规 > 态势感知”,进入态势感知管理页面后,在安全概览页面上方单击“立即体验新版控制台”,进入安全云脑管理页面。
3、在左侧导航栏选择“工作空间”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
4、在左侧导航栏选择“威胁运营 > 智能建模”,进入智能建模的可用模型页面。
5、在可用模型列表左上角单击新建模型,进入新建告警模型页面。
6、在新增告警模型页面中,配置告警模型基础信息。
告警模型基础配置参数说明:
|
参数名称
|
参数说明
|
|---|---|
管道名称 |
选择该告警模型的执行管道。 |
模型名称 |
自定义该条告警模型的名称。 |
严重程度 |
设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。 |
告警类型 |
选择该条告警模型触发后,提示的告警类型。 |
模型类型 |
默认为规则模型,无需配置。 |
描述 |
该告警模型的描述信息。 |
启用状态 |
设置该告警模型的启用状态。 ● ● 此处设置的状态,可在整个告警模型设置成功后进行更改。 |
:表示启用,默认为此状态。
:表示未启用。7、设置完成后,单击页面右下角“下一步”,进入设置模型逻辑页面。
8、设置模型逻辑。
设置模型逻辑参数说明:
|
参数名称
|
参数说明
|
|---|---|
查询规则 |
设置告警的查询规则,设置完成后可以单击“运行”,查看当前运行结果。 |
查询计划 |
设置告警查询计划。 ● 运行查询间隔:xx分钟/小时/天。 当运行查询间隔为分钟时,可设置为5-59分钟;当运行查询为小时时,可设置为1-23小时;当运行查询为天时,可设置为1-14天。 ● 时间窗口:xx分钟/小时/天。 当时间窗口为分钟时,可设置为5-59分钟;当时间窗口为小时时,可设置为1-23小时;当时间窗口为天时,可设置为1-14天。 ● 延迟执行时间:xx分钟,可以设置为0-5分钟。 |
告警扩充 |
自定义告警扩充信息。 单击“添加”,并设置key+value信息,完成新增。 |
触发条件 |
设置告警触发条件。可设置为:大于/等于/不等于/小于xx时,触发告警。 |
告警分组 |
配置将规则查询结果分组到告警的方式。可选择以下方式: ● 将所有查询结果分组到一个告警中 ● 将每条查询结果独立触发告警 |
抑制 |
设置生产告警后是否停止运行查询。 表示抑制,即生成告警后停止运行查询。 表示不抑制,即生成告警后不停止运行查询。 |
9、设置完成后,单击页面右下角“下一步”,进入模型详情预览页面。
10、预览确认无误后,单击页面右下角“确定”。
安全云脑(态势感知)实用文档
活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理
活动时间: 2020年8月12日-2020年9月11日
活动期间,华为云用户通过活动页面购买云服务,或使用上云礼包优惠券在华为云官网新购云服务,累计新购实付付费金额达到一定额度,可兑换相应的实物礼品。活动优惠券可在本活动页面中“上云礼包”等方式获取,在华为云官网直接购买(未使用年中云钜惠活动优惠券)或参与其他活动的订单付费金额不计入统计范围内;
-
安全云脑(态势感知)的数据来源是什么?
-
安全云脑(态势感知)与其他安全服务之间的关系与区别?
-
安全云脑(态势感知)支持跨帐号使用吗?
-
安全云脑(态势感知)如何变更版本规格?
-
安全云脑(态势感知)可以免费使用吗?
-
安全云脑(态势感知)与企业主机安全的区别是什么?
