告警策略功能是对采集到的日志进行告警判断,符合告警策略的日志进行告警。
配置告警策略
告警策略,对采集到的日志进行告警判断,符合告警策略的日志进行告警。
1.登录日志审计(原生版)控制台。
2.在左侧导航栏选择“风险分析 > 告警策略” ,单击“新增规则”,填写告警条件。
| 参数 | 参数说明 | 取值样例 |
|---|---|---|
| 规则名称 | 自定义输入告警规则名称。 | Test |
| 可信度 | 自定义您的告警规则可信度,根据业务实际情况填写可信度,填写范围:0-100。 | 1 |
| 规则等级 | 在下拉框中选择您的告警规则等级。 | 轻微 |
| 超时时间 | 填写此告警规则的持续时间,时间不小于0秒。 | 60 |
| 关联类型 | 选择告警规则关联的设备类型,可选“单设备关联规则”或“多设备关联规则”。 | 单设备关联规则 |
| 告警类型 | 在下拉框中选择该条告警规则的告警类型。 | 用户违规异常行为 / 违规行为 |
| 攻击链类型 | 请您根据攻击方向或影响选择类型。 | 未知类型 |
| 归并方式 | (可多选)基于日志详情或告警规则信息选择归并方式。 | 告警目标ip |
| 设备类型 | (可多选)根据您发生告警的设备进行选择。 | 根结点 / 主机 / 服务器/其他 |
| 资产IP | (可多选)根据您选择的资产填写IP,若不填写默认匹配所有资产。 | 0.0.0.0 |
| 规则描述 | 自定义该条告警规则的内容。 | - |
| 整改建议 | 填写此条告警发生后,建议的整改规范。 | - |
3.填写完成后,单击“下一步”,开始补充逻辑规则。
4.单击“确认”完成告警规则配置。
配置告警过滤规则
告警过滤规则,对符合告警规则的日志再进行一层过滤。
1.登录日志审计(原生版)控制台。
2.在左侧导航栏选择“风险分析 > 告警过滤规则”,单击“新增”,填写告警过滤条件。
| 参数 | 参数说明 | 取值样例 |
|---|---|---|
| 规则名称 | 自定义输入告警过滤规则名称。 | Test |
| 告警等级 | 在下拉框中选择需要过滤告警的告警等级。 | 轻微 |
| 开始时间 | 填写该告警过滤规则生效的开始日期。 | - |
| 结束时间 | 填写该告警过滤规则生效的开始日期。 | - |
| 告警名称 | 填写待过滤的告警名称。 | - |
3.填写完成后,单击“确认”完成过滤规则创建。
