可以通过关键字、快捷方式、规则类型和标签查询威胁建模规则。
用户初次订购时会复制所有的威胁建模模板,并开启对应的威胁建模规则(如:租户订购了Web应用防火墙原生版,集成配置开启开关,则会开启对应的威胁建模规则)。
新建规则
-
登录云安全中心控制台。
-
在左侧导航栏选择“威胁运营 > 威胁检测 > 威胁建模”。
-
单击“新建”。
-
基本信息填写,带有*的为必填项。
-
选择规则类型和规则模板后,还需要配置原始告警源、时间窗口、告警配置等。其中时间窗口需要在2小时以内。
-
配置完成后,单击“保存”。列表中可以看到新建的规则。
复制规则
- 选择模板规则或者已经创建好的规则。
- 点击复制按钮复制规则。
- 编辑规则信息。
- 保存规则(规则名称不能相同)。
启动规则
新建规则默认为停止状态,在规则操作列单击启动图标,或勾选规则后,单击列表上方的“启动”,即可启动规则。
停止规则
在规则操作列单击停止图标,或勾选规则后,单击列表上方的“停止”,即可停止规则。
删除规则
注意启动状态的规则,不允许删除,删除规则前,请先停止规则。
在规则操作列单击删除图标,或勾选规则后,单击列表上方的“删除”,即可删除规则。
自检规则
进入规则页面时,系统会自动检测规则的可用性,也可以单击列表上方的“自检规则”,手动检测规则的可用性。
注意如果日志在集成配置中关闭了自动转告警,则会使对应的规则不生效,不产生告警。
