云安全中心支持自定义的告警规则,帮助您更全面和深入地获取您服务器中存在的威胁信息。本文档介绍了如何创建自定义告警规则并配置告警通知策略。

步骤一:创建自定义告警规则

  • 单日志规则是指在创建告警规则时匹配单个日志。
  • 关联日志规则是指在创建告警规则时匹配两个日志。
  1. 登录云安全中心控制台
  2. 在左侧导航栏单击自定义告警 > 规则设置
  3. 自定义告警页面,选择单日志规则关联日志规则页签,创建自定义告警规则。
    • 单日志规则

      单击添加规则,配置单日志规则参数(见下表)。

      单日志规则
    • 关联日志规则

      单击新建关联配置,配置关联日志告警参数(见下表)。

      关联日志规则
    规则类型 参数 配置说明
    单日志规则/关联日志规则 规则名称 自定义该规则的描述性名称,不得少于2个字符。
    告警状态 设置该告警规则的严重等级,可选项为紧急可疑提醒
    规则描述 自定义该规则的说明描述信息。
    动作 设置该规则命中的告警事件通知方式。可选项:
    • 钉钉通知:通过钉钉群机器人发送告警通知
    • 事件存储:通过自定义告警 > 日志及事件管理页面展示告警信息。

    您可配置钉钉通知+事件存储的方式来展示告警事件。钉钉通知支持选择多个钉钉群机器人。钉钉群机器人配置请参见动作配置

    统计规则 可选配置。设置自定义时间范围内命中多少次该规则才会进行告警, 时间单位可选小时分钟

    例如:时间间隔设置为1天,阈值为100,表示1天内命中该规则超过100次会产生告警。

    单日志规则 条件 选择应用该规则的日志,并配置对应的规则内容。

    支持配置多个规则或规则组,一个规则组至少需要配置2个规则。

    规则或规则组之间,需要设置规则关系:

    • AND:多个规则或规则组之间是的关系。
    • OR:多个规则或规则组之间是的关系。
    关联日志规则 时间窗口 设置该告警规则通知的间隔时间。 时间单位可选小时分钟。例如:设置为5小时,代表5小时内只发送一次告警通知。
    条件1/条件2 选择关联规则的日志名称,并配置对应的规则内容。
    管理配置 配置两个日志间的关联参数。
  4. 单击确定完成规则创建。
    说明
  5. 可选: 您可在单日志规则列表最右侧操作栏,单击测试对已创建的规则进行测试;单击编辑修改规则配置;或单击删除对已创建的规则进行删除。
    测试/编辑/删除规则
  6. 可选: 您可在关联日志规则列表最右侧操作栏,单击编辑修改规则配置;或单击删除对已创建的规则进行删除。
    编辑删除关联日志规则

步骤二:创建规则组并添加自定义告警规则

单日志规则创建完成后,需要将该规则添加到规则分组中,该规则才能生效。

  1. 自定义告警页面,选择规则组页签,并单击添加规则组
    规则组
  2. 添加规则组页面中完成规则组的配置,并将您定义好的检测规则添加到该规则组中。
    参数 配置说明
    规则组名称 自定义该规则组的描述性名称,不得少于2个字段。
    规则组描述 自定义该规则组的说明描述信息。
    应用资产组 从下拉列表中勾选应用该规则组的资产组名称。

    您可在云安全中心控制台资产中心页面使用资产分组管理功能添加或修改资产分组。详细内容请参见添加资产分组

    规则 勾选要添加到该组的规则,并添加到右侧规则名称列表中。添加规则
  3. 单击确定完成规则组创建。
    说明 规则组中如果未添加任何规则,规则数将显示为0。
    新创建的规则添加到规则组后,该规则的状态才会变为运行中运行中表示该规则已生效。规则生效
  4. 可选: 您可在规则组列表最右侧操作栏,单击编辑修改规则组,或单击删除对已创建的规则组进行删除。
    编辑或删除规则组
    说明 删除的规则组不可恢复,并且该规则组中添加的规则将失效。

步骤三:查看告警通知

自定义告警可通过以下两种方式查看。
  • 钉钉群机器人通知。
  • 云安全中心控制台自定义告警 > 日志及事件管理查看所有的告警通知。

动作配置

自定义告警规则创建完成后,您还需配置告警通知策略,确定钉钉群机器人自动发送告警通知的配置信息。
说明 告警通知策略仅支持钉钉群机器人通知。如未安装钉钉,请到自定义告警 > 日志及事件管理页面手动查看自定义告警通知事件。
  1. 自定义告警页面,选择动作配置页签,并单击新建通知策略
    动作配置
  2. 添加钉钉机器人页面,为您自定义的告警规则设置钉钉通知方式。
    • 机器人名称:设置钉钉群自动通知机器人的名称。
    • Webhook地址:在要应用该钉钉机器人通知的钉钉群中,找到机器人的Webhook链接,复制粘贴到Webhook地址输入栏中。Webhook地址
      说明 未安装钉钉并建立钉钉群的用户,无法使用钉钉机器人通知。如果已有钉钉群中未添加钉钉机器人,需要在钉钉群群设置 > 群机器人 > 添加群机器人 > 自定义(通过Webhook接入自定义服务),添加自定义机器人。
    • 通知频率控制:设置钉钉机器人通知触发的频率 。频率范围为10分钟-1天。 例如:通知频率设置为10分钟,表示每间隔10分钟通知一次。
  3. 单击创建,完成钉钉群机器人通知策略的创建。

    完成通知策略创建后,您可在单日志规则关联日志规则中添加已创建好的钉钉机器人策略。

  4. 您可在通知策略列表最右侧操作栏,单击编辑修改策略配置,或单击删除对已创建的通知策略进行删除。
    编辑/删除通知策略