本文档介绍了如何创建自定义告警规则并配置告警通知策略。

您可通过自定义的告警规则更全面和深入地获取您服务器中存在的威胁信息。

步骤一:创建自定义告警规则

  1. 登录云安全中心控制台
  2. 定位到 自定义告警 > 规则设置 > 单日志规则
  3. 您可在自定义告警页面配置、编辑或删除单日志规则关联日志规则规则组和告警通知动作配置
    • 创建单日志规则


      单日志告警是指在创建告警规则时匹配单个日志。单击添加规则对单日志告警规则配置以下参数:
      • 规则名称:提供该规则的描述性名称。
      • 告警状态:设置该告警规则的严重等级,可选项为 紧急可疑提醒
      • 动作:设置该规则命中的告警事件通知方式,可选项为 钉钉通知(通过钉钉群机器人发送告警通知)或 事件存储(通过日志及事件管理页面展示告警信息)。您可配置钉钉通知加事件存储的方式来展示告警事件。钉钉通知支持选择多个钉钉群机器人。钉钉群机器人配置参见步骤三:配置告警通知策略
      • 条件:选择应用该规则的日志。
      • 统计规则:设置自定义时间范围内命中多少次该规则才会进行告警。例如:时间间隔设置为1天,阈值为100,表述1天内命中该规则超过100次会产生告警。
    • 创建关联日志规则


      关联日志规则是指在创建告警规则时匹配两个日志。在 关联日志规则页签中单击新建关联配置对关联日志告警规则配置以下参数:
      • 规则名称:提供该规则的描述性名称;不得少于2个字段。
      • 告警状态:设置该告警规则的严重等级,可选项为 紧急可疑提醒
      • 时间窗口:设置该告警规则通知的间隔时间,例如:设置为5小时,代表5小时内只发送一次告警通知。
      • 动作:设置该规则命中的告警事件通知方式,可选项为 钉钉通知(通过钉钉群机器人发送告警通知)或 事件存储(通过日志及事件管理页面展示告警信息)。您可配置钉钉通知加事件存储的方式来展示告警事件。钉钉通知支持选择多个钉钉群机器人。钉钉群机器人配置参见步骤三:配置告警通知策略
      • 条件1/条件2:选择关联规则的日志名称。
      • 管理配置
      • 统计规则:设置自定义时间范围内命中多少次该规则才会进行告警。例如:时间间隔设置为1天,阈值为100,表述1天内命中该规则超过100次会产生告警。
  4. 单击确定完成规则创建。
    说明 单日志规则创建完成后还需将该规则添加到分组中,规则才能生效;关联日志规则创建完成后无需添加分组。

步骤二:创建规则组并添加自定义告警规则

  1. 定位到 自定义告警 > 规则设置 > 规则组
  2. 单击添加规则组

    添加规则组页签中完成规则组的配置,并将您定义好的检测规则添加到该规则组中。
    • 规则名称:提供该规则的描述性名称。
    • 应用资产组从下拉列表中勾选应用该规则组的资产组名称。

      您可在云安全中心控制台资产列表页面使用资产分组管理功能添加或修改资产分组。

    • 勾选要添加到该组的规则,并添加到右侧规则名称列表中。

    • 您可在规则组列表页签最右侧操作栏单击编辑修改规则组,或单击删除对已创建的规则组进行删除。

      说明 删除的规则组不可恢复,并且该规则组中添加的规则将失效。
  3. 单击确定,完成规则组的创建。
    说明 规则组中如果未添加任何规则,规则数将显示为0。
新创建的规则添加到后,该规则的状态才会变为运行中,表示该规则已生效。

步骤三:配置告警通知策略

自定义告警规则创建完成后,您还需配置告警通知策略,确定钉钉群机器人自动发送告警通知的配置信息。
说明 告警通知策略仅支持钉钉群机器人通知。如未安装钉钉,请到 自定义告警 > 日志及事件管理页面手动查看自定义告警通知事件。
  1. 定位到 自定义告警 > 规则设置 > 动作配置
  2. 动作配置页签中单击新建通知策略,为您自定义的告警规则设置钉钉通知方式。

    添加钉钉机器人页面进行以下配置。

    • 机器人名称:设置钉钉群自动通知机器人的名称。
    • Webhook地址:在要应用该钉钉机器人通知的钉钉群中,找到机器人的Webhook链接,复制粘贴到Webhook地址输入栏中。

      说明 未安装钉钉并建立钉钉群的用户,无法使用钉钉机器人通知。如果已有钉钉群中未添加钉钉机器人,需要在钉钉群群设置 > 群机器人 > 添加群机器人 > 自定义(通过Webhook接入自定义服务),添加自定义机器人。
    • 通知频率控制:设置钉钉机器人通知触发的频率 。频率范围为10分钟-1小时。 例如:通知频率设置为10分钟,表示每间隔10分钟通知一次。
  3. 单击创建,完成钉钉群机器人通知策略的创建。

    完成通知策略创建后,您可在单日志规则关联日志规则中添加已创建好的钉钉机器人策略。

步骤四:查看告警通知

自定义告警可通过以下两种方式查看。
  • 钉钉群机器人通知。
  • 云安全中心控制台自定义告警 > 日志及事件管理查看所有的告警通知。