帮助文档

在Log360 Cloud中使用用户与实体行为分析(UEBA)的异常规则

本页内容

概述

本节详细说明如何管理异常规则及创建自定义异常规则。了解有助于简化规则创建过程并提高效率的元建议。

管理异常规则

Log360 Cloud的UEBA模块中的预定义异常规则不能编辑或删除,只能激活或停用。自定义异常规则则可以激活、停用、删除或通过编辑选项进行细化调整。此外, 报告 可查看或隐藏触发异常的详细信息。本节详细说明如何管理异常规则:

查看规则

查看规则 ”选项将显示所选预定义规则构建的用户操作及该规则配置的检测类型。此操作仅 适用于 预定义规则。您可以通过完整规则列表中的 关联 选项卡查看所有异常规则:

  1. 进入 关联 选项卡,左侧栏点击 “管理规则”.

    2. 查看规则

    图片1:ManageEngine Log360 Cloud中管理异常规则

  2. 规则列表出现。点击规则列表上方的 关联 “异常规则” 子标签。 图片2:ManageEngine Log360 Cloud中的异常规则

    3. 查看规则

    点击下拉菜单中的可用规则类型

  3. 按下图所示。 图片3:ManageEngine Log360 Cloud中的异常规则分类 在搜索框中输入并搜索,或者向下滚动找到并点击你希望查看的预定义规则,该分类下的完整异常规则列表将显示。

    4. 查看规则

    点击规则名前的“

  4. 查看规则 ”图标,将显示该异常规则的所有详情,包括背后的元信息。此信息不可编辑。 预定义和自定义异常规则的激活与停用
  5. 激活: 激活特定规则后,模型将开始分析周期,并检测该异常的发生。 对于

自定义

  • 规则—无论是单条创建还是批量创建,规则创建成功后将默认

    激活。

    停用: 规则一旦停用,匹配该规则的日志将不再发送至模型分析,且不会检测到任何异常。所有 预定义 规则默认均为

  • 停用,用户需手动激活以应用它们。

    激活/停用异常规则的步骤: 图片4:ManageEngine Log360 Cloud中激活异常规则 现有规则列表出现。点击 图片5:ManageEngine Log360 Cloud中激活异常规则规则列表中规则的

“规则状态”

  1. 进入 关联 选项卡,左侧栏点击 “管理规则”.

    2. 查看规则

    列,鼠标悬停当前为

  2. “非活动” 子标签。 图片2:ManageEngine Log360 Cloud中的异常规则

    3. 查看规则

    按钮,会出现激活选项如下。

  3. 搜索 点击 “激活” ,操作完成后会短暂弹出如下提示。 类似地,若要 停用

    4. 查看规则

  4. 规则,鼠标悬停当前为 “活动”按钮,会出现停用选项如下。

    5. 查看规则

  5. “停用” 。若停用单条规则,会弹出提示框询问是否 隐藏 报告 。如需隐藏报告,请勾选复选框,或不选择隐藏直接点击

    6. 查看规则

  6. 规则,鼠标悬停当前为 “是”操作完成后会短暂弹出如下提示。 一次管理多条异常规则 若想一次管理某操作下的一组多条异常规则,请按以下步骤操作: 图片6:ManageEngine Log360 Cloud中管理异常规则 .

    7. 查看规则

  7. 规则类别下拉菜单

    8. 查看规则

筛选规则。

在规则列表的第一列,每条规则旁有复选框。

  1. 进入 关联 选项卡,左侧栏点击 “管理规则”.

    2. 查看规则

    勾选你想管理的所有规则的复选框。

  2. “非活动” 子标签。 图片2:ManageEngine Log360 Cloud中的异常规则
  3. 点击规则列表上方的 管理.
  4. 按钮,展开下拉菜单,列出该规则集(自定义和预定义)的所有可用操作。 自定义规则的可用操作:
  5. 图片7:ManageEngine Log360 Cloud中自定义异常规则的可用操作 for all the rules you wish to manage.
  6. 激活: Manage button above the rule list and the dropdown expands, listing all the available actions for the rule sets- custom and pre-defined.

    7. Available actions for custom created rules:

    查看规则

    Image 7: Available actions for custom anomaly rules in ManageEngine Log360 Cloud

    预定义规则的可用操作:

    查看规则

    图像 8:ManageEngine Log360 Cloud 中预定义异常规则的可用操作

  7. 选择您希望执行的操作,该操作将立即生效。

创建自定义异常规则

在创建自定义异常规则时,用户可以选择以下两种方法之一:

单条规则创建:

在此方法中,用户可以一次选择一个 单个 操作,并针对其创建异常规则。 元建议 也将显示以指导规则设置。

单条规则创建步骤:

  1. 进入 关联 选项卡,左侧栏点击 “管理规则”.

    2. 查看规则

    图像 9:在 ManageEngine Log360 Cloud 中创建自定义异常规则

  2. “非活动” 子标签。 图片2:ManageEngine Log360 Cloud中的异常规则
  3. 点击位于规则列表上方右上角的绿色按钮 “Create Anomaly Rule”

    4. 查看规则

    图像 10:在 ManageEngine Log360 Cloud 中创建自定义异常规则

  4. 会出现下拉菜单,供选择 “Single Anomaly Rule”“Bulk Anomaly Rule” 。点击 “Single Anomaly Rule”.

    5. 查看规则

  5. 填写首选的 规则名称 并选择规则所依据的具体 操作 ,如下面的图片所示。

    6. 查看规则

  6. 选择操作后,您将看到 元建议 ,用于指定与该规则相关的详细信息,如下图所示。您可以选择接受给定的推荐,也可以根据个人意愿调整详细信息。以同样方式,对于单条规则,最多可自定义创建 10 个模型

    7. 查看规则

  7. 您还可以通过点击 “Description” 按钮,填写描述框,然后点击 “OK” 按钮来创建 规则的个人描述。 填写所有必填字段和详细信息后,点击

    8. 查看规则

  8. “Save”".
  9. 规则类别下拉菜单

    10. 查看规则

规则成功创建后,UEBA 模块将开始处理规则中指定的事件进行异常训练。基线随后将根据模型定义。训练期结束并且基线设定后,将检测异常。

批量规则创建:

在批量规则创建中, 可以一次选择多个 操作以快速生成多个独立的异常规则。与单条规则创建不同,此视图中不显示元建议。

批量规则创建步骤:

  1. 进入 关联 选项卡,左侧栏点击 “管理规则”.

    2. 查看规则

    图像 11:ManageEngine Log360 Cloud 中的批量规则创建

  2. “非活动” 子标签。 图片2:ManageEngine Log360 Cloud中的异常规则
  3. 点击位于规则列表上方右上角的绿色按钮 “Create Anomaly Rule”

    4. 查看规则

    图像 12:ManageEngine Log360 Cloud 中的自定义异常规则

  4. 会出现下拉菜单,供选择 “Single Anomaly Rule”“Bulk Anomaly Rule” 。点击 “Bulk Anomaly Rule”.

    5. 查看规则

  5. 输入 规则名称后缀 ,以便未来配置时轻松识别和筛选这些规则。
  6. 选择操作(Select Action)中,选择所需的操作。选中的项目将在右侧显示,悬停时带有 ⨯ 图标,可点击移除。
  7. 选择完成后,点击 以批量创建规则。
  8. 规则类别下拉菜单

    9. 查看规则

    查看规则

编辑和删除自定义异常规则

  • 编辑规则:

    用户可以自定义创建规则集,并且可以灵活编辑。点击 “Edit”后,用户将看到该规则所基于的 操作 操作 以及配置的 检测类型。用户可以根据偏好编辑检测类型。

  • 删除规则:

    删除自定义创建的异常规则时, 该规则关联的所有 异常模型及其对应报告都会被删除。

编辑/删除自定义异常规则步骤:

  1. 进入 关联 选项卡,左侧栏点击 “管理规则”.

    2. 查看规则

    图像 13:ManageEngine Log360 Cloud 中的自定义异常规则

  2. “非活动” 子标签。 图片2:ManageEngine Log360 Cloud中的异常规则
  3. 从规则类型下拉菜单筛选 “Custom” 分类,如下图所示。

    4. 查看规则

  4. “Actions” 列中,您会找到相应的图标以 编辑 logo icon-edit 删除

    5. 查看规则

    规则。

  5. 图像 14:在 ManageEngine Log360 Cloud 中编辑/删除自定义异常规则 编辑logo编辑 规则,点击编辑图标。 点击后,会打开

    6. 查看规则

    “Edit Anomaly Rule”窗口。 icon-edit 注意:
  6. 编辑过程中,如果用户点击元建议中的 按钮,训练好的模型将被删除。您只能编辑 规则名称、描述
  7. 及带有元建议的异常详情。与该规则关联的操作不可编辑。 完成必要编辑后,点击.
  8. “Save”

    9. 查看规则

  9. 图像 14:在 ManageEngine Log360 Cloud 中编辑/删除自定义异常规则 icon-edit 操作完成后,会出现以下弹窗。删除

    10. 查看规则

  10. “Save”

    11. 查看规则

规则,点击

并在确认弹窗中点击

“Yes”以确认。元建议Meta 根据选定的操作推荐适当的检测类型。这些建议是预定义和单条自定义规则创建的关键组成部分。例如,当用户在“Meta 根据选定的操作推荐适当的检测类型。这些建议是预定义和单条自定义规则创建的关键组成部分。Windows logons

  • ” 下面为事件类型“ 激活特定规则后,模型将开始分析周期,并检测该异常的发生。 Failed logons
  • ” 创建单条自定义规则时,基于此特定的事件类型“
  • ”,完成规则创建所需的字段将预填充一些建议。此后,用户可以选择按照建议执行,或者在这些字段中创建自己的条件。 在预定义规则中,Meta 在后台用于定义规则逻辑。用户只能通过选项查看,无法修改。 在单条自定义规则创建中,用户可以查看、接受、修改或删除由 Meta 衍生的建议检测类型。 在批量规则

查看规则

创建中,基于 Meta 的建议会自动应用,但在创建过程中不显示给用户。不过,如果用户想要编辑批量规则,之前自动应用的 Meta 信息可以按照本页“编辑/删除自定义异常规则”步骤进行编辑。

上图为自定义异常规则单条规则创建时的元建议示例。如您所见,字段预填充了这些建议,采用非常常见/推荐的配置,以节省手动配置的时间。但这些字段仍可以根据需求进行不同配置的编辑。

另请参阅

本文档详细说明了 Log360 Cloud UEBA 异常规则的工作步骤。如需充分利用 UEBA 功能,请参阅以下文章: