创建告警配置文件

概述

本页面说明如何创建和管理告警配置文件。内容涵盖设置预定义或自定义条件、选择日志源、定义严重性级别以及配置通知。您还可启用操作手册以自动化处理，实现更快的事件响应。

配置告警配置文件

1. 在产品仪表板中，导航至下图所示的“告警”选项卡。

   

2. 系统将跳转至告警模块。

   

通过此模块，您可以创建、管理和配置告警配置文件

创建告警配置文件

您可从现有预定义告警配置文件中选择，也可针对特定需求定义自定义条件。

创建告警配置文件的步骤

1. 在产品控制台中，导航至“告警”选项卡，点击页面右上角如图所示的“添加告警配置文件”按钮。

   

2. 此时将打开添加告警配置文件页面。在名称字段中输入该告警配置文件的唯一名称。

   

3. 在“条件”字段中，点击+图标定义告警条件。这将打开告警条件构建器窗口。告警条件构建器包含4个子选项卡：
   • 预定义告警条件
   • 规则
   • 合规性告警条件
   • 自定义告警条件

   

4. 定义告警条件：添加告警条件时，您可在告警条件构建器窗口中从四个类别中进行选择。
   • 预定义告警
     • 在条件构建器中选择预定义告警条件。
     • 您现在还可通过筛选选项添加自定义过滤条件，该功能取代了之前的“+添加条件”按钮，操作更便捷。
     • 从组下拉菜单中选择日志类型，并选定所需类别。
     • 通过点击相应单选按钮选择所需告警条件。
     • 此选项可让您从大量预定义告警条件中快速选择，节省时间和精力。

     

   • 规则
     • 在条件构建器中选择 规则子选项卡 。
     • 浏览映射到常见威胁模式和异常活动的安全型预定义告警规则。
     • 从支持的日志类型（如 Windows、防火墙、数据库等）中选择各种基于规则的检测。
     • 每条规则均旨在揭示可疑活动，例如异常密码变更、批量文件修改、登录失败、权限提升或意外系统关机。
     • 启用所需规则即可自动检测并预警可能涉及内部威胁、勒索软件、暴力破解尝试及其他安全风险的活动。

     

   • 合规性告警
     • 在条件构建器中选择合规性告警条件。
     • 浏览合规性相关的告警条件，这些条件旨在检测违反 IT 法规的行为，例如 PCI DSS、SOX、HIPAA、GLBA、PDPA、NIST、CCPA、GDPR 和 ISO 27001:2013。
     • 选择所需的合规性告警条件。
     • 合规性告警可帮助您监控政策变更、特权提升、未经授权的登录以及敏感文件访问或修改等异常情况。

     

   • 自定义告警
     • 在条件构建器中选择“自定义告警条件”。
     • 使用属性、比较器和数值定义一个或多个告警条件。
     • 使用AND/OR运算符对条件进行分组或取消分组。
     • 可选操作：通过选择自定义提取字段，为导入日志（如Oracle、Microsoft SQL、IIS或打印服务器日志）配置告警。
       注：要添加多个自定义提取字段，请在条件构建器中点击+图标。
     • 漏洞与配置错误比较器（需集成Endpoint Central方可使用）：
     • 存在漏洞– 检测标记为易受攻击的设备。
     • 易受攻击对象——识别暴露于特定CVE漏洞的设备。
     • 配置错误对象——检测存在配置错误的设备（例如禁用的Windows凭据防护）。

     

5. 选择要在此告警配置文件下配置的日志源。

   

6. （可选）勾选复选框以启用此告警配置文件的过滤器。有关在此告警配置文件下配置用户和组的操作，请参阅对象过滤器帮助文档。
   注意：现可通过过滤器选项添加额外的自定义过滤条件。此前该功能通过告警配置文件视图中的“+ 添加条件”按钮实现，现已移至外部以便更便捷地访问。

   

7. 从严重性下拉菜单中选择此配置文件生成的告警严重性级别。可用选项包括：
   • 严重
   • 故障
   • 注意
8. 在“告警消息格式”字段中自定义告警内容。点击“+添加”可将账户名称、来源、消息等变量插入消息格式。

   

   

9. 展开“高级配置”部分以优化告警触发条件：

   

   • 阈值
     • 手动阈值：定义事件发生次数和时间间隔（以分钟为单位）。
     • 智能阈值：输入时间间隔，系统将通过机器学习算法自动确定最佳事件数量以减少误报。
   • 时间范围：指定告警配置文件应生效的工作时段。
10. 在告警通知下，为告警配置通知和操作手册：
    • 通知设置：
      • 创建告警配置文件时选择"通知设置"选项卡。

        

      • 选择是否对所有告警持续发送通知，或在触发通知后暂停特定时长。

        

      • 勾选复选框启用后，通过指定收件人、主题行及包含动态宏的消息模板来配置电子邮件通知。

        

        • 通过输入手机号码和预定义消息格式启用短信通知。
        • 这些通知确保关键告警能立即传达给管理员和安全团队，从而更快响应潜在威胁。
        • 有关告警通知配置的详细信息，请参阅《告警通知与修复》帮助文档。
    • 操作手册
      • 通过导航至操作手册子选项卡并配置所需操作手册，为告警配置文件启用自动化修复方案。

        

      • 勾选"启用操作手册"复选框，选择或添加预定义操作手册，该手册将在告警触发时自动运行。

        

      • 点击“添加新Playbook”选项可配置新Playbook。弹出窗口将要求确认操作，点击“确定”即可。

        

      • 系统将跳转至“管理操作手册”模块。有关操作手册的详细信息及配置方法，请参阅操作手册管理帮助文档。
11. 完成所有配置后，点击"保存配置文件"。操作成功后将显示下方弹窗，此时告警配置文件已创建并列于"管理告警配置文件"页面。

另请参阅

本页面提供了创建新告警配置文件的分步指南。请参阅下方帮助页面，了解更多关于配置告警通知、使用操作手册以及管理告警配置文件以优化监控和响应流程的信息。

• 概述
• 管理告警配置文件
• 告警通知与修复