最近更新时间:2022-01-21
该小节指导已购买态势感知服务并登录到态势感知平台的用户配置关联规则。
关联规则用于对一段时间内采集器上报的日志,按照一定的规则进行关联分析,匹配“关联规则”的日志将会输出一个安全事件,并在安全事件页面进行展示。以便用户可实时监控整网安全情况,用户也可以根据事件的描述、关注点等字段进行有针对性的排查并采取相应的措施,确保网络安全。
已获取管理控制台的登录账号和密码。
已开通态势感知服务,且已登录态势感知平台。
1. 选择“配置中心 > 关联规则”进入关联规则页面。
2. 单击“新增”,进入新增关联规则页面,配置各项参数。
参数 | 说明 | |
规则定义 | 规则名称 | 规则的唯一标识,不能重复,长度为1~20个字,不能包含特殊字符“{!_|<>/\%&'",;:*=?#}”。 |
规则描述 | 规则的描述,通过合理编写描述信息,便于您快速理解和识别该规则。 | |
时间窗 | 规则匹配事件的时间段,只有在时间窗内到达系统的事件才会进行匹配。时间窗单位可选秒、分钟、小时,必须是正整数,无论选择何种单位,时间窗长度都不能超过1小时。 | |
溯源描述 | 规则生成安全事件后在溯源分析中的描述,可直接描述或通过在特定字段前后加占位符%来进行变量替换。 | |
风险危害 | 该规则生成的安全事件的风险危害。 | |
处置建议 | 该规则生成的安全事件的处置建议。 | |
事件输出 | 事件名称 | 该规则生成的安全事件的名称,长度为1~20个字符,可文字描述或通过在特定字段前后加占位符%来进行变量替换。 |
事件描述 | 该规则生成的安全事件的详细描述,可直接描述或通过在特定字段前后加占位符%来进行变量替换。 | |
威胁等级 | 该规则生成的安全事件的威胁等级,可选择低危、中危、高危、严重和默认。其中选择默认时,将展示日志本身的威胁等级。 | |
关注点 | 该规则生成的安全事件的关注点,可选择关注源或目的。通过关注点字段用户可以关注资产的安全状态。 | |
攻击阶段 | 该规则生成安全事件时,该事件所属攻击链环节,攻击阶段总共分为扫描侦查、入侵、命令控制、横向渗透、网络黑产、数据盗取、系统破坏。 | |
确信度 | 该规则生成的安全事件的可信程度,包括已失陷、高可疑、低可疑。 | |
规则设置 | 子规则名称 | 子规则的唯一标识,不能重复,不能包含字符“{}!_|<>/\%&'",;:*=?#”。 |
子规则描述 | 子规则的详细描述,通过合理编写描述信息,便于管理员快速理解和识别该规则。 | |
条件属性 | 该规则只对此类型的日志进行匹配。 | |
聚合 | 用于对满足条件的日志聚合上报事件。 | |
匹配条件 | 设置匹配条件间的逻辑关系 | |
子规则关系 | 一个关联规则下可添加多个子规则,多个子规则之间的匹配顺序可以选择全部匹配、任一匹配或顺序匹配。只有配置了多个子规则时才显示该字段。 | |
