操作場景

態勢感知（專業版）支持利用模型對管道中的日志數據進行監控，如果數據信息在模型范圍內容，將產生告警提示。

新建模型可以使用已有內置模型模板進行創建模型，同時，也支持自定義新建告警模型：

• 使用已有模型模板創建告警模型

• 自定義新建告警模型

• 編輯模型

使用已有模板創建告警模型

1. 登錄管理控制臺。

2. 單擊頁面左上方的，選擇“安全 > 態勢感知（專業版）”，進入態勢感知（專業版）管理頁面。

3. 在左側導航欄選擇“工作空間 > 空間管理”，并在工作空間列表中，單擊目標工作空間名稱，進入目標工作空間管理頁面。

4. 在左側導航欄選擇“建模分析 > 智能建模”，進入智能建模的可用模型頁面。

5. 在可用模型列表左上角單擊“新建模型”，進入新建告警模型頁面。

6. 在新增告警模型頁面中，配置告警模型基礎信息，參數說明如下表所示。

   參數名稱	參數說明
   管道名稱	請根據此頁面的“描述”中的“使用約束”中描述的管道來選擇該告警模型的執行管道。
   模型名稱	自定義該條告警模型的名稱。
   嚴重程度	設置該告警模型的嚴重程度。 可以設置致命、高危、中危、低危、提示級別。 致命：致命級別的告警表示系統已經受到嚴重的攻擊，可能導致數據丟失、系統崩潰或者長時間的服務中斷。例如，發現勒索加密行為或惡意程序感染。建議您立即處理，避免對系統造成更嚴重的損害。 高危：高危級別的告警表示系統可能正在受到攻擊，但尚未造成嚴重的損害。例如，檢測到未授權的登錄嘗試或執行了危險命令（如刪除關鍵系統文件或修改系統設置的命令）。建議您及時調查并采取措施，以防止攻擊蔓延。 中危：中危級別的告警表示系統存在潛在的安全威脅，但目前沒有明顯遭受攻擊的跡象。例如，檢測到文件或目錄的異常修改，表明系統可能存在潛在的攻擊路徑或配置錯誤。建議您進一步分析并采取適當的防范措施，以確保系統的安全。 低危：低危級別的告警表示系統存在輕微的安全威脅，不會對系統的正常運行產生顯著影響。例如，檢測到一些端口掃描行為，這些行為通常是攻擊者嘗試尋找系統漏洞的前奏。這類告警可以在合適的時間進行處理，不需要立即采取緊急措施。如果您的資產安全等級要求較高，可以關注該等級的安全告警。 提示：對應資源存在潛在的錯誤可能影響到業務。如果您對您的資產的安全等級要求較高，可以關注該等級的安全告警。
   告警類型	選擇該條告警模型觸發后，提示的告警類型。
   模型類型	默認為規則模型。
   描述	該告警模型的描述信息。
   啟用狀態	設置該告警模型的啟用狀態。 此處設置的狀態，可在整個告警模型設置成功后進行更改。

7. 設置完成后，單擊頁面右下角“下一步”，進入設置模型邏輯頁面。

8. 設置模型邏輯，參數說明如下表所示。

   參數名稱	參數說明
   查詢規則	設置告警的查詢規則，設置完成后可以單擊“運行”，查看當前運行結果。 查詢分析語句由查詢語句和分析語句構成，格式為查詢語句|分析語句，查詢分析語句語法詳細內容請參見查詢與分析語法。 說明 如果篩留字段為text類型時，默認會使用MATCH_QUERY進行分詞查詢。
   查詢計劃	設置告警查詢計劃。 運行查詢間隔：xx分鐘/小時/天。 當運行查詢間隔為分鐘時，可設置為5-59分鐘；當運行查詢為小時時，可設置為1-23小時；當運行查詢為天時，可設置為1-14天。 時間窗口：xx分鐘/小時/天。 當時間窗口為分鐘時，可設置為5-59分鐘；當時間窗口為小時時，可設置為1-23小時；當時間窗口為天時，可設置為1-14天。 延遲執行時間：xx分鐘，可以設置為0-5分鐘。
   告警擴充	自定義信息：自定義告警擴充信息。 單擊“添加”，并設置key+value信息，完成新增。 告警詳細信息：自定義填寫告警名稱、描述和處置建議。
   觸發條件	設置告警觸發條件。可設置為：大于/等于/不等于/小于xx時，觸發告警。 如有多條觸發條件，可以單擊“添加”按鈕進行添加，最多可添加5個觸發條件。 當設置了多個觸發條件時，在日志數據掃描檢測中，系統將按照從上到下的校驗邏輯，如果有滿足此處設置的觸發條件被檢測到時，系統都將展示不同類型的告警。
   告警分組	配置將規則查詢結果分組到告警的方式。可選擇以下方式： 將所有查詢結果分組到一個告警中 將每條查詢結果獨立觸發告警
   調試模式	設置是否生成調試類告警。
   抑制	設置生產告警后是否停止運行查詢。 如果設置為抑制，即生成告警后停止運行查詢。 如果設置為不抑制，即生成告警后不停止運行查詢。

9. 設置完成后，單擊頁面右下角“下一步”，進入模型詳情預覽頁面。

10. 預覽確認無誤后，單擊頁面右下角“確定”。

自定義新建告警模型

1. 登錄管理控制臺。

2. 單擊頁面左上方的，選擇“安全 > 態勢感知（專業版）”，進入態勢感知（專業版）管理頁面。

3. 在左側導航欄選擇“工作空間 > 空間管理”，并在工作空間列表中，單擊目標工作空間名稱，進入目標工作空間管理頁面。

4. 在左側導航欄選擇“建模分析 > 智能建模”，進入智能建模的可用模型頁面。 

5. 在可用模型列表左上角單擊“新建模型”，進入新建告警模型頁面。

6. 在新增告警模型頁面中，配置告警模型基礎信息，參數說明如下表所示。

   參數名稱	參數說明
   管道名稱	選擇該告警模型的執行管道。
   模型名稱	自定義該條告警模型的名稱。
   嚴重程度	設置該告警模型的嚴重程度。可以設置致命、高危、中危、低危、提示級別。 致命：致命級別的告警表示系統已經受到嚴重的攻擊，可能導致數據丟失、系統崩潰或者長時間的服務中斷。例如，發現勒索加密行為或惡意程序感染。建議您立即處理，避免對系統造成更嚴重的損害。 高危：高危級別的告警表示系統可能正在受到攻擊，但尚未造成嚴重的損害。例如，檢測到未授權的登錄嘗試或執行了危險命令（如刪除關鍵系統文件或修改系統設置的命令）。建議您及時調查并采取措施，以防止攻擊蔓延。 中危：中危級別的告警表示系統存在潛在的安全威脅，但目前沒有明顯遭受攻擊的跡象。例如，檢測到文件或目錄的異常修改，表明系統可能存在潛在的攻擊路徑或配置錯誤。建議您進一步分析并采取適當的防范措施，以確保系統的安全。 低危：低危級別的告警表示系統存在輕微的安全威脅，不會對系統的正常運行產生顯著影響。例如，檢測到一些端口掃描行為，這些行為通常是攻擊者嘗試尋找系統漏洞的前奏。這類告警可以在合適的時間進行處理，不需要立即采取緊急措施。如果您的資產安全等級要求較高，可以關注該等級的安全告警。 提示：對應資源存在潛在的錯誤可能影響到業務。如果您對您的資產的安全等級要求較高，可以關注該等級的安全告警。
   告警類型	選擇該條告警模型觸發后，提示的告警類型。
   模型類型	默認為規則模型。
   描述	該告警模型的描述信息。
   啟用狀態	設置該告警模型的啟用狀態。 此處設置的狀態，可在整個告警模型設置成功后進行更改。

7. 設置完成后，單擊頁面右下角“下一步”，進入設置模型邏輯頁面。

8. 設置模型邏輯，參數說明如下表所示。

   參數名稱	參數說明
   查詢規則	設置告警的查詢規則，設置完成后可以單擊“運行”，查看當前運行結果。 語法參考請參見查詢與分析語法。
   查詢計劃	設置告警查詢計劃。 運行查詢間隔：xx分鐘/小時/天。 當運行查詢間隔為分鐘時，可設置為5-59分鐘；當運行查詢為小時時，可設置為1-23小時；當運行查詢為天時，可設置為1-14天。 時間窗口：xx分鐘/小時/天。 當時間窗口為分鐘時，可設置為5-59分鐘；當時間窗口為小時時，可設置為1-23小時；當時間窗口為天時，可設置為1-14天。 延遲執行時間：xx分鐘，可以設置為0-5分鐘。
   告警擴充	自定義告警擴充信息。 單擊“添加”，并設置key+value信息，完成新增。 告警詳細信息：自定義填寫告警名稱、描述和處置建議。
   觸發條件	設置告警觸發條件。可設置為：大于/等于/不等于/小于xx時，觸發告警。 如有多條觸發條件，可以單擊“添加”按鈕進行添加，最多可添加5個觸發條件。 當設置了多個觸發條件時，在日志數據掃描檢測中，如果有滿足此處設置的不同的觸發條件被檢測到時，系統都將展示不同類型的告警。
   告警分組	配置將規則查詢結果分組到告警的方式。可選擇以下方式： 將所有查詢結果分組到一個告警中 將每條查詢結果獨立觸發告警
   調試模式	設置是否生成調試類告警。
   抑制	設置生產告警后是否停止運行查詢。 如果開啟，則表示抑制，即生成告警后停止運行查詢。 如果關閉，表示不抑制，即生成告警后不停止運行查詢。

9. 設置完成后，單擊頁面右下角“下一步”，進入模型詳情預覽頁面。

10. 預覽確認無誤后，單擊頁面右下角“確定”。

編輯模型

僅支持編輯自定義創建的模型。

1. 登錄管理控制臺。

2. 單擊頁面左上方的，選擇“安全 > 態勢感知（專業版）”，進入態勢感知（專業版）管理頁面。

3. 在左側導航欄選擇“工作空間 > 空間管理”，并在工作空間列表中，單擊目標工作空間名稱，進入目標工作空間管理頁面。

4. 在左側導航欄選擇“建模分析 > 智能建模”，進入智能建模的可用模型頁面。 

5. 在可用模型列表中，單擊目標模型所在行“操作”列的“編輯”，右側彈出編輯告警模型頁面。

6. 在編輯告警模型頁面中，配置告警模型基礎信息，參數說明如下表所示。

   參數名稱	參數說明
   管道名稱	選擇該告警模型的執行管道。暫不支持編輯 。
   模型名稱	自定義該條告警模型的名稱。
   嚴重程度	設置該告警模型的嚴重程度。可以設置致命、高危、中危、低危、提示級別。
   告警類型	選擇該條告警模型觸發后，提示的告警類型。
   模型類型	默認為規則模型。
   描述	該告警模型的描述信息。

7. 設置完成后，單擊頁面右下角“下一步”，進入設置模型邏輯頁面。

8. 設置模型邏輯，參數說明如下表所示。

   參數名稱	參數說明
   查詢規則	設置告警的查詢規則，設置完成后可以單擊“運行”，查看當前運行結果。 查詢分析語句由查詢語句和分析語句構成，格式為查詢語句|分析語句，查詢分析語句語法詳細內容請參見查詢與分析語法。 說明 如果篩留字段為text類型時，默認會使用MATCH_QUERY進行分詞查詢。
   查詢計劃	設置告警查詢計劃。 運行查詢間隔：xx分鐘/小時/天。 當運行查詢間隔為分鐘時，可設置為5-59分鐘；當運行查詢為小時時，可設置為1-23小時；當運行查詢為天時，可設置為1-14天。 時間窗口：xx分鐘/小時/天。 當時間窗口為分鐘時，可設置為5-59分鐘；當時間窗口為小時時，可設置為1-23小時；當時間窗口為天時，可設置為1-14天。 延遲執行時間：xx分鐘，可以設置為0-5分鐘。
   告警擴充	自定義信息：自定義告警擴充信息。 單擊“添加”，并設置key+value信息，完成新增。 告警詳細信息：自定義填寫告警名稱、描述和處置建議。
   觸發條件	設置告警觸發條件。可設置為：大于/等于/不等于/小于xx時，觸發告警。
   告警分組	配置將規則查詢結果分組到告警的方式。可選擇以下方式： 將所有查詢結果分組到一個告警中 將每條查詢結果獨立觸發告警
   調試模式	設置是否生成調試類告警。
   抑制	設置生產告警后是否停止運行查詢。 如果設置為抑制，即生成告警后停止運行查詢。 如果設置為不抑制，即生成告警后不停止運行查詢。

9. 設置完成后，單擊頁面右下角“下一步”，進入模型詳情預覽頁面。

10. 預覽確認無誤后，單擊頁面右下角“確定”。