检测规则
最近更新时间:2025年03月19日 11:48:40
策略分布统计
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择终端安全防护中心 > 规则运营。
2. 在规则运营页面,选择检测规则。
3. 在检测规则页面,支持以 ATT&CK 技战术全流程视角查看当前规则分布,鼠标单击展示栏各项,可看到细分技战术的内置规则以及自定义规则统计数据。
4. 通过腾讯的安全积累以及专业安全运营人员的支持,持续不断的将内置规则输出给客户以便及时发现新的威胁,用户可以通过左侧目录查看内置规则以及自定义规则分类,并且可以自主创建子目录的形式将规则进行归纳整理。
规则创建和运营
内置规则
在规则运营的内置规则页面,支持用户针对目标规则开启启用、禁用功能;单击添加白名单,支持用户选择目标文件、MD5等加入白名单,该规则对于白名单文件将不会产生告警。
自定义规则
1. 在规则运营的自定义规则页面,支持对企业的独特规则或者是应急响应,灵活配置安全规则,以适用于企业的安全运营需求,单击新建规则。
2. 配置相关参数。
参数名称 | 说明 |
告警规则名称 | 自定义告警规则名称,支持1-50字符。 |
告警规则描述 | 自定义规则描述,支持1-200字符。 |
是否启用 | 默认开启。 |
优先级 | 默认为50优先级,当需要优先执行该规则,可以指定更高的优先级。 优先级数字越大,规则越优先执行。 优先级可配置的范围是1~100。 优先级允许相同,将通过系统内置的优选规则执行规则。 兜底的全局基线规则优先级为0,不允许修改。 |
规则有效期 | 支持自定义时间/永久有效。 |
所属目录 | 选择所属目录。 |
规则性质 | 需要选择告警、探针,如选择探针。该信息日志在威胁调查狩猎页面可查询。 |
检测条件 | 支持选择基础日志类型、高级威胁类型、行为。 |
告警条件 | 支持选择多个并匹配对应目标内容,同时多个字段/字段组可选择或/且的关系进行组合。 新增「操作者父信息」日志采集分类,行为告警更精准。 |
告警频率 | 在一个终端X分钟内告警一次。 |
ATT&CK 技战术 | 根据当前规则所属的技术阶段选择对应的技战术,对于特殊场景的规则,例如钓鱼、勒索、横移场景,会根据对应的技战术在告警和事件页面对应分场景展示。 |
告警标签 | 告警标签类型在威胁告警和威胁事件中展示。 |
定义严重级别 | 标识告警严重程度,以此判定触发该规则产生的告警风险等级。 |
3. 配置完成单击保存。