留言咨询
 留言咨询 hover
腾讯iOA
产品服务版本对比帮助中心下载中心
产品服务
无边界办公
遵循零信任理念,构建以身份为核心的网络安全新边界
数据防泄密
以数据为中心,通过数据资产识别、敏感信息外发监控等能力全链路防护
终端防入侵
基于腾讯电脑管家深耕多年终端安全的经验积累,帮助用户更好对抗终端高级安全威胁
办公终端管理
提供统一的 IT 资产管控平台,实现资产全面可视化、自动化运维和桌面管理
腾讯iOA控制台链接
检测规则
最近更新时间:2025年03月19日 11:48:40

策略分布统计

1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择终端安全防护中心 > 规则运营
2. 在规则运营页面,选择检测规则
3. 在检测规则页面,支持以 ATT&CK 技战术全流程视角查看当前规则分布,鼠标单击展示栏各项,可看到细分技战术的内置规则以及自定义规则统计数据。

4. 通过腾讯的安全积累以及专业安全运营人员的支持,持续不断的将内置规则输出给客户以便及时发现新的威胁,用户可以通过左侧目录查看内置规则以及自定义规则分类,并且可以自主创建子目录的形式将规则进行归纳整理。


规则创建和运营

内置规则

在规则运营的内置规则页面,支持用户针对目标规则开启启用、禁用功能;单击添加白名单,支持用户选择目标文件、MD5等加入白名单,该规则对于白名单文件将不会产生告警。


自定义规则

1. 在规则运营的自定义规则页面,支持对企业的独特规则或者是应急响应,灵活配置安全规则,以适用于企业的安全运营需求,单击新建规则。

2. 配置相关参数

参数名称
说明
告警规则名称
自定义告警规则名称,支持1-50字符。
告警规则描述
自定义规则描述,支持1-200字符。
是否启用
默认开启。
优先级
默认为50优先级,当需要优先执行该规则,可以指定更高的优先级。
优先级数字越大,规则越优先执行。
优先级可配置的范围是1~100。
优先级允许相同,将通过系统内置的优选规则执行规则。
兜底的全局基线规则优先级为0,不允许修改。
规则有效期
支持自定义时间/永久有效。
所属目录
选择所属目录。
规则性质
需要选择告警、探针,如选择探针。该信息日志在威胁调查狩猎页面可查询。
检测条件
支持选择基础日志类型、高级威胁类型、行为。
告警条件
支持选择多个并匹配对应目标内容,同时多个字段/字段组可选择或/且的关系进行组合。
新增「操作者父信息」日志采集分类,行为告警更精准。
告警频率
在一个终端X分钟内告警一次。
ATT&CK 技战术
根据当前规则所属的技术阶段选择对应的技战术,对于特殊场景的规则,例如钓鱼、勒索、横移场景,会根据对应的技战术在告警和事件页面对应分场景展示。
告警标签
告警标签类型在威胁告警和威胁事件中展示。
定义严重级别
标识告警严重程度,以此判定触发该规则产生的告警风险等级。
3. 配置完成单击保存。