创建威胁策略

在线编辑

在威胁和修复策略中配置要在出现可疑活动时应用的操作和规则。

过程

  1. 选择安全 > 威胁检测
  2. 单击 创建威胁策略 按钮以创建新的威胁检测和补救策略。
  3. 将打开 " 创建威胁策略 " 弹出屏幕。 配置威胁策略所需的部分显示在屏幕的左侧面板中。
  4. 常规设置 部分中,输入策略 名称 描述,然后选择 主题
    请参阅以下步骤以配置主题:
    • 选择用户体验 > 品牌标识
    • 浏览至感兴趣的特定主题下的 notifications 文件夹,以在 威胁检测 文件夹中找到 threat_detection_email.xml 。 要进行自定义设置 threat_detection_email.xml ,请参阅《 修改威胁检测电子邮件通知页面》。
  5. 联系人 部分中,选择触发警报后必须通知的组。

    选择组后,屏幕将以表格格式显示按 组名用户数列出的记录。 点击图标 del 可从列表中删除特定组记录。

    在某些特定组中,用户数量可以是未指定的、零或超过100。 威胁检测通知将发送给每个组中的前 100 个用户。

  6. 临界级别 部分中,设置存在可疑活动时要执行的操作。
    注意: 在创建过程中配置操作时,为 IBM X-Force Actionable IP 选定的选项将自动应用于其他活动。 如果其他活动中的任何操作被清除,则相同的选取程序将无法实施。
  7. 警告级别 部分中,可以采用与在 紧急级别 部分中相同的方式配置操作。
  8. IP 过滤器 部分中,输入要设置为 允许列表拒绝列表一部分的 IP 地址。
  9. 单击 保存 以添加新策略。
  10. 将创建策略,并且打开的屏幕将显示其详细信息。 屏幕的右侧面板允许 启用编辑删除 策略。 单击 查看报告 将打开威胁检测报告。 详细信息 显示 创建时间上次修改时间上次修改时间

后续操作

单击 启用 以激活策略。

要修改已创建的策略,请点击 “编辑”按钮 ,或点击相应部分磁贴上的图标 编辑 进行修改。