84、事件处理与安全监控中心管理

事件处理与安全监控中心管理

1. 事件规则定义通知

在大规模部署 IDS 传感器时，会产生大量的事件数据，这使得在类似事件查看器这样的仪表板式产品中，难以隔离真正的攻击并快速做出响应。事件规则扩展了安全监控器的功能，允许你定义一组与一个或多个事件发生相关的标准，这些事件需满足特定条件和阈值，然后生成自定义操作，如生成电子邮件通知或运行自定义脚本。事件规则最常用于通知安全操作员特定事件或事件模式。

事件规则由三个组件组成：
- 事件过滤器 ：指定触发事件规则必须满足的条件。
- 操作 ：如果事件规则被触发，则会启动操作。可用的操作有：
- 发送电子邮件通知。
- 将控制台通知记录到审计日志。
- 执行脚本。
- 阈值和间隔 ：为避免启动过多的事件操作，可配置阈值（定义在触发事件规则之前特定事件必须发生的次数）和间隔（定义用于实现每个时钟测量的计时器的时间段）。

你可以在安全监控器中选择“管理” -> “事件规则”来启用、禁用、创建、修改和删除事件规则。这将打开事件规则页面，默认情况下，不存在任何事件规则。要创建新的事件规则，请点击事件规则页面上的“添加”按钮，启动一个向导，该向导会引导你完成四个配置页面：
1. 识别规则 ：配置规则的名称和描述。
2. 指定事件过滤器 ：定义应用于事件的标准，以确定事件是否与规则匹配。
3. 选择操作 ：定义事件规则匹配特定事件时