配置策略后,当平台检测到对应的安全事件,可向管理员发送告警邮箱或短信。告警策略主要包含告警策略的配置和告警策略的管理。
配置订阅策略
在[报告中心/推送订阅/订阅策略]页面下,可以查看配置的告警策略的名称、告警方式、告警内容、邮件收件人、短信收件人以及状态。
在[订阅策略]页面下,点击<新增>,如下图所示。
其中:
策略名称:设置策略名称;
订阅方式:告警方式包含邮件告警、短信告警及微信告警,选择是否启用,并配置相关信息;
推送条件:分为“响应策略匹配”和“自定义条件”两种分类,其中自定义条件分类中可以选定受监控的IP地址,如下图所示。
选择响应策略匹配进行联动处置时,通过安全事件的响应策略调用来发送订阅策略,而策略中是通过动作节点配置,引用深信服安全感知平台应用的发送通知动作来实现,如下图所示。
订阅内容:包括安全事件、外部高危攻击、脆弱性等;
高级选项中可设置发送的时间间隔以及内容等,可根据客户需求选择,如下图所示。
配置完以上信息,点击<确认>,可以在页面列表查看配置的告警策略。
邮件告警配置
在[订阅策略]页面下,点击<新增>,配置策略名称,监控的IP地址。
告警方式选择“邮件告警”,选择收件人信息。
可选择列表里的成员。
也可点击<添加成员>,新增收件人。
短信告警配置
参考“邮件告警配置”章节。
微信告警配置
在[报告中心/推送订阅/订阅策略]的页面下,告警方式选择<启用微信告警>。
云图对接配置可以参考“深信服云图”章节。
告警策略管理
在[报告中心/推送订阅/订阅策略]页面下的策略列表,可以对策略进行删除、启用、禁用等操作。点击<刷新>,可以刷新当前页面的策略列表。
删除、启用有以下两种方式:
勾选单个/多个告警策略,可以进行单个/批量删除、启用、禁用等操作;
对策略的启用、禁用也可以直接点击[状态]下的“
、
”按钮,如下图所示。
建议使用Chrome浏览器访问!
