在[处置中心/策略管理]页面，点击<新增>进入到策略编排画布，如下图所示。

左侧导航中包括节点库和常量库，功能说明如下表所示。

表16策略元素说明

 策略设置 

在策略设置弹框中填写策略名称、策略描述、下拉选择策略分类、勾选执行方式、以及设置执行条件补充，如下图所示。

其中：

• 策略名称：必填项，自定义名称；

• 策略描述：非必填项，根据实际情况填写；

• 策略分类：分为响应策略转换策略类、自定义策略类，如下图所示。

• 执行方式：分为[自动执行]和[手动执行]两大类，其中设自动执行方式的策略在相应安全事件/安全告警发生之后会自动匹配，然后自动执行对应的联动处置，但是要注意日常使用中，谨慎配置和开启自动执行的响应策略，一般推荐经过小范围试运行通过的自动响应策略，再逐步扩大范围范围。

• 执行条件设置：主要是对该策略通过多个维度圈定作用范围，常见的维度包括攻击者IP、攻击者所属资产组、IOC等，每一个维度只能配置一个条件，当存在多个条件时，他们之间的关系为“且”，但是单个条件内部存在多个值时，值和值的关系为“或”。默认情况下需要至少存在安全事件/安全告警类型的触发条件，如下图所示。

如上图所示，默认必存在安全事件/安全告警的条件，且不能修改成其他维度；每个维度只能被一个条件所引用，当某个维度都被引用成条件后，此时<新增条件>按钮会置灰，不可再次被引用，示例如下图所示。

策略设置好之后，点击<确定>进入到画布，开始配置策略，主要是根据决策器-动作-策略嵌套-结束来实现场景化联动需求。

策略配置 

在[策略管理]页面，某策略分类下，点击<新增>进入到画布界面，左侧导航栏中的节点图标通过点击并拖拽的方式到中间画布区域。

执行节点-动作

拖拽动作节点到画布后单击进入到编辑对话框，输入节点名称、下拉选择动作、选择设备IP等，点击<高级配置>可以手动选择开启/关闭延时运行。

其中：

• 选择动作：可以根据应用/动作维度选择，不同的应用之间动作有区别，可以根据弹框分类导航进行可视化选择，也可以根据关键字进行应用/动作模糊搜索，如下图所示。

具体的应用动作配置参数详见“应用动作配置详情”章节。

执行节点-策略

左侧导航中[执行节点/策略]是指在新增策略的时候可以调用既有策略进行嵌套执行，使用时直接拖拽到画布，双击进行配置，填写[节点名称]、下拉[选择策略]，高级配置默认不开启延时运行，并点击<确认>如下图所示。

过程过滤节点-决策器    

左侧导航中[执行节点/策略]是指新增判断条件确定下一步流程，使用时直接拖拽到画布，双击进行配置，在弹框中填写[节点名称]、创建if-else、if-else if-…-else类型的过滤规则，确认是否开启[循环配置]，如下图所示。

其中：

• 过滤规则属性：先选择事件/告警的属性字段，点击<>图标弹出选择参数弹框，可以根据事件/告警下拉选择，并点击<确定>，如下图所示。

• 逻辑关系符：在下拉的关系符中选择，包括“==”、“！=”、“in”、“not in”、“>”、“>=”、“<”、“<=”、“is empty”等分类，如下图所示。

• 属性字段值：主要是填写所选属性通过逻辑关系符要对应的属性值，也可以选择属性参数，根据实际情况灵活选择。

也可以在同一个if判断条件内，添加多个规则并可以根据实际情况灵活选择“且”、“或”的关系，点击< >进行“或”关系的添加，点击<>进行“与”关系的添加，如下图所示。

• 循环配置：满足特定配置条件时，循环回上游节点，优先执行循环分支，最多可循环200次，如下图所示。

策略配置完成后，且可以对策略进行<存草稿>、<更新上线>等操作，如下图所示。

上图中，在画布上点击<>可对策略编排进行撤销到上一个动作，点击<>可对画布进行放大操作，点击<>可对画布进行缩小，点击<>可显示缩略图，点击鼠标进行拖拽，调整整体在画布中的相对位置，如下图所示。