安全事件/告警检测引擎主要实现对包括：情报检测引擎、文件分析引擎、攻击行为分析引擎、异常行为引擎，进行编辑、展示查询、新增等操作。

展示查询

在[系统设置/安全能力配置/安全告警检测引擎]页面，各检测引擎标识规则总数、引擎简介，将鼠标放置在<简介>位置可以看到具体内容，每条引擎规则在列表中的属性包括：告警ID、事件ID、威胁名称、威胁等级、威胁类型、配置时间、状态、生安全告警/事件的关联关系、操作等，如下图所示。

从3.0.83开始支持一键开启所有规则生成安全告警和事件。POC场景能够显示更加丰富的检出效果。

其中：

• 告警ID：在安全告警详情页面可以看到，多是2开头的ID数字串；

• 事件ID：在安全事件详情页面可以看到，多是1开头的ID数字串；

• 威胁等级：分为高威胁、中威胁、低威胁；

• 威胁类型：和处置中心的安全事件和安全告警威胁分类是一致的；

• 安全告警：指该条引擎规则是否生成安全告警，包括“生成”、“不生成”两种结果，由于安全事件是有安全安全告警转换的，当安全告警配置“不生成”时，安全事件列也会关联变为“不生成”。

• 安全事件：指该条引擎规则是否生成安全事件，包括“生成”、“不生成”两种结果。

• 状态：可以手动修改每条规则的状态，“”代表启用状态，“”代表禁用状态；

在规则列表部分，可以根据威胁类型、威胁等级进行分类展示，也可以根据关键字/引擎规则ID对进行模糊检索，如下图所示。

在规则列表中，可以点击每一个规则的“”可以对规则进行编辑。

编辑管理

在[系统设置/安全能力配置/安全告警检测引擎]页面，选中一条或多条规则点击<启用>、<禁用>、<恢复默认配置>可以批量启用/禁用/恢复默认配置，如下图所示。

点击进入到规则详情页面，包括：当前状态、告警ID、事件ID、安全告警、安全事件、威胁名称、威胁类型、威胁描述、攻击影响、威胁等级等，可以自定义该引擎规则是否成安全事件、是否生成安全告警，如下图所示。

可以手动下拉选择调整威胁等级，如下图所示。

其中，在“异常行为引擎”分类中，可以对常见的扫描、爆破等行为可以根据实际情况自定义阈值，示例如下图所示。

目前支持可以自定义阈值的列表如附件。

自定义威胁情报

在[系统设置/安全能力配置/安全告警/事件检测引擎]页面，可以自定义威胁情报，如下图所示。

威胁情报创建

在在[系统设置/安全能力配置/安全告警/事件检测引擎]页面，自定义威胁情报库子类中，管理员可点击<新增>或<导入>进行威胁情报创建，包括：事件标签、所处阶段、匹配条件、确定性等级、威胁等级、事件类型。管理员可通过编辑事件标签、所处阶段及检测项进行威胁情报新增，可选项（高级选型）包括确定性等级、威胁等级、事件等级、危害描述及处理建议，新增界面如下图所示。

其中：

• 安全告警：该情报是否生成安全告警；

• 安全事件：该情报是否生成安全事件；

• 情报类型：包括域名、IP、URL、文件MD5；

• 威胁类型：为情报选择所属的威胁类型；

• 威胁等级：包括高威胁、中威胁、低威胁；

• 情报来源：备注情报来源。

威胁情报导入

管理员可点击<导入/下载示例文件>进行模板下载，并通过对csv/stix2模板文件进行编辑与导入操作，实现批量威胁情报导入，如下图所示。

威胁情报管理

管理员可单选/多选已有威胁情报并点击对应按钮，进行单个/批量启用、禁用及删除操作，可以通过右上角的搜索栏进行精确检索，情报状态可在最右侧状态栏标识进行查看，同时，点击状态的“”，也可以禁用/启用规则，支持威胁情报导出操作，如下图所示。