全部产品
Search

搜索本产品

    Security Center:Gunakan aturan deteksi ancaman

    文档中心

    Security Center:Gunakan aturan deteksi ancaman

    更新时间:Aug 05, 2025

    Cloud Threat Detection and Response (CTDR) mencakup aturan deteksi yang telah ditentukan sebelumnya untuk menganalisis peringatan dan log, merekonstruksi rantai serangan ancaman serta garis waktu, dan menghasilkan peringatan terpadu serta insiden keamanan yang rinci. Selain itu, CTDR mendukung aturan deteksi kustom, memungkinkan Anda membuat sistem deteksi ancaman yang disesuaikan.

    Deskripsi Fungsi

    Ikhtisar

    Fitur manajemen aturan CTDR menganalisis log yang distandardisasi atau menggunakan playbook bawaan untuk menghasilkan peringatan agregat dan kustom. Fitur ini menciptakan insiden keamanan melalui komputasi grafik, peringatan transmisi langsung, dan metode agregasi tipe yang sama untuk membantu dalam mengelola insiden ancaman. Manajemen aturan mendukung pemanggilan berikut untuk menghasilkan peringatan dan insiden:

    • Sintaks SQL: Mendeteksi peringatan dan menghasilkan insiden dengan menyaring log, mencocokkan fitur, melakukan statistik jendela, dan melakukan analisis asosiasi menggunakan sintaks SQL dalam ruang lingkup log yang efektif.

    • Playbook: Mendeteksi peringatan dan menghasilkan insiden dengan memanggil API produk cloud dan membuat penilaian melalui alur playbook, terutama digunakan untuk peringatan status bisnis.

    Jenis Aturan

    Jenis Aturan

    Deskripsi

    Pendefinisian

    Menyediakan aturan deteksi ancaman siap pakai yang menganalisis log yang ditambahkan ke CTDR dalam ruang lingkup log yang efektif. Peringatan keamanan yang dihasilkan ketika aturan cocok ditampilkan pada tab Aggregate and Analyze Alerts halaman CTDR > Alert. Aturan pendefinisian menggunakan teknologi asosiasi grafik untuk menggabungkan peringatan dengan aset atau IOC yang sama menjadi insiden, dan akan mengorelasikan dan menggabungkan semua peringatan kecuali peringatan kustom.

    Kustom

    Mengizinkan ekstensi aturan fleksibel dan memberikan templat untuk skenario deteksi ancaman kompleks. Pengguna dapat dengan cepat menyesuaikan aturan berdasarkan templat ini, menggunakan sintaks SQL atau playbook.

    Peringatan keamanan yang dihasilkan oleh aturan kustom ditampilkan pada tab Custom Alert Analysis halaman CTDR > Alert. Aturan kustom menghasilkan insiden keamanan melalui peringatan transmisi langsung atau agregasi tipe yang sama.

    Metode Pembuatan Insiden

    • Komputasi grafik: Mengorelasikan dan menggabungkan peringatan yang terkait dengan aset atau IOC yang sama menjadi insiden, tidak termasuk peringatan analisis kustom.

    • Peringatan transmisi langsung: Menghasilkan satu insiden keamanan untuk setiap peringatan yang dihasilkan oleh aturan analisis.

    • Agregasi tipe yang sama: Menggabungkan peringatan yang dihasilkan oleh aturan yang sama menjadi satu insiden keamanan.

    Alur Kerja

    Prasyarat

    Anda telah membeli dan mengaktifkan CTDR. Fitur manajemen aturan yang berbeda didukung tergantung pada Data Log yang Ditambahkan dan Kapasitas Penyimpanan Log yang Anda beli.

    Mengaktifkan atau Menonaktifkan Aturan Pendefinisian

    Aturan pendefinisian diaktifkan secara default. Anda dapat melihat detail aturan pendefinisian dan mengaktifkan atau menonaktifkannya, tetapi tidak dapat mengedit atau menghapus aturan tersebut.

    1. Masuk ke Konsol Pusat Keamanan. Di sudut kiri atas konsol, pilih wilayah tempat aset yang ingin dilindungi berada: China atau Outside China.

    2. Di panel navigasi sisi kiri, pilih CTDR > Rule Management.

    3. Pada tab Predefined, lihat daftar aturan pendefinisian. Di kolom Actions dari aturan pendefinisian target, klik Details untuk melihat informasi dasar, pengaturan pembuatan peringatan, dan pengaturan pembuatan insiden dari aturan tersebut.

    4. Klik tombol Enabling Status untuk aturan pendefinisian target guna mengaktifkan atau menonaktifkan aturan.

      Dalam daftar aturan pendefinisian, Anda juga dapat memilih Enabled atau Disabled di kolom Enabling Status untuk aturan target guna mengubah statusnya.

      image

    5. Peringatan yang dihasilkan oleh aturan pendefinisian dapat dilihat pada tab Aggregate and Analyze Alerts halaman CTDR > Alert.

    Buat dan Aktifkan Aturan Kustom

    1. Masuk ke Konsol Pusat Keamanan. Di sudut kiri atas konsol, pilih wilayah tempat aset yang ingin dilindungi berada: China atau Outside China.

    2. Di panel navigasi sisi kiri, pilih CTDR > Rule Management.

    3. Pada tab Rule Template, klik Create Rule di kolom Actions dari aturan templat target. Anda juga dapat mengklik Create Custom Rule pada tab Custom.

      Penting

      Disarankan untuk membuat aturan menggunakan templat aturan untuk konfigurasi yang lebih sederhana dan efisien.

    4. Di panel Create Custom Rule, masukkan nama aturan dan deskripsi pada tab Basic Information, lalu klik Next.

    5. Pada tab Alert Settings, lengkapi konfigurasi aturan pembuatan peringatan.

      Anda dapat melihat informasi peringatan yang dihasilkan pada tab Custom Alert Analysis halaman CTDR > Alert. Item konfigurasi yang tersedia dan nilainya bervariasi tergantung pada aturan yang dikonfigurasi. Deskripsinya adalah sebagai berikut:

      Sintaks SQL

      Melakukan deteksi peringatan dan pembuatan insiden dengan menyaring log, mencocokkan fitur, melakukan statistik jendela, dan melakukan analisis asosiasi pada log dalam ruang lingkup efektif menggunakan sintaks SQL.

      Tubuh Aturan

      Item Konfigurasi

      Deskripsi

      Rule Body

      Default adalah SQL.

      Log Scope

      Pilih ruang lingkup log untuk aturan ini mendeteksi. Anda perlu memilih kategori log standar dan struktur. Beberapa struktur didukung.

      Klik tautan Standard Fields untuk melihat deskripsi bidang log untuk struktur log saat ini.

      SQL Statement

      Pernyataan SQL digunakan untuk menanyakan catatan insiden tertentu, bertujuan untuk mengidentifikasi perilaku berpotensi jahat.

      Untuk informasi lebih lanjut tentang sintaks SQL, lihat Sintaks SQL dan fungsi.

      Pengaturan Penjadwalan

      Untuk aturan kustom dengan "SQL" sebagai tubuh aturan, setelah aturan diaktifkan, CTDR membuat tugas SQL terjadwal yang sesuai di Simple Log Service (SLS) berdasarkan Scheduling Settings. SLS menghasilkan beberapa instance berdasarkan interval penjadwalan. Parameter terkait instance SQL terjadwal dijelaskan sebagai berikut. Untuk informasi lebih lanjut, lihat Kelola Pekerjaan SQL Terjadwal dan Kueri Data Hasil Pekerjaan SQL Terjadwal.

      • Waktu Penjadwalan Tugas: Ditentukan oleh Start Time dan Scheduling Interval dalam pengaturan penjadwalan, tidak dipengaruhi oleh timeout, delay, pelaksanaan tambahan, atau situasi lain dari instance sebelumnya.

        Contoh: Jika waktu mulai aturan adalah 16 Mei 2025, 10:58:45, dan interval penjadwalan adalah 5 menit, waktu penjadwalan akan menjadi 16 Mei 2025, 10:58:45, 2025-05-16 11:03:45, 2025-05-16 11:08:45, dan seterusnya.

      • Waktu Eksekusi Tugas: Waktu aktual ketika instance SQL terjadwal mulai dieksekusi. Jika tugas diulang, ini mewakili waktu ketika eksekusi terakhir dimulai.

        Catatan

        Tugas SQL terjadwal mungkin mengalami timeout, delay, pelaksanaan tambahan, dan situasi lain, menyebabkan waktu eksekusi tugas berbeda dari waktu penjadwalan tugas.

      • Rentang Kueri SQL: Rentang waktu untuk analisis SQL, ditentukan oleh Waktu Penjadwalan Tugas dan SQL Time Window, tidak terkait dengan waktu eksekusi tugas aktual. Aturan perhitungan: [Waktu penjadwalan dibulatkan ke menit - Jendela waktu SQL, Waktu penjadwalan dibulatkan ke menit).

        Contoh: Jika waktu mulai aturan adalah 16 Mei 2025, 10:58:45, interval penjadwalan adalah 5 menit, dan jendela waktu SQL adalah 5 menit.

        Interval kueri SQL untuk tugas terjadwal pertama adalah sebagai berikut:

        • Waktu penjadwalan: 2025-05-16 10:58:45

        • Waktu kueri data: [2025-05-16 10:53:00, 2025-05-16 10:58:00)

        Interval kueri SQL untuk tugas terjadwal kedua adalah sebagai berikut:

        • Waktu penjadwalan: 2025-05-16 11:03:45

        • Waktu kueri data: [2025-05-16 10:58:00, 2025-05-16 11:03:00)

      Item Konfigurasi

      Deskripsi

      Scheduling Interval

      Setfrekuensi untuk mengeksekusi kueri SQL. Anda dapat menggunakan salah satu dari metode berikut:

      • Fixed Interval: Rentang yang diizinkan adalah 5 menit hingga 24 jam.

      • Cron Expression: Presisi minimum adalah menit, formatnya adalah 24 jam. Contoh konfigurasi:

        • 0/5 * * * *: Jalankan setiap 5 menit mulai dari menit ke-0.

        • 0 0/1 * * *: Jalankan setiap 1 jam mulai dari pukul 00:00.

        • 0 18 * * *: Jalankan sekali sehari pada pukul 18:00.

        • 0 0 1 * *: Jalankan sekali sebulan pada tanggal 1 pukul 00:00.

      SQL Time Window

      Tentukan rentang waktu log untuk kueri SQL terjadwal. Rentang yang diizinkan: 5 menit hingga 24 jam.

      Penting

      Periode jendela harus lebih besar atau sama dengan "interval penjadwalan."

      Start Time

      Waktu ketika instance SQL terjadwal mulai dieksekusi setelah aturan diaktifkan. Anda dapat menggunakan salah satu dari metode berikut:

      • Rule Enabled At: Saat aturan diaktifkan.

      • Specified Time: Waktu tertentu yang Anda tetapkan, akurat hingga menit.

      Pembuatan Log Peringatan

      CTDR menghasilkan log peringatan yang berbeda berdasarkan item konfigurasi Alert Log Generation. Anda dapat melihat log peringatan yang dihasilkan di CTDR > Log Management.

      Item Konfigurasi

      Deskripsi

      Generation Structure

      Pilih jenis log peringatan yang dihasilkan oleh aturan ini. Nilai valid:

      • Log peringatan deteksi dan respons endpoint

      • Log peringatan firewall

      • Log peringatan Web Application Firewall

      • Log peringatan lainnya

      Anda dapat mengklik View Standard Fields pada tab Standardized Rule halaman CTDR > Integration Center untuk melihat informasi dasar dan detail bidang dari tipe log target.

      Alert Type

      Pilih tipe peringatan yang dideteksi oleh aturan saat ini.

      Alert Level

      Pilih level risiko dari peringatan yang dideteksi oleh aturan saat ini. Nilai valid:

      • Informasi

      • Risiko Rendah

      • Risiko Sedang

      • Risiko Tinggi

      • Serius

      ATT&CK Phase

      Pilih tahap serangan dan teknik serangan yang dideteksi oleh aturan saat ini. Jika ancaman yang dideteksi oleh aturan saat ini melibatkan beberapa tahap serangan, Anda dapat mengklik Add Attack Phase. Dalam fase serangan yang sama, Anda dapat memilih beberapa teknik serangan. Total jumlah teknik serangan di semua fase serangan harus kurang dari atau sama dengan 5.

      Penekanan Peringatan

      Sistem dapat mengontrol jumlah peringatan keamanan yang dihasilkan berdasarkan aturan yang dikonfigurasi dalam Alert Suppression, namun pembuatan dan pengiriman log peringatan tidak terpengaruh.

      CTDR mengelompokkan berdasarkan produk Cartesian dari nilai bidang dalam kondisi penekanan, dan setiap kelompok memiliki batas 100 peringatan keamanan dalam jendela penekanan. Ketika catatan peringatan melebihi batas, catatan berikutnya yang cocok dengan kondisi yang sama tidak akan lagi menghasilkan peringatan keamanan.

      Item Konfigurasi

      Deskripsi

      Suppression Window

      • Suppression Window menentukan periode statistik untuk catatan peringatan.

      • Waktu mulai jendela penekanan adalah waktu ketika aturan menghasilkan data log peringatan pertama.

      • Rentang yang diizinkan adalah 5 menit hingga 24 jam.

      Catatan

      Misalkan waktu data peringatan pertama yang dihasilkan oleh aturan adalah 16 Mei 2025, 10:58:45, dan jendela penekanan diatur selama 10 menit. Rentang waktu untuk jendela penekanan pertama adalah 10:58:45~11:08:45, rentang waktu untuk jendela penekanan kedua adalah 11:08:45~11:18:45, dan seterusnya.

      Suppression Condition

      • Data dropdown berasal dari bidang log standar yang sesuai dengan log peringatan yang dipilih dalam pengaturan Generation Structure dalam Alert Log Generation.

        Anda dapat mengklik View Standard Fields pada tab Standardized Rule halaman CTDR > Integration Center untuk melihat informasi dasar dan detail bidang dari log target.

      • CTDR mengelompokkan berdasarkan produk Cartesian dari nilai bidang dalam kondisi penekanan.

        Contoh: Jika ada dua kondisi penekanan bidang A dan B, di mana himpunan nilai A adalah {1,2} dan himpunan nilai B adalah {3,4}, maka akan ada total 4 kombinasi: {1,3}, {1,4}, {2,3}, dan {2,4}, dengan setiap kombinasi menjadi sebuah kelompok.

      • Setiap kelompok memiliki batas 100 peringatan keamanan dalam periode jendela.

      Penting

      Kondisi penekanan bersifat opsional. Jika tidak ada kondisi penekanan yang dikonfigurasi, itu berarti bahwa batas total peringatan keamanan yang dihasilkan oleh aturan selama seluruh periode jendela adalah 100.

      Playbook

      Mendeteksi peringatan dan menghasilkan insiden dengan memanggil API produk cloud dan membuat penilaian berdasarkan playbook. Umumnya digunakan untuk peringatan bisnis.

      Catatan

      Jika aturan dibuat melalui Templat Aturan (playbook), playbook kustom yang sesuai akan secara otomatis dibuat. Anda dapat melihatnya pada tab Custom Playbook di CTDR > SOAR.

      Tubuh Aturan

      Item Konfigurasi

      Deskripsi

      Rule Body

      Pilih Playbook.

      Playbook Name

      • Jika membuat aturan melalui Templat Aturan (playbook), Anda dapat memodifikasi nama playbook tetapi harus memastikan bahwa itu unik.

      • Jika membuat aturan dengan mengklik Create Custom Rule pada tab Custom, Anda dapat memilih playbook yang sesuai dari daftar dropdown.

        Penting

        Hanya playbook yang memenuhi semua kondisi berikut yang akan muncul dalam daftar dropdown:

        • Tipe playbook adalah kustom.

        • Status playbook adalah diterbitkan.

        • Tipe parameter input dari node awal playbook harus Kustom.

        • Playbook belum dikaitkan dengan aturan deteksi lainnya.

      Playbook Description

      • Jika membuat aturan melalui Templat Aturan (playbook), Anda dapat memodifikasinya.

      • Jika membuat aturan dengan mengklik Create Custom Rule pada tab Custom, deskripsi playbook target di SOAR akan secara otomatis ditarik dan tidak dapat dimodifikasi.

      Pengaturan Parameter

      Pengaturan parameter hanya diperlukan saat membuat aturan melalui Templat Aturan (playbook). Playbook yang berbeda memerlukan parameter yang berbeda. Anda dapat mengklik ikon image di sebelah parameter untuk melihat artinya dan instruksi konfigurasi.

      Otorisasi

      Otorisasi hanya diperlukan saat membuat aturan melalui Templat Aturan (playbook).

      • Execution Role: Jika Anda belum membuat peran, Go to RAM Console to Create Role, dan konfirmasi otorisasi untuk membuat peran bernama AliyunSiemSoarExecutionDefaultRole.

        Peringatan

        Jika Anda tidak memiliki izin untuk membuat peran, Anda dapat menghubungi administrator RAM (pengguna RAM dengan izin manajemen sumber daya atau akun utama) untuk menyelesaikan pembuatan peran dan pengikatan kebijakan kepercayaan di Konsol RAM. Untuk langkah-langkah spesifik, lihat Buat Peran RAM untuk Layanan Alibaba Cloud Tepercaya. Perhatikan item berikut saat mengonfigurasi aturan klaim:

        • Entitas tepercaya: Layanan Alibaba Cloud.

        • Nama entitas tepercaya: cloudsiem.sas.aliyuncs.com.

        • Nama peran: AliyunSiemSoarExecutionDefaultRole

      • Permission Policy: Sistem akan mencantumkan kebijakan izin yang diperlukan untuk menjalankan playbook berdasarkan templat playbook yang dipilih. Jika Anda belum mengikat kebijakan izin, klik Modify Policy, pilih kebijakan yang tidak diotorisasi, lalu klik Authorize in RAM Console. Selesaikan otorisasi di halaman otorisasi cepat Manajemen Akses Sumber Daya.

        Peringatan

        Jika Anda tidak memiliki izin untuk memberikan otorisasi, Anda dapat menghubungi administrator RAM (pengguna RAM dengan izin manajemen sumber daya atau akun utama) untuk mengikat kebijakan izin yang diperlukan untuk menjalankan playbook ke peran AliyunSiemSoarExecutionDefaultRole. Untuk langkah-langkah operasi, lihat Berikan izin ke Peran RAM.

      Pengaturan Penjadwalan

      Untuk aturan kustom dengan "Playbook" sebagai tubuh aturan, setelah aturan diaktifkan, CTDR membuat tugas panggilan playbook terjadwal di CTDR berdasarkan Scheduling Settings.

      Catatan

      • Ketika tugas terjadwal gagal mengeksekusi playbook dalam satu siklus, sistem akan secara otomatis mencoba lagi setelah 30 detik. Jika eksekusi masih gagal, alur tugas saat ini dihentikan dan masuk ke status menunggu hingga siklus eksekusi preset berikutnya memulai tugas lagi.

      • Anda dapat melihat catatan eksekusi playbook di halaman detail playbook kustom di modul SOAR.

      Item Konfigurasi

      Deskripsi

      Scheduling Interval

      Tetapkan interval waktu untuk mengeksekusi playbook. Nilai valid:

      • Fixed Interval: Rentang yang diizinkan adalah 5 menit hingga 24 jam.

      • Cron Expression: Presisi minimum adalah menit, formatnya adalah 24 jam. Contoh konfigurasi:

        • 0/5 * * * *: Jalankan setiap 5 menit mulai dari menit ke-0.

        • 0 0/1 * * *: Jalankan setiap 1 jam mulai dari pukul 0:00.

        • 0 18 * * *: Jalankan sekali sehari pada pukul 18:00.

        • 0 0 1 * *: Dieksekusi sekali sebulan pada tanggal 1 pukul 0:00.

      Start Time

      Waktu ketika playbook mulai dieksekusi setelah aturan diaktifkan. Nilai valid:

      • Rule Enabled At: Saat aturan diaktifkan.

      • Specified Time: Waktu tertentu yang Anda tetapkan, akurat hingga menit.

      Pembuatan Log Peringatan

      CTDR menghasilkan log peringatan yang berbeda berdasarkan item konfigurasi Alert Log Generation. Anda dapat melihat log peringatan yang dihasilkan di CTDR > Log Management.

      Item Konfigurasi

      Deskripsi

      Generation Structure

      Hanya opsi Other Alert Logs yang didukung.

      Anda dapat mengklik View Standard Fields pada tab Standardized Rule halaman CTDR > Integration Center untuk melihat informasi dasar dan detail bidang dari tipe log target.

      Alert Type

      Pilih tipe peringatan yang dideteksi oleh aturan saat ini.

      Alert Level

      Pilih level risiko dari peringatan yang dideteksi oleh aturan saat ini. Nilai valid:

      • Informasi

      • Risiko Rendah

      • Risiko Sedang

      • Risiko Tinggi

      • Serius

      ATT&CK Phase

      Pilih tahap serangan dan teknik serangan yang dideteksi oleh aturan saat ini. Jika ancaman yang dideteksi oleh aturan saat ini melibatkan beberapa tahap serangan, Anda dapat mengklik Add Attack Phase. Dalam fase serangan yang sama, Anda dapat memilih beberapa teknik serangan. Total jumlah teknik serangan di semua fase serangan harus kurang dari atau sama dengan 5.

      Penekanan Peringatan

      Sistem dapat mengontrol jumlah peringatan keamanan yang dihasilkan berdasarkan aturan yang dikonfigurasi dalam Alert Suppression, namun pembuatan dan pengiriman log peringatan tidak terpengaruh.

      CTDR mengelompokkan berdasarkan produk Cartesian dari nilai bidang dalam kondisi penekanan, dan setiap kelompok memiliki batas 100 peringatan keamanan dalam jendela penekanan. Ketika catatan peringatan melebihi batas, catatan berikutnya yang cocok dengan kondisi yang sama tidak akan lagi menghasilkan peringatan keamanan.

      Item Konfigurasi

      Deskripsi

      Suppression Window

      • Suppression Window menentukan periode statistik untuk catatan peringatan.

      • Waktu mulai jendela penekanan adalah waktu ketika aturan menghasilkan data log peringatan pertama.

      • Rentang yang diizinkan adalah 5 menit hingga 24 jam.

      Catatan

      Misalkan waktu data peringatan pertama yang dihasilkan oleh aturan adalah 16 Mei 2025, 10:58:45, dan jendela penekanan diatur selama 10 menit. Rentang waktu untuk jendela penekanan pertama adalah 10:58:45~11:08:45, rentang waktu untuk jendela penekanan kedua adalah 11:08:45~11:18:45, dan seterusnya.

      Suppression Condition

      • Data dropdown berasal dari bidang log standar yang sesuai dengan log peringatan yang dipilih dalam pengaturan Generation Structure dalam Alert Log Generation.

        Anda dapat mengklik View Standard Fields pada tab Standardized Rule di halaman CTDR > Integration Center untuk melihat informasi dasar dan detail bidang dari log target.

      • CTDR mengelompokkan berdasarkan produk Cartesian dari nilai bidang dalam kondisi penekanan.

        Contoh: Jika ada dua kondisi penekanan bidang A dan B, di mana himpunan nilai A adalah {1,2} dan himpunan nilai B adalah {3,4}, maka akan ada total 4 kombinasi: {1,3}, {1,4}, {2,3}, dan {2,4}, dengan setiap kombinasi menjadi sebuah kelompok.

      • Setiap kelompok memiliki batas 100 peringatan keamanan dalam periode jendela.

      Penting

      Kondisi penekanan bersifat opsional. Jika tidak ada kondisi penekanan yang dikonfigurasi, itu berarti bahwa batas total peringatan keamanan yang dihasilkan oleh aturan selama seluruh periode jendela adalah 100.

    6. Pada tab Incident Generation Settings, lengkapi konfigurasi aturan pembuatan insiden keamanan.

      Anda dapat melihat dan menangani insiden yang dihasilkan di halaman CTDR > Security Incident.

      Item Konfigurasi

      Deskripsi

      Generate Event

      Pilih apakah peringatan yang cocok dengan aturan menghasilkan insiden.

      Incident Generation Method

      • Peringatan transmisi langsung: Menghasilkan satu insiden keamanan untuk setiap peringatan yang dihasilkan berdasarkan aturan saat ini.

      • Agregasi tipe yang sama: Menggabungkan semua peringatan yang dihasilkan berdasarkan aturan saat ini menjadi satu insiden keamanan.

      Aggregation Window

      Anda perlu mengonfigurasi ukuran jendela hanya untuk skenario Same Type Aggregation. Rentang yang valid adalah 5 menit hingga 24 jam.

      Sebagai contoh, jika jendela agregasi diatur selama 5 menit, semua peringatan keamanan yang dihasilkan dalam periode 5 menit ini digabungkan menjadi satu insiden keamanan tunggal.

    7. Aktifkan aturan kustom: Aturan baru dibuat dalam status Disabled. Anda dapat mengubah status di kolom Status Aktivasi dari kolom Actions aturan kustom.

      Catatan

      Disarankan untuk menguji aturan kustom sebelum mengaktifkannya.

    Uji aturan kustom (opsional)

    Sebelum mengaktifkan aturan kustom, Anda dapat mengubah Enabling Status aturan menjadi Testing untuk melihat hasil uji peringatan dan memastikan apakah output sesuai dengan harapan Anda. Sistem akan mengkalibrasi bidang peringatan, nilai, bidang distandardisasi, dan elemen lainnya berdasarkan logika kalibrasi bawaan. Anda dapat meninjau hasil kalibrasi di konsol dan menyesuaikan tubuh aturan, sintaks SQL, atau playbook sesuai kebutuhan untuk memastikan log peringatan yang dihasilkan saat diaktifkan resmi memenuhi persyaratan kalibrasi.

    Catatan

    • Fase pengujian tidak wajib, dan hasil kalibrasi tidak memengaruhi aktivasi aturan.

    • Hasil peringatan yang dihasilkan selama pengujian tidak ditampilkan di halaman Peringatan.

    Langkah-langkah spesifik untuk menguji aturan kustom adalah sebagai berikut:

    1. Pada tab Custom, ubah Enabling Status aturan target menjadi Testing.

    2. Di kolom Tindakan dari aturan target, klik View Alert Test Result.

    3. Di halaman detail hasil uji, lihat grafik tren peringatan dan daftar peringatan yang dihasilkan oleh pengujian.

      Anda dapat mengklik Details di kolom Actions pada peringatan target guna melihat hasil kalibrasinya.

    Langkah Berikutnya

    Setelah aturan deteksi ancaman berlaku, jika data log cocok dengan aturan deteksi, peringatan keamanan dan insiden keamanan yang sesuai akan dihasilkan. Anda dapat merujuk pada instruksi berikut untuk menanganinya:

    • Lihat informasi peringatan yang dihasilkan pada tab Custom Alert Analysis dan Aggregate and Analyze Alerts halaman CTDR > Alert. Untuk informasi lebih lanjut, lihat Peringatan Keamanan.

    • Lihat dan tangani insiden yang dihasilkan pada halaman CTDR > Security Incident. Untuk informasi lebih lanjut, lihat Tangani Insiden Keamanan.

    Referensi

    Untuk informasi lebih lanjut tentang menambahkan log produk cloud ke CTDR, lihat Pusat Integrasi.