在 SecurityCoach 的检测规则子选项卡上,您可以创建和管理您的检测规则。检测规则可以识别您要使用集成供应商提供的数据来跟踪的风险活动。例如,您可能想检测您的用户何时访问有风险或被禁止的网站,下载恶意附件或点击网络钓鱼链接。
我们根据集成供应商的默认策略提供系统检测规则。这些规则默认启用,无需进一步配置。要查看可用的系统检测规则,请参阅文章按供应商划分的系统检测规则。您还可以为在供应商平台中设置的自定义策略创建自定义检测规则。
如果用户触发了检测规则,则事件将显示在用户的时间线上。您还可以利用检测规则来创建实时辅导活动。
如需了解 SecurityCoach 的基本信息,请参阅我们的 SecurityCoach 产品手册。
检测规则的准备工作
在开始使用检测规则之前,我们建议您完成以下步骤:
- 将您的第三方供应商与 SecurityCoach 集成。有关更多信息,请参阅设置集成部分。
- 为您的 SecurityTips 添加送达方式。如需了解更多信息,请参阅下方列出的供应商集成指南。
创建自定义检测规则
要在 SecurityCoach 中使用自定义检测规则,首先需要在安全供应商的平台中设置相应的自定义政策。要正常运行,自定义检测规则必须匹配安全供应商的自定义政策。
要创建自定义检测规则,请按照以下步骤操作:
- 登录您的 KnowBe4 安全意识培训 (KSAT) 控制台,导航至 SecurityCoach 选项卡 > 检测规则子选项卡。
- 点击页面右上角的 + 创建检测规则按钮。
- 填写新建检测规则页面上的字段。有关这些字段的更多信息,请查看以下截图和列表:
- 名称:输入检测规则的名称。
- 启用检测规则:选中此复选框,可在创建规则时启用规则。只有启用检测规则后,才能将事件添加到用户的时间线上,并用于实时辅导活动。
-
供应商:选择检测规则的供应商。
注意:只有将供应商与 SecurityCoach 集成后,供应商才会显示在此下拉菜单中。KSAT 供应商默认已集成。有关集成供应商的更多信息,请参阅设置集成部分。 - 类别:选择检测规则的类别。
- 风险等级:选择检测规则的风险等级。
- 说明:输入对检测规则的描述。例如,您可以描述检测规则的目的,或者补充其他管理员可能需要了解的规则信息。
- 新增条件:使用三个下拉列表,为您的检测规则创建条件。然后,点击添加条件,将条件添加到检测规则中。如果需要,您可重复此流程,为检测规则添加更多条件。如需详细了解可用于相应条件的操作符,请参阅以下检测规则操作符部分。
- 每当用户发生符合条件的事件时,触发此规则:选择此选项后,每当事件符合设置条件时,触发此规则。
-
当用户在设定持续时间(天)内所发生的符合条件事件达到最小数量时,触发此规则:选择此选项后,仅当条件在设定的天数内达到设定的次数时,触发此检测规则。例如,当有任何用户在 30 天内发生三个符合条件的事件时,您可以使用此设置来触发检测规则。
如需了解最小计数和持续时间(天)字段的更多信息,请参阅下文:
- 最小计数:输入用户触发此规则必须达到的符合条件的事件的最小数量。
- 持续时间(天):输入用户触发此规则必须达到最小计数的天数。
- 创建规则:确认您的设置并创建新的检测规则。
- 取消:取消检测规则的创建并返回上一页。
- 单击创建规则。
检测规则操作符
在创建检测规则条件时,可使用下列操作符。
| 操作符 | 描述 |
|---|---|
| 是 | 此操作符会检查字段与值是否匹配。在使用此操作符时,只能输入一个值。 |
| 否 | 此操作符会检查字段与值是否不匹配。在使用此操作符时,只能输入一个值。 |
| 包含 | 此操作符会检查字段是否包含值。在使用此操作符时,只能输入一个值。 |
| 不包含 | 此操作符会检查字段是否不包含值。在使用此操作符时,只能输入一个值。 |
| 开头 | 此操作符会检查字段开头是否为对应值。在使用此操作符时,只能输入一个值。 |
| 结尾 | 此操作符会检查字段结尾是否为对应值。在使用此操作符时,只能输入一个值。 |
| 开头为任何值 | 此操作符会检查字段开头是否为任何值。 |
| 结尾为任何值 | 此操作符会检查字段结尾是否为任何值。 |
| 包含任何值 | 此操作符会检查字段是否包含任何值。 |
| 不包含任何值 | 此操作符会检查字段是否不包含任何值。 |
| 匹配任何值 | 此操作符会检查字段是否与任何值匹配。 |
| 不匹配任何值 | 此操作符会检查字段是否与任何值不匹配。 |
管理和编辑检测规则
要管理和编辑您的检测规则,请导航到 SecurityCoach 选项卡> 检测规则子选项卡。
要了解有关检测规则子选项卡上各选项的更多信息,请参阅下面的截图和列表:
- 状态:单击此下拉菜单,按状态筛选检测规则。您可选择全部、启用、停用或维护。
- 类型:单击此下拉菜单,按类型筛选检测规则。您可选择全部、自定义或系统。
- 供应商:点击此下拉菜单,按供应商筛选检测规则。
- 类别:点击此下拉菜单,按类别筛选检测规则。
- 搜索:在此字段中输入关键词,可搜索特定检测规则。
- 表格:此表列出了您的检测规则。您可查看每条检测规则的名称、规则说明、类型、供应商、类别、修改日期以及您采取的操作。
- 切换开关:使用切换开关,可启用或禁用检测规则。如果关闭,则禁用检测规则。如果打开,则启用检测规则。
- 眼睛图标:单击此图标,可查看系统检测规则。单击此图标后,将跳转到查看检测规则页面,可在此页查看系统检测规则详情。
- 加号图标:单击此图标,可为检测规则创建实时辅导活动。点击此图标后,将跳转到新建实时辅导活动页面。如需了解实时辅导活动的更多信息,请参阅实时辅导活动指南。
-
三个点图标:单击此图标可打开包含以下选项的下拉菜单:
-
编辑:单击此图标,可打开编辑检测规则页面。您可在此页根据需要编辑自定义检测规则。灰色选项无法更改。然后,单击页面左下角的保存按钮,保存更改。
注意:如果检测规则是从系统检测规则复制而来,您还可单击重置默认设置按钮,将规则恢复为默认设置。 - 复制:单击此图标,可复制系统检测规则。单击此图标后,将跳转到复制检测规则页面。您可在此页对规则进行更改并保存为自定义规则。
- 删除:单击此图标,可删除自定义检测规则。
-
- + 创建检测规则:点击此按钮,新建检测规则。
检测规则示例
如需了解检测规则的示例,请参见下方截图:
在本例中,检测规则中增加了以下条件:
- 威胁类别为用户批量转发。
- 威胁类别为可疑的电子邮件转发活动。
满足任一条件时,触发此检测规则。使用此配置,用户需要出现可疑的电子邮件转发活动或批量转发电子邮件才能触发此规则。