创建和管理警报规则- Code42支持

概述

属性配置警报规则管理规则屏幕上。警报规则监视组织已识别为危险的活动，并定义在活动发生时通知的用户。在规则中，您还可以定义阈值和严重性，以帮助确定重要数据何时可能离开公司。betway88help

创建警报时，它将显示在警报>检查警告屏幕上。

注意事项

要使用此功能，必须为Incydr用户分配特定的角色。有关更多信息，请参见Incydr的权限．
此功能仅在您的产品计划．请与您的客户成功经理(CSM)联系，以获得许可或升级到Incydr产品计划的协助。如果你不知道你的CSM，请联系我们的技术支持工程师．
您必须将Code42连接到至少一个企业业务、云存储或电子邮件服务查看此下载、文件共享或附件活动。
要允许来自Code42的电子邮件，请确保code42.com被添加到您的电子邮件服务器的允许列表。如果你怀疑邮件不是来自Code42，联系我们的技术支持工程师．

在开始之前

在创建警报规则之前，请仔细识别对组织构成真正风险的行为。创建一个规则来监视(例如)所有风险严重程度的每个文件类别是很有吸引力的，但是过于宽泛的规则可能会导致通知过载和太多信息，无法找到真正的泄露风险。

制定有意义和有重点的规则:

确定哪些信息对您的组织构成了最大的风险。例如，也许源代码文件是您组织中最有价值的知识产权，您希望在此类文件移动到可信任边界之外时收到警报。或者也许计算机辅助设计(CAD)或绘图文件对你的公司至关重要。betway88help中的用例和示例警报规则设置参考而且推荐规则参考有关如何识别组织中最有价值的业务数据的想法。
使用风险设置和严重程度来确定这些数据对你有多重要。例如，如果您的业务运行在电子表格上，并且知道它们何时被公开共享是至关重要的，那么您可以为所有风险严重程度为中等或以上的电子表格文件设置一个规则。
设置信任的活动确定企业边界，促进员工和业务伙伴之间的重要合作。警报规则仅通知您在这些边界之外的不受信任位置上发生的活动，这些位置对您的组织构成了真正的风险。
请记住，Code42自动监控所有目标和泄露向量上的活动。添加目的地设置当您希望将通知过滤到仅在那些选定的目的地上发生的活动时，指定到规则。

创建规则

您可以通过几种方式创建新规则:从模板、从头开始、从监视列表或通过复制和修改现有规则。

使用模板

为了让您启动并运行，Code42包含了一些预配置的规则模板包含推荐设置的。您可以从这些模板快速创建规则，修改默认设置以匹配您的需求和环境。

登录到Code42控制台．
去警报>管理规则．
下推荐规则，选择要用作起点的模板。选择要使用的推荐规则后，将X的第一步面板打开并显示该模板中使用的预配置设置。
- 如果要使用的推荐规则已经出现在列表中，请单击其名称。
- 否则,单击查看所有建议查看所有推荐的规则，然后单击规则名称。
检查告警规则设置并根据需要添加更多设置。点击下一个当你完成时。
1. 若要向规则添加新设置，请单击添加设置．单击规则设置名称将其添加到规则中，然后选择用于该设置的选项并单击保存．
2. 如果需要，编辑现有设置以匹配您想要警告的行为。
  - 如需调整已设置，请单击编辑然后根据需要编辑设置。点击保存以保存对规则的更改。
  - 若要从规则中删除设置，请单击编辑．打开设置面板后，单击恢复默认值从规则中删除该设置。
    每条规则至少包含一个设置。如果从规则中删除最后一个设置，则创建规则面板将打开，以便您可以选择要添加到规则中的设置。
3. 默认情况下，Code42自动监控所有文件活动，并使用您选择的选项作为过滤器，仅在匹配的活动时发出警报，以减少噪音。若要查看Code42自动用于规则的默认规则设置，请单击显示默认设置．
  如果需要，您可以编辑这些设置，将它们添加到具有特定选项的规则中作为筛选器。
如果你有Code42指导员产品计划或者一个Incydr产品计划其中包括Code42 Instructor，当用户的风险活动触发此警报规则时，选择通过Slack或电子邮件发送的课程。
点击查看讲师课程打开Code42讲师并查看有关可用课程的更多信息。
1. (可选)如果用户重复相同的风险活动，则更新课程发送的频率。
2. (可选)选择一旦发送了教训，就解除警报．
3. 点击下一个．
输入根据此规则创建的警报通知使用的电子邮件地址，用逗号分隔。点击下一个当你完成时。
当警报被触发时，Code42就文件活动向这些收件人发送电子邮件。如果您不输入任何电子邮件地址，Code42不会发送任何电子邮件，但仍会收集有关触发警报的文件活动的信息。中查看这些通知检查警告表格
输入规则名称和描述。点击保存当你完成保存新规则。
1. 进入规则名称．
  规则名称必须唯一。两个(或多个)规则不能共享相同的名称。
2. (可选)输入一个描述为了规则。
检查规则的设置、操作和通知，然后关闭查看规则面板。

从头创建规则

登录到Code42控制台．
去警报>管理规则．
点击创建规则．
当Create规则面板打开时，单击警报规则设置，将其添加到规则中。
选择要用于规则中该设置的选项，然后单击保存．
X面板的第1步打开并总结新规则的标准。
检查新规则的标准，并根据需要添加更多设置。点击下一个当你完成时。
1. 若要向规则添加新设置，请单击添加设置．单击规则设置名称将其添加到规则中，然后选择用于该设置的选项并单击保存．
2. 如果需要，编辑现有设置以匹配您想要警告的行为。
  - 如需调整已设置，请单击编辑然后根据需要编辑设置。点击保存以保存对规则的更改。
  - 若要从规则中删除设置，请单击编辑．打开设置面板后，单击恢复默认值从规则中删除该设置。
    每条规则至少包含一个设置。如果从规则中删除最后一个设置，则创建规则面板将打开，以便您可以选择要添加到规则中的设置。
3. 默认情况下，Code42自动监控所有文件活动，并使用您选择的选项作为过滤器，仅在匹配的活动时发出警报，以减少噪音。若要查看Code42自动用于规则的默认规则设置，请单击显示默认设置．
  如果需要，您可以编辑这些设置，将它们添加到具有特定选项的规则中作为筛选器。
如果你有Code42指导员产品计划或者一个Incydr产品计划其中包括Code42 Instructor，当用户的风险活动触发此警报规则时，选择通过电子邮件或Slack发送给用户的课程。
点击查看讲师课程打开“讲师”并查看有关可用课程的更多信息。
1. (可选)如果用户重复相同的风险活动，则更新课程发送的频率。
2. (可选)选择一旦发送了教训，就解除警报．
3. 点击下一个．
输入根据此规则创建的警报通知使用的电子邮件地址，用逗号分隔。点击下一个当你完成时。
当警报被触发时，Code42就文件活动向这些收件人发送电子邮件。如果您不输入任何电子邮件地址，Code42不会发送任何电子邮件，但仍会收集有关触发警报的文件活动的信息。中查看这些通知检查警告表格．
输入规则名称和描述。点击保存当你完成保存新规则。
1. 进入规则名称．
  规则名称必须唯一。两个(或多个)规则不能共享相同的名称。
2. (可选)输入一个描述为了规则。
检查规则的设置、操作和通知，然后关闭查看规则面板。

为监视列表创建规则

登录到Code42控制台．
去用户活动>观察名单中．
单击已存在的监视列表。你也可以添加一个新的，如有需要。
监视列表打开。
2 .在界面右上方，单击以下操作之一:
- 如果尚未将警报添加到监视列表，请单击添加警报．
- 如果警报已添加到监视列表，请单击编辑提醒．
做以下其中一件事:“创建规则:3步中的第1步”面板将在一个新选项卡中打开，并总结新规则中使用的设置。
- 点击视图要从推荐的监视列表警报模板之一创建包含此监视列表的规则。
- 点击创建新警报创建使用其他警报规则设置的规则。
检查告警规则设置并根据需要添加更多设置。点击下一个当你完成时。
1. 若要向规则添加新设置，请单击添加设置．单击规则设置名称将其添加到规则中，然后选择用于该设置的选项并单击保存．
2. 如果需要，编辑现有设置以匹配您想要警告的行为。
  - 如需调整已设置，请单击编辑然后根据需要编辑设置。点击保存以保存对规则的更改。
  - 若要从规则中删除设置，请单击编辑．打开设置面板后，单击恢复默认值从规则中删除该设置。
    每条规则至少包含一个设置。如果从规则中删除最后一个设置，则创建规则面板将打开，以便您可以选择要添加到规则中的设置。
3. 默认情况下，Code42自动监控所有文件活动，并使用您选择的选项作为过滤器，仅在匹配的活动时发出警报，以减少噪音。若要查看Code42自动用于规则的默认规则设置，请单击显示默认设置．
  如果需要，您可以编辑这些设置，将它们添加到具有特定选项的规则中作为筛选器。
如果你有Code42指导员产品计划或者一个Incydr产品计划其中包括Code42 Instructor，当用户的风险活动触发此警报规则时，选择通过电子邮件或Slack发送给用户的课程。
点击查看讲师课程打开“讲师”并查看有关可用课程的更多信息。
1. (可选)如果用户重复相同的风险活动，则更新课程发送的频率。
2. (可选)选择一旦发送了教训，就解除警报．
3. 点击下一个．
输入根据此规则创建的警报通知使用的电子邮件地址，用逗号分隔。点击下一个当你完成时。
当警报被触发时，Code42就文件活动向这些收件人发送电子邮件。如果您不输入任何电子邮件地址，Code42不会发送任何电子邮件，但仍会收集有关触发警报的文件活动的信息。中查看这些通知检查警告表格．
输入规则名称和描述。点击保存当你完成保存新规则。
1. 进入规则名称．
  规则名称必须唯一。两个(或多个)规则不能共享相同的名称。
2. (可选)输入一个描述为了规则。
检查规则的设置、操作和通知，然后关闭查看规则面板。

复制并修改现有规则

登录到Code42控制台．
去警报>管理规则．
在规则列表中，找到要复制的规则。
点击行动并选择复印一份．
3个面板中的第1步打开并总结复制规则的条件。
检查新规则的标准，并根据需要添加更多设置。点击下一个当你完成时。
1. 若要向规则添加新设置，请单击添加设置．单击规则设置名称将其添加到规则中，然后选择用于该设置的选项并单击保存．
2. 如果需要，编辑现有设置以匹配您想要警告的行为。
  - 如需调整已设置，请单击编辑然后根据需要编辑设置。点击保存以保存对规则的更改。
  - 若要从规则中删除设置，请单击编辑．打开设置面板后，单击恢复默认值从规则中删除该设置。
    每条规则至少包含一个设置。如果从规则中删除最后一个设置，则创建规则面板将打开，以便您可以选择要添加到规则中的设置。
3. 默认情况下，Code42自动监控所有文件活动，并使用您选择的选项作为过滤器，仅在匹配的活动时发出警报，以减少噪音。若要查看Code42自动用于规则的默认规则设置，请单击显示默认设置．
  如果需要，您可以编辑这些设置，将它们添加到具有特定选项的规则中作为筛选器。
如果你有Code42指导员产品计划或者一个Incydr产品计划其中包括Code42 Instructor，当用户的风险活动触发此警报规则时，选择通过电子邮件或Slack发送给用户的课程。
点击查看讲师课程打开“讲师”并查看有关可用课程的更多信息。
1. (可选)如果用户重复相同的风险活动，则更新课程发送的频率。
2. (可选)选择一旦发送了教训，就解除警报．
3. 点击下一个．
输入根据此规则创建的警报通知使用的电子邮件地址，用逗号分隔。点击下一个当你完成时。
当警报被触发时，Code42就文件活动向这些收件人发送电子邮件。如果您不输入任何电子邮件地址，Code42不会发送任何电子邮件，但仍会收集有关触发警报的文件活动的信息。中查看这些通知检查警告表格．
输入规则名称和描述。点击保存当你完成保存新规则。
1. 进入规则名称．
  规则名称必须唯一。两个(或多个)规则不能共享相同的名称。
2. (可选)输入一个描述为了规则。
检查规则的设置、操作和通知，然后关闭查看规则面板。

编辑规则

登录到Code42控制台．
选择要编辑的规则。
- 编辑警报通知中的规则:
  1. 去警报>检查警告．
  2. 在告警列表中，选择要查看的告警通知。
  3. 在“警报详细信息”中单击查看规则在规则名称下的链接。
- 方法中编辑规则管理规则表:
  1. 去警报>管理规则．
  2. 在规则列表中，找到待查看的规则，单击视图．
- 编辑监视列表中的规则:
  1. 去用户活动>观察名单中．
  2. 单击展开按钮查看所有监视列表，然后选择一个现有监视列表。你也可以添加一个新的，如有需要。
    监视列表打开。
  3. 在界面右上方，单击编辑提醒．
  4. 点击编辑在要编辑的已分配警报旁边。
    如果需要，还可以从另一个推荐的监视列表警报模板添加规则，或者创建新的警报规则。
更新规则设置，如有需要。点击保存当你完成时。
1. 若要向规则添加新设置，请单击添加设置．单击规则设置名称将其添加到规则中，然后选择用于该设置的选项并单击保存．
2. 如果需要，编辑现有设置以匹配您想要警告的行为。
  - 如需调整已设置，请单击编辑然后根据需要编辑设置。点击保存以保存对规则的更改。
  - 若要从规则中删除设置，请单击编辑．打开设置面板后，单击恢复默认值从规则中删除该设置。
    每条规则至少包含一个设置。如果从规则中删除最后一个设置，则创建规则面板将打开，以便您可以选择要添加到规则中的设置。
3. 默认情况下，Code42自动监控所有文件活动，并使用您选择的选项作为过滤器，仅在匹配的活动时发出警报，以减少噪音。若要查看Code42自动用于规则的默认规则设置，请单击显示默认设置．
  如果需要，您可以编辑这些设置，将它们添加到具有特定选项的规则中作为筛选器。
如果你有Code42指导员产品计划或者一个Incydr产品计划其中包括Code42讲师，单击编辑下行动当用户的风险活动触发这一警告规则时，将课程更改为通过电子邮件或Slack发送给用户。
点击查看讲师课程打开“讲师”并查看有关可用课程的更多信息。
1. (可选)如果用户重复相同的风险活动，则更新课程发送的频率。
2. (可选)选择一旦发送了教训，就解除警报．
3. 点击下一个．
下通知,点击编辑如果需要，更新用户的电子邮件地址，将向其发送警报通知。点击保存当你完成时。
单击，可修改名称或描述行动并选择编辑名称和描述，然后进行更改，并单击保存．
关闭查看规则面板。