iOA 零信任安全管理系统事件聚合规则（11.1.1版）

说明：
iOA 零信任安全管理系统（SaaS）11.1.1版本灰度发布中，当前暂未全量更新。
如您需体验11.1.1新版本功能，请通过 在线支持 确认您的企业是否已在开放名单中，或提交新版本体验申请。如有任何疑问，请随时联系我们的技术支持团队。
配置事件聚合规则，对用户的敏感文件外发行为进行聚合形成安全告警，日志在风险调查 > 事件审计中体现。
当管控对象触发其规则时，将上报 iOA 平台，帮助管理员实时监控和识别潜在数据泄漏风险。产品内置多个告警策略模板，您可以通过现有的模板快速创建自定义规则。
﻿
1. 登录 iOA 零信任管理平台控制台，在左侧导航栏，选择管控策略 > 事件聚合规则。
1. 在 事件聚合规则页，单击新建事件聚合规则。
﻿
2. 在新建事件聚合规则页填写基本信息、适用范围和编辑策略。
基本信息：输入策略名称、策略描述，并选择是否启用。
﻿
适用范围：该策略生效的对象范围。单击添加适用范围，勾选需管控/排除的用户/终端，单击确定。
﻿
编辑策略：配置聚合的行为、规则和评分等参数。
﻿
参数名称
说明
行为类型
需要告警的操作类型（文件外发/代码库上传/代码库下载）
行为通道
需要告警的外发通道。
外发内容
需要告警的发送内容：
指定文件分级分类规则：选择已定义的分级分类规则作为触发审计的敏感内容。
按级别：管控所选级别下的所有分级分类规则（所选级别下的规则都会被管控），示例：在数据分级分类 > 分级分类规则中新建一个 S4 的规则，此处的按级别会动态关联级别下的所有规则，新增/删除规则自动生效（新建的 S4 规则也会被管控）
﻿
按规则：管控所选级别下的规则（例如：当选择 S4 中的规则，将 S4 中的规则一个个勾选，勾选完后并不是展示 S4 的标签，而是将规则展示出来）示例：在数据分级分类 > 分级分类规则中新建一个 S4 的规则，此处的按规则不会将新建的 S4 的规则罗列进来，只会管控已选择的规则。
﻿
审计所选通道所有外发内容：在外发通道中配置的通道，都将被审计。示例：配置电子邮箱，则电子邮箱通道相关文件外发都会被审计。
﻿
外发行为时段
需要告警的发送时间。支持自定义时间段和非工作时间。
拦截行为不聚合
控制拦截行为是否聚合进入事件审计，开启拦截行为不聚合，对于已经拦截的行为，不将其聚合至事件审计中。
开启拦截行为不聚合的作用：对于已拦截的行为，iOA 已阻断了风险发生，则不聚合进入事件审计，减少安全运营人员审计量。
风险累积
累计发送文件大小超过指定大小或文件数量超过指定数量就告警。
系统评分
该评分关联数据分级分类 > 数据分级与评分里的评分。
人工评分
单击
﻿
开启人工评分，命中该策略后显示行为命中的分级分类规则级别，记 X 分。
3. 填写完成后，单击保存，即可生效。
4. 配置的事件聚合规则，当用户的敏感文件外发行为聚合形成安全告警后，可前往风险调查 > 事件审计查看。
﻿
﻿

参数名称	说明
行为类型	需要告警的操作类型（文件外发/代码库上传/代码库下载）
行为通道	需要告警的外发通道。
外发内容	需要告警的发送内容：指定文件分级分类规则：选择已定义的分级分类规则作为触发审计的敏感内容。按级别：管控所选级别下的所有分级分类规则（所选级别下的规则都会被管控），示例：在数据分级分类 > 分级分类规则中新建一个 S4 的规则，此处的按级别会动态关联级别下的所有规则，新增/删除规则自动生效（新建的 S4 规则也会被管控）按规则：管控所选级别下的规则（例如：当选择 S4 中的规则，将 S4 中的规则一个个勾选，勾选完后并不是展示 S4 的标签，而是将规则展示出来）示例：在数据分级分类 > 分级分类规则中新建一个 S4 的规则，此处的按规则不会将新建的 S4 的规则罗列进来，只会管控已选择的规则。审计所选通道所有外发内容：在外发通道中配置的通道，都将被审计。示例：配置电子邮箱，则电子邮箱通道相关文件外发都会被审计。
外发行为时段	需要告警的发送时间。支持自定义时间段和非工作时间。
拦截行为不聚合	控制拦截行为是否聚合进入事件审计，开启拦截行为不聚合，对于已经拦截的行为，不将其聚合至事件审计中。开启拦截行为不聚合的作用：对于已拦截的行为，iOA 已阻断了风险发生，则不聚合进入事件审计，减少安全运营人员审计量。
风险累积	累计发送文件大小超过指定大小或文件数量超过指定数量就告警。
系统评分	该评分关联数据分级分类 > 数据分级与评分里的评分。
人工评分	单击开启人工评分，命中该策略后显示行为命中的分级分类规则级别，记 X 分。