更新时间:2024-07-17 GMT+08:00

告警转事件或关联事件

操作场景

当收到告警信息且经过分析后,如果发现有攻击成功或有其他较为严重影响的,则需要进行单独处理,可以将它转为事件或关联事件。

本章节主要介绍如何将告警转为事件,以及告警如何关联事件。

告警转事件

  1. 登录管理控制台。
  2. 单击页面左上方的,选择“安全 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  4. 在左侧导航栏选择威胁运营 > 告警管理,进入告警管理页面。

    图2 告警管理页面

  5. 在告警管理列表中,单击目标告警所在行“操作”列的“转事件”,右侧弹出转事件配置页面。

    同时,还可以在某条告警详情页面,单击页面右上角的“告警转事件”

  6. 在转事件配置页面中,填写“事件名称”并设置“事件类型”

    事件名称将自动填入当前告警的名称,可以进行修改。

  7. 设置完成后,单击“确认”

告警关联事件

  1. 登录管理控制台。
  2. 单击页面左上方的,选择“安全 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图3 进入目标工作空间管理页面

  4. 在左侧导航栏选择威胁运营 > 告警管理,进入告警管理页面。

    图4 告警管理页面

  5. 在告警管理列表中,勾选需要关联事件的告警,并单击列表上方的“关联事件”,弹出绑定事件对话框。
  6. 在绑定事件对话框中,勾选需要绑定的事件,并单击“确认”

    关联完成后,在告警列表中单击目标告警类型,进入告警详情页面后,选择关系图 > 关联事件页签,查看关联信息。