查看告警列表

约束限制

• 仅标准版和专业版支持忽略和标记告警事件，基础版不支持。
• 仅支持导出近180天的全部告警事件，暂不支持筛选导出告警事件信息。
• 按过滤场景筛选告警，最多可呈现10000条告警。

查看告警详情

1. 登录管理控制台。
2. 在页面左上角单击，选择“安全与合规 > 态势感知”，进入态势感知管理页面。
3. 在态势感知管理页面选择“威胁告警 > 告警列表”，进入态势感知告警列表管理页面。
   图1 查看告警列表信息
   

4. 筛选“告警名称”、“告警等级”、“发生时间”和“处理状态”条件选项，在列表栏查看显示符合过滤条件的告警事件列表。
   • 告警名称：告警事件所属的分类。
   • 告警等级：告警事件对应的等级，包括“致命”、“高危”、“中危”、“低危”、“提示”。
   • 处理状态：用户对告警事件的处理标记，可选择“未处理”、“已忽略”、“已线下处理”。
   • 发生时间：告警事件发生的时间范围，可选择“今天”、“昨天”、“近3天”、“近7天”、“近30天”和“近半年”。

5. 当过滤后的告警事件较多时，可以利用搜索功能快速找到指定告警事件。

   在下拉框中选择“资产IP”、“来源IP”、“主机ID”，在搜索框中输入相应IP或ID，单击，即可查看到指定资产相关的告警信息。

6. 查看告警事件详情。

   单击列表中告警的“告警名称”，右侧滑出告警详情窗口，可查看与该告警相关的“基本信息”、“数据来源”、“攻击信息”、受影响的用户等信息，以及该告警的处理状态。

标记告警事件

当SA检测出告警事件后，您可手动标记已处理的告警事件。

1. 在“告警列表”页面，标记告警事件的处理状态。
   • 忽略：如果确认该告警事件不会造成危害，可标记为“已忽略”状态。
   • 标记为线下处理：如果该告警事件已在线下处理，在“标记为线下处理”窗口记录“处理人”、“处理时间”和“处理结果”，可标记为“已线下处理”状态。

2. 批量标记告警事件。

   选择一个或多个“未处理”状态的告警，单击“忽略”或“标记为线下处理”，对不同告警事件批量执行相应的处理操作。

3. 单个标记告警事件。

   在告警列表对应“操作”列，单击“忽略”或“标记为线下处理”，对单个告警事件执行相应处理操作。

4. 取消告警事件标记。

   告警处理状态标记后，可在告警事件对应“操作”列，单击“取消忽略”或“取消标记”，恢复告警“未处理”状态，再修改告警状态。

导出告警事件

在“告警列表”页面，单击“导出全部告警”，一键导出列表中全部告警事件，并以excel文件形式保存在本地。导出完成后，即可离线查看告警事件列表。

图2 导出告警事件

导出的excel文件中包含“事件标识”、“受影响资源”、“严重等级”和“发现时间”等信息。

目前仅支持导出近180天的全部告警事件。