文档首页/ 安全云脑 SecMaster/ 用户指南/ 威胁管理/ 告警管理/ 告警概述
更新时间:2025-08-06 GMT+08:00
查看PDF
分享

告警概述

告警是运维中的一种异常信号的通知,通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如,当服务器的CPU使用率超过90%时,系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。

告警通常有明确的指示性,能够明确指出异常发生的位置、类型和影响。同时,告警可以按照严重程度来进行分类,如紧急、重要、一般等,以便运维人员根据告警的严重程度来决定哪些需要优先处理。

告警的目的是及时通知相关人员,以便能够迅速响应并采取措施解决问题。

当安全云脑检测到的云资源中存在的异常情况(例如,某个恶意IP对资产攻击、资产已被入侵等)时,将以告警的形式将威胁信息展示在安全云脑告警管理界面中。系统内置的告警类型请参见内置告警类型

告警管理

在安全云脑的告警管理页面可以执行以下操作:

  • 查看告警信息:可以通过查看告警列表了解近360天的告警威胁的统计信息列表,列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件,如告警名称、告警等级和发生时间等,快速查询到相应告警事件的统计信息。
  • 告警转事件或关联事件:当收到告警信息且经过分析后,如果发现有攻击成功或有其他较为严重影响的,则需要进行单独处理,可以将它转为事件或关联事件。
  • 一键阻断或解封:应急策略作为告警一键阻断的止血手段,可根据告警来源选择相应的类型对攻击者进行阻断,拦截该恶意IP的访问。
  • 关闭或删除告警:支持关闭或删除告警,告警删除后将无法恢复,请谨慎操作。

告警和攻击的区别

安全告警区分告警和攻击:

  • 告警:告警则是基于安全云脑的威胁检测模型生成的模型告警,也可以是用户自定义或导入的告警。
  • 攻击:攻击是原始的防线告警,七层防线的介绍请参见策略管理概述

攻击是原始的防线告警,七层防线的介绍请参见策略管理概述。二者的区别如下:

表1 告警和攻击的区别

名称

数据来源

支持的管理操作

告警
  • 安全云脑威胁检测模型生成的告警。
  • 用户自定义新增的告警。
  • 用户导入的告警。
  • 查看告警信息:可以通过查看告警列表了解近360天的告警威胁的统计信息列表,列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件,如告警名称、告警等级和发生时间等,快速查询到相应告警事件的统计信息。
  • 告警转事件或关联事件:当收到告警信息且经过分析后,如果发现有攻击成功或有其他较为严重影响的,则需要进行单独处理,可以将它转为事件或关联事件。
  • 一键阻断或解封:应急策略作为告警一键阻断的止血手段,可根据告警来源选择相应的类型对攻击者进行阻断,拦截该恶意IP的访问。
  • 关闭或删除告警:确认告警已处理完成,问题已解决,可选择关闭告警。当确认是无效告警或冗余告警或过期告警,用户可选择删除告警。告警删除后将无法恢复,请谨慎操作。
  • 新增或编辑告警:安全云脑支持管理云上资产和云外资产,资产管理更多信息请参见资产管理概述。其中,云上资产的告警可以通过接入日志数据自动同步到安全云脑,云外资产的告警数据需要用户在安全云脑通过新增告警导入告警将告警数据接入安全云脑。当告警的状态和基础信息发生变化需要修改时,可通过编辑告警修改告警参数。
  • 导入告警:云外资产的告警信息需要通过新增告警或导入告警的方式接入安全云脑。导入告警支持通过告警列表方式批量创建告警。
  • 导出告警:通过导出告警列表到本地,在本地查看告警信息,或者在团队内共享告警信息时可执行该操作。

攻击

原始的7层防线告警;七层防线的介绍请参见策略管理概述

告警的风险等级分类

表2 告警的风险等级分类说明

风险等级

描述

致命

致命级别的告警表示系统已经受到严重的攻击,可能导致数据丢失、系统崩溃或者长时间的服务中断。例如,发现勒索加密行为或恶意程序感染。建议您立即处理,避免对系统造成更严重的损害。

高危

高危级别的告警表示系统可能正在受到攻击,但尚未造成严重的损害。例如,检测到未授权的登录尝试或执行了危险命令(如删除关键系统文件或修改系统设置的命令)。建议您及时调查并采取措施,以防止攻击蔓延。

中危

中危级别的告警表示系统存在潜在的安全威胁,但目前没有明显遭受攻击的迹象。例如,检测到文件或目录的异常修改,表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施,以确保系统的安全。

低危

低危级别的告警表示系统存在轻微的安全威胁,不会对系统的正常运行产生显著影响。例如,检测到一些端口扫描行为,这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理,不需要立即采取紧急措施。如果您的资产安全等级要求较高,可以关注该等级的安全告警。

提示

对应资源存在潜在的错误可能影响到业务。如果您对您的资产的安全等级要求较高,可以关注该等级的安全告警。

告警的处置方式说明

告警常见的处置方式有一键阻断或解封、关闭告警、删除告警、告警转事件或关联事件、新增告警、编辑告警、导入导出告警。

表3 告警的处置方式说明

处置方式

使用场景说明

一键阻断或解封

一键阻断:通过一键阻断配置阻断策略,拦截恶意IP或非法IAM用户的访问。

一键解封:解除对一键阻断策略中配置的IP或IAM用户的访问拦截,仅针对下发过“一键阻断”操作且执行成功的告警才可以执行“一键解封”操作。

关闭告警

确认告警已处理完成,问题已解决,可选择关闭告警。

删除告警
  • 当满足如下场景,用户可选择删除告警。仅用户自定义新增的告警或导入的告警支持删除操作,且告警删除后将无法恢复。
    • 当用户确认该条告警是无效或无关告警;
    • 确认是重复冗余告警;
    • 确认是过期或历史告警,且无需保留告警数据,无需后续处理动作的告警。

告警转事件或关联事件

当收到告警信息且经过分析后,如果发现有攻击成功或有其他较为严重影响的,则需要进行单独处理,可以将它转为事件或关联事件。

新增告警

安全云脑支持管理云上资产和云外资产,资产管理更多信息请参见资产管理概述。其中,云上资产的告警可以通过接入日志数据自动同步到安全云脑,云外资产的告警数据需要用户在安全云脑通过新增告警导入告警将告警数据接入安全云脑。

编辑告警

当告警的状态和基础信息发生变化需要修改时,可通过编辑告警修改告警参数。

导入导出告警

导入告警:云外资产的告警信息需要通过新增告警或导入告警的方式接入安全云脑。

导出告警:通过导出告警列表到本地,在本地查看告警信息,或者在团队内共享告警信息时可执行该操作。

攻击处置方式说明

攻击是原始的7层防线告警,支持在安全云脑侧进行处置,关闭或忽略本次攻击告警,更多详细信息请参见处置攻击

  • 关闭告警:如果告警已手动处理完毕,可以选择关闭本次告警。
  • 忽略告警:如果告警风险可控,可以选择忽略本次告警。当相同告警事件再次触发时,将再次告警。

约束与限制

  • 删除告警:仅用户自定义新增的告警或导入的告警支持删除操作。
  • 导入告警:仅支持导入.xlsx格式的文件,单次导入文件大小不超过5MB,且单次导入数据不超过100条。
  • 导出告警:最多支持导出9999条告警信息。
  • 一键阻断或解封:约束与限制请参见约束与限制
父主题: 告警管理