文档首页 > > 用户指南> 威胁告警> 告警列表> 告警查看和处理

告警查看和处理

分享
更新时间: 2020/04/08 GMT+08:00

背景信息

态势感知可以识别出多种类型的威胁,帮助您快速了解并处理资产遭受的威胁,如表1所示。

表1 告警威胁分类

告警名称(父类)

告警子类型种类

基础版

专业版

DDoS

100+

全部支持

全部支持

暴力破解

8

支持5种

全部支持(其中有3种类型需要购买HSS方可检测并展示)

Web攻击

33

支持1种

全部支持(其中有19种类型需要购买WAF方可检测并展示)

后门木马

5

支持1种

全部支持

僵尸主机

8

支持5种

全部支持

异常行为

3

不支持

全部支持

漏洞攻击

2

不支持

全部支持

命令与控制

6

不支持

全部支持

前提条件

  • 已获取管理控制台的登录账号与密码。IAM用户已配置Tenant Administrator权限,拥有SA操作权限。配置IAM用户权限,请参见IAM创建用户并授权
    • 默认情况下,管理员创建的IAM用户没有任何权限,需要授权Tenant AdministratorTenant Guest后,IAM用户才能基于被授予的权限操作查看SA信息。更多权限说明请参见系统权限
    • 获取权限的IAM用户,可使用同账号下已购买的专业版SA。

查看告警

  1. 登录管理控制台。
  2. 图1示例,进入“告警列表”页面。

    图1 查看告警列表信息

  3. 筛选“告警名称”“告警等级”“发生时间”“处理状态”条件选项,在列表栏查看显示符合过滤条件的威胁告警列表。

    • 告警名称:威胁告警所属的分类。
    • 告警等级:威胁告警对应的等级,包括“致命”“高危”“中危”“低危”“提示”
    • 处理状态:用户对威胁告警的处理标记,可选择“未处理”“已忽略”“已线下处理”
    • 发生时间:威胁告警发生的时间范围,可选择“今天”“昨天”“近3天”“近7天”“近30天”“近半年”

    当过滤后的威胁告警较多时,可以利用搜索功能快速找到指定告警。在下拉框中选择“资产IP”“来源”,在搜索框中输入IP地址,单击,即可查看到指定资产相关的告警信息。

  4. 查看威胁告警详情。

    • 单击列表中告警的“告警名称”,右侧滑出告警详情窗口,可查看与该告警相关的“基本信息”“数据来源”、受影响的用户等信息,以及可修改该告警的处理状态。
    • 查看完毕后,单击“确定”“关闭窗口”,即可确认修改状态或关闭滑窗。
    • 此外鼠标悬置在“告警名称”上,可显示子类型威胁的处理建议。
    图2 威胁告警详情

处理告警

  • 忽略:如果确认该告警事件不会造成危害,可标记为“已忽略”状态。
  • 标记为线下处理:如果该告警事件已在线下处理,在“标记为线下处理”窗口记录“处理人”“处理时间”“处理结果”,可标记为“已线下处理”状态。
  1. “告警列表”页面,标记告警事件的处理状态。
  2. 批量标记告警事件。

    选择一个或多个“未处理”状态的告警,单击“忽略”“标记为线下处理”,对不同告警事件批量执行相应的处理操作。

  3. 单个标记告警事件。

    在告警列表对应“操作”列,单击“忽略”“标记为线下处理”,对单个告警事件执行相应处理操作。

  4. 取消告警事件标记。

    告警处理状态标记后,可在告警事件对应“操作”列,单击“取消忽略”“取消标记”,恢复告警“未处理”状态,再修改修改告警状态。

导出告警

“告警列表”页面,单击“导出全部告警”,一键导出列表中全部威胁告警,并以excel文件形式保存在本地。导出完成后,即可离线查看威胁告警列表。

导出的excel文件中包含“告警名称”“告警类型”“告警等级”“威胁来源IP”“资产IP”“发生时间”等信息。

目前仅支持导出近180天的全部告警事件,暂不支持筛选导出威胁告警信息。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区