文档首页/ 安全云脑 SecMaster/ 用户指南/ 威胁管理/ 告警管理/ 查看告警信息
更新时间:2025-04-24 GMT+08:00
查看PDF
分享

查看告警信息

操作场景

在安全云脑的告警管理页面,可以通过查看告警列表了解近360天的告警威胁的统计信息列表,列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件,如告警名称、告警等级和发生时间等,快速查询到相应告警事件的统计信息。

告警管理页面分别呈现“告警”“攻击”,二者的区别如下:

表1 告警和攻击的区别

名称

数据来源

告警
  • 安全云脑威胁检测模型生成的告警。
  • 用户自定义新增的告警。
  • 用户导入的告警。

攻击

原始的7层防线告警;七层防线的介绍请参见策略管理概述

本章节主要介绍如何查看告警信息。

前提条件

如果需要查看已接入云服务的告警信息,需要在“数据集成”页面中开启“自动转告警”设置。如果未开启,在对应日志满足告警条件时,将不会转为告警,也不会在“告警管理”页面中进行展示。详细操作请参见接入日志数据

查看告警信息

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  5. 在左侧导航栏选择威胁管理 > 告警管理,进入告警管理页面。

    图2 告警管理页面

  6. 在告警管理页面查看告警信息。

    图3 查看告警信息
    表2 查看告警信息

    参数名称

    参数说明

    设置告警的显示时间范围

    左上角可设置展示告警的周期,默认展示最近一周内的告警信息。用户可下拉选择或自定义展示告警的周期:

    • 最近24小时
    • 最近一周
    • 最近一个月
    • 自定义:用户自定义设置起止时间。

    信息统计

    从3个维度统计状态为“打开”“阻塞”的告警信息:

    • 来源分布:以柱状图形式统计各数据源的告警数。
    • 类型Top5:以告警数维度降序排序统计前Top5类型的告警。
    • 资产风险Top5:展示告警数多的Top5风险资产。

    急需处理告警

    当前工作空间中状态为“打开”“阻塞”且风险等级为“高危”“致命”的告警数量。

    待处理告警

    当前工作空间中状态为“打开”“阻塞”,在筛选的时间范围内未处理告警的数量。

    告警总数

    当前工作空间在筛选的时间范围内告警总数量。

    自动处理告警

    当前工作空间在筛选的时间范围内通过剧本自动关闭的告警数量。

    手动处理告警

    当前工作空间在筛选的时间范围内手动关闭的告警数量。

    告警列表

    在告警列表中下方可以查看告警总条数。其中,使用翻页查看时最多可查看10000条告警信息,如果需要查看超过10000条以外数据,请优化过滤条件筛选数据。

    告警列表中,可以查看告警的类型、等级、来源、处理状态等信息。如需查看某个告警概览信息详情,可单击目标告警分类,页面将展示该条告警的详情信息。

    也可单击某条告警,进入告警详情页面,在告警详情页面中,可以对该条告警进行编辑、评论、一键解封、一键阻断、处置、转事件、打开、阻塞、关闭、刷新操作。告警详情页的“基础信息”“告警说明”“处置建议”“攻击技战术”最终呈现的告警参数信息取决于告警模型的字段配置,新建或编辑模型请参考新建或编辑模型

    告警详情页面分别呈现如下告警信息:

    • 概览
      • 基础信息:呈现告警的基本信息,如告警ID、发生时间、数据来源等。
      • 告警说明:呈现告警模型中配置的除基础信息外的其他告警信息,比如告警描述、置信度、关键性、攻击信息等。
      • 处置建议:告警的处置建议。
      • 分析链接:告警分析名称即产生告警的模型名称。
      • 攻击技战术:攻击技术,攻击战术。
      • 评论:展示该条告警以及运行的剧本的历史评论信息,还可以新增评论。
    • 攻击
    • 关联已有事件:该告警关联的事件。
    • 关联情报:该告警关联的情报。
    • 关联资产:该告警关联的资产信息。

查看攻击信息

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图4 进入目标工作空间管理页面

  5. 在左侧导航栏选择威胁管理 > 告警管理,进入告警管理页面。

    图5 告警管理页面

  6. 在告警管理页面,选择“攻击”页签,查看攻击信息。

    图6 攻击管理页面
    表3 查看攻击信息

    参数名称

    参数说明

    设置告警的显示时间范围

    左上角可设置展示告警的周期,默认展示最近一周内的告警信息。用户可下拉选择或自定义展示告警的周期:

    • 最近24小时
    • 最近一周
    • 最近一个月
    • 自定义:用户自定义设置起止时间。

    信息统计

    从3个维度统计状态为“打开”“阻塞”的告警信息:

    • 来源分布:以柱状图形式统计各数据源的告警数。
    • 类型Top5:以告警数维度降序排序统计前Top5类型的告警。
    • 资产风险Top5:展示告警数多的Top5风险资产。

    急需处理告警

    当前工作空间中状态为“打开”或“阻塞”且风险等级为“高危”或“致命”的告警数量。

    待处理告警

    当前工作空间中状态为“打开”“阻塞”,在筛选的时间范围内未处理告警的数量。

    告警总数

    当前工作空间在筛选的时间范围内告警总数量。

    自动处理告警

    当前工作空间在筛选的时间范围内通过剧本自动关闭的告警数量。

    手动处理告警

    当前工作空间在筛选的时间范围内手动关闭的告警数量。

    告警列表

    在告警列表中下方可以查看告警总条数。其中,使用翻页查看时最多可查看10000条告警信息,如果需要查看超过10000条以外数据,请优化过滤条件筛选数据。

    告警列表中,可以查看告警名称、等级、类型、受影响资产、防御状态、状态、防线、数据来源、最近发生时间信息。

    如需查看某个告警信息详情,可单击目标告警,进入告警详情页面:
    • 概览:告警详情页的基础信息模块,呈现告警ID、防线/来源、攻击阶段、责任人、告警类型、首次发生时间。
    • 受影响资产:呈现该告警影响的资产信息,包括资产名称、区域、资产归属账号名称/ID、企业项目名称/ID。
    • 处置建议:告警的处置建议。
    • 更多信息:告警的基础信息、受影响资产、进程信息等详细信息。
    • 相似告警:呈现相似告警的告警列表。

父主题: 告警管理

相关文档